Você está na página 1de 49

Captulo

2
Modelos de Criptograa de Chave Pblica
Alternativos
Denise Goya1 , Mehran Misaghi2 , Vilc Runo1,3 e Routo Terada1
1 Departamento

de Cincia da Computao IMEUSP


Superior Tupy, Sociedade Educacional de Santa Catarina ISTSOCIESC
3 Centro de Coordenao de Estudos da Marinha em So Paulo CCEMSPMB
{dhgoya, vilc, rt}@ime.usp.br, mehran@sociesc.org.br
2 Instituto

Abstract
In this short course some difculties about public key infrastructure are reviewed and it
is showed how to reduce them with four alternative models in assymetric cryptography:
identity-based, self-certied, certicateless and certicate-based. This study starts with
the conceptual analysis of each model, and presents advantages and disadvantages, possible applications and use contexts. A selection of protocols and code portions illustrate
the behavior of models and introduce to the students useful tools to develop new applications.
Resumo
Neste minicurso so revisadas algumas das diculdades relacionadas infraestrutura de
chaves pblicas (ICP) convencional e como elas podem ser minimizadas por meio do uso
de quatro modelos alternativos de criptograa assimtrica: baseado em identidade, autocerticado, sem certicados (certicateless) e baseado em certicado (certicate-based).
A partir da anlise conceitual de cada modelo, so expostas vantagens e desvantagens,
discusses sobre possveis aplicaes e contextos de uso. Uma seleo de protocolos
e pequenos trechos de cdigo ilustram o funcionamento dos modelos e introduzem aos
alunos ferramentas teis para o desenvolvimento de novas aplicaes.

1 Projeto

Fapesp n 2008/06189-0

49

50

Minicursos SBSeg 2009

2.1. Introduo
A criptograa de chave pblica surgiu com a busca por solues para dois problemas
intrinsecamente relacionados com o modelo de criptograa simtrica: como distribuir
uma chave secreta e como autenticar algum, com garantia de irretratabilidade?
Ambos problemas foram brilhantemente abordados em [Dife e Hellman 1976]
e nasceu um novo paradigma para a criptograa, a de chave pblica. Nesse modelo,
tambm chamado de assimtrico, todo usurio possui um par de chaves, uma pblica e
outra secreta. A chave pblica pode ser divulgada por meio de um canal pblico e ser
usada para cifrar mensagens. A chave secreta usada para decifrar e no precisa ser
transmitida. Naquela ocasio, Dife e Hellman apresentaram um protocolo de acordo
de chave secreta sobre canal inseguro e deniram os princpios de funcionamento da
assinatura digital.
natural que um novo paradigma traga consigo novos problemas. Com a criptograa de chave pblica, no foi diferente. Um problema central nesse modelo o de
legitimao da chave pblica. Como garantir que uma chave pblica pertence, de fato, a
algum? Uma soluo que se tornou prtica comum a de implantao de uma infraestrutura de chaves pblicas (ICP, ou PKI Public Key Infrastructure), cuja marca so os
certicados digitais de chave pblica. Tal soluo, entretanto, embute algumas diculdades, como as resumidas abaixo:
processos complexos de implantao e manuteno da infraestrutura;
custos de emisso, distribuio e armazenamento de certicados;
custos para recuperar e validar certicados;
diculdades com revogao de certicados.
H pelo menos dois caminhos para minimizar essas diculdades: modicar o modelo de ICP (que no nosso foco) e modicar o modelo de criptograa de chave pblica.
Esta ltima abordagem d origem ao que chamamos de modelos alternativos.
O objetivo deste texto apresentar quatro modelos de criptograa de chave pblica
alternativos que dispensam a ICP convencional ou que a simplicam. So eles, o modelo
baseado em identidade, o de chave pblica autocerticada, o modelo sem certicados
e o baseado em certicado. Este ltimo, apesar do nome sugerir o modelo tradicional
com certicados X.509, alternativo por variar na forma de gerao, distribuio e uso
do certicado. Optamos por adotar as nomeaes dadas originalmente pelos autores,
simplesmente as traduzindo respectivamente de identity-based, self-certied public key,
certicateless e certicate-based.
Mostraremos, na seo 2.2, que pequenas modicaes nos parmetros que concebem o modelo de criptograa de chave pblica podem induzir um modelo diferente e
criar um novo paradigma de criptograa assimtrica. Conforme dissemos anteriormente,
novos paradigmas tendem a criar novos problemas. s vezes, os problemas no so propriamente novos, mas so inexistentes no modelo convencional com ICP. Portanto, pretendemos confrontar propriedades, vantagens e desvantagens de cada modelo, para que

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

seja possvel uma anlise mais apurada e realista por aqueles que intencionam implantar
novos criptossistemas de chave pblica, minimizando efeitos colaterais de uma ICP.
Na seo 2.3, apresentaremos detalhes de construo, alguns algoritmos e protocolos selecionados e possveis aplicaes. Seguem posteriormente, na seo 2.4, comparaes gerais entre os modelos, consideraes sobre implementao, sugestes de trabalhos
futuros e concluses.
Antes de tudo, revisamos na prxima subseo alguns conceitos em criptograa
de chave pblica, importantes para a compreenso dos modelos alternativos. Descries
mais detalhadas de fundamentos de criptograa e segurana podem ser obtidas em livros
como [Mao 2003] e [Terada 2008].
2.1.1. Conceitos Preliminares
Em criptograa de chave pblica, todo usurio tem um par de chaves (s, P). A chave
pblica P est matematicamente relacionada com a chave secreta s, de forma que:
P calculada a partir de s, mas
a partir do valor de P, computacionalmente invivel descobrir s.
Desse modo, podemos escrever genericamente que P = f (s), onde f uma funo
injetora. s vezes, a funo f inclui parmetros do sistema ou outros dados. Por exemplo,
na cifragem de ElGamal, P = gs , onde g um parmetro do sistema. Eventualmente, f
pode parecer complexa e, em implementaes concretas, pode at ser codicada por um
algoritmo probabilstico ou s ser calculada a partir de P. Mas, por simplicidade, basta
pensar que a chave pblica funo da secreta.
Ora, se a chave pblica apenas resultado de um clculo, como comprovar que
esse clculo est nica e exclusivamente associado a algum que conhea o valor secreto
s que o gerou? Em criptossistemas de chave pblica, se no houver uma garantia de
legitimidade da chave pblica, no haver segurana alguma.
Uma soluo para a legitimao de chaves pblicas que nos interessa revisar aqui
a baseada em certicados digitais. Para se garantir que (s, P) pertence a um certo usurio
com identidade ID, introduzimos uma entidade convel que chamaremos de Autoridade de Conana (AC), ou autoridade certicadora. AC tem seu prprio par de chaves
(sAC , PAC ) e emite certicados digitais que atestam que um certo valor P pertence a uma
entidade identicada por ID. Todos que conarem na autoridade, usaro P certos de que
estaro se comunicando com ID.
Um certicado digital (no modelo convencional) nada mais do que um documento que contm, na essncia, dados sobre ID, sua chave pblica P, dados sobre a
autoridade AC, alm de uma assinatura digital de AC que assegura a validade dos dados
do certicado. Portanto, a assinatura no certicado uma garantia de que a chave P
est associada com ID. Podemos interpretar essa assinatura como uma funo que tem na
entrada a chave pblica P, a identidade ID e a chave secreta da autoridade sAC .
Uma ICP nada mais do que um agregado de hardware, software, pessoal especializado e procedimentos, para gerenciar todo o ciclo de vida dos certicados: da sua

51

52

Minicursos SBSeg 2009

criao, distribuio at sua renovao ou revogao. Alguns aspectos do funcionamento


dessa infraestrutura sero revistos ao longo do texto, conforme se zer necessrio.
Os principais atributos da criptograa de chave pblica, no modelo convencional
sobre ICP, so sintetizados na tabela 2.1. Durante a anlise dos modelos alternativos, veremos que a variao desses atributos modica sensivelmente as propriedades do modelo.
Tabela 2.1. Atributos do modelo convencional de criptograa de chave pblica.
Chave secreta
s

Chave pblica
P = f (s)

Garantia
f (ID, P, sAC )

escolhida pelo usurio


(ou pela autoridade)

calculada pelo usurio


(ou pela autoridade)

calculada pela autoridade,


exclusivamente

Para cifrar uma mensagem para o dono de P ou para vericar uma assinatura dele,
os usurios usam o valor da chave P, obtido do certicado (ver a gura 2.1).
Para decifrar uma mensagem destinada ao dono de P ou para que este crie uma
assinatura, necessria a chave secreta s correspondente.

Figura 2.1. Cifrando no modelo convencional com ICP

Quando dissemos que a autoridade do sistema deve ser uma entidade de conana,
no entramos no mrito sobre o que signica conana. Em [Girault 1991], so denidos os trs nveis abaixo, que indicam o grau de credibilidade que devemos depositar na
autoridade.
Nvel 1: a autoridade conhece (ou calcula facilmente) chaves secretas dos usurios; pode
personicar qualquer entidade sem ser detectada;
Nvel 2: a autoridade desconhece (ou dicilmente calcula) chaves secretas dos usurios;
pode personicar qualquer entidade, gerando falsas chaves pblicas, sem ser detectada;

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Nvel 3: a autoridade desconhece (ou dicilmente calcula) chaves secretas dos usurios;
pode personicar qualquer entidade, porm detectada.
No modelo com ICP e certicados de chave pblica X.509, a autoridade alcana
nvel 3, o mais desejvel. Os modelos alternativos, muitas vezes caem em nveis mais
baixos e, consequentemente, a autoridade tem mais poder e os usurios precisam conar
mais nela.

2.2. Modelos Alternativos: Conceitos e Propriedades


Nas prximas quatro subsees, descreveremos os princpios de funcionamento dos modelos alternativos, as premissas, propriedades, pontos fortes e fracos de cada um, de forma
conceitual, sem citarmos algoritmos nem protocolos, por enquanto.
2.2.1. Criptograa de Chave Pblica Baseada em Identidade
A ideia central da criptograa de chave pblica baseada em identidade muito simples.
Se um problema o fato da chave pblica ser um valor numrico sem sentido explcito,
por que no calcular a chave secreta a partir da pblica, que passa a ser uma cadeia de
caracteres com algum signicado? Em [Shamir 1984], foi proposto que a chave pblica
fosse a prpria identidade do usurio, como nome, endereo de email, CPF, nmero de
telefone celular, endereo IP, nmero serial de dispositivos eletrnicos, etc.
Se a chave pblica predeterminada (igual identidade), como, ento, calcular
a chave secreta? A resposta a essa questo vem junto com as primeiras premissas de
segurana do modelo: existe uma AC, com as seguintes atribuies principais:
Criar e manter a guarda segura de uma chave mestra secreta sAC ;
Identicar e registrar todos usurios do sistema;
Calcular as chaves secretas dos usurios;
Entregar as chaves secretas de forma segura (com sigilo e autenticidade).
Em 1984, Shamir descreveu o modelo e algoritmos para assinatura digital. Foram
necessrias quase duas dcadas at que fossem descobertos algoritmos de cifragem ecientes e demonstrados seguros, para que o modelo baseado em identidade despertasse um
interesse renovado nos pesquisadores e na indstria.
Para ns de comparao, na tabela 2.2, v-se que a chave secreta calculada em
funo do segredo da autoridade do sistema e da identidade do usurio. Para uma f
conveniente, invivel recuperar a chave mestra a partir dos valores de ID. E somente
a autoridade capaz de gerar as chaves secretas, de modo que a prpria secreta s a
garantia de que o uso de ID funcionar nas operaes criptogrcas envolvendo o dono
dessa identidade.
Para cifrar uma mensagem para o dono de ID ou para vericar uma assinatura
de ID, os usurios usam a identidade ID mais os parmetros pblicos do sistema, que
incluem a chave pblica da autoridade (ver a gura 2.2).

53

54

Minicursos SBSeg 2009

Tabela 2.2. Atributos do modelo de criptograa de chave pblica baseada em identidade.


Chave secreta
s = f (ID, sAC )

Chave pblica
ID

calculada pela autoridade e


compartilhada com o usurio

escolhida pelo usurio ou


formatada pela autoridade

Garantia
s

Para decifrar uma mensagem destinada a ID ou para que este crie uma assinatura,
necessria a chave secreta de ID.

Vantagens
O modelo baseado em identidade atraente por apresentar vrias vantagens interessantes.
A primeira que a chave pblica pode, em grande parte dos casos, ser memorizvel por
humanos. Muito diferente da chave pblica convencional, que costuma ser uma cadeia
binria com centenas ou milhares de bits. A identidade pode ser informada pelo prprio
usurio aos seus parceiros e no h a obrigatoriedade de manuteno de diretrios de
chaves.
Se houver credibilidade na autoridade do sistema e no contedo identicador da
identidade, a certicao ocorre implicitamente. Tornam-se dispensveis os certicados
digitais e, mais ainda, a infraestrutura que os gerencie. Como consequncia, muitos procedimentos existentes sobre uma ICP deixam de existir nos sistemas baseados em identidade.
Para que seja possvel visualizar a economia de tempo de processamento, de custos de armazenamento e de transmisses de dados, vamos relembrar, por exemplo, como
, de maneira geral, uma operao de cifragem com ICP. Para Beto cifrar uma mensagem
para Alice, antes de tudo, ele deve obter o certicado que fora emitido para a Alice (con-

Figura 2.2. Cifrando no modelo baseado na identidade

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

sultando um diretrio pblico ou a prpria Alice). De posse do certicado, Beto precisa


vericar o perodo de validade e a assinatura contida no certicado. A vericao da
assinatura um processo que, s vezes, percorre todo o caminho de certicao das autoridades certicadoras envolvidas na hierarquia, at se chegar autoridade certicadora
raiz. Se at este ponto, nada falhou, Beto pode guardar o certicado da Alice para futuros
usos. Entretanto, antes de cada uso, Beto precisa consultar uma autoridade de validao,
para vericar se o certicado no foi revogado (quase sempre, um procedimento de consulta a um servidor que esteja on-line). Estando o certicado vlido e no revogado, Beto
extrai a chave pblica da Alice, cifra a mensagem e transmite.
No modelo baseado em identidade, basta que os parmetros do sistema sejam
autnticos (no modelo com ICP tambm preciso que os parmetros do sistema sejam
autnticos). Satisfeita essa condio, as operaes de Beto para cifrar com base na identidade se resumem a obter o identicador da Alice, cifrar e enviar (considerando-se que
revogao de identidade tratada como explicado adiante).
Uma peculiaridade do modelo baseado em identidade o fato da chave pblica
poder ser usada antes do clculo da chave secreta. Assim, possvel cifrar uma mensagem
para quem ainda no se registrou junto autoridade do sistema nem possui chave secreta
de decifragem. Por contraste, no modelo com certicados, o usurio deve primeiramente
se registrar e obter seu certicado, para ento poder receber uma mensagem cifrada sob
sua chave pblica.

Desvantagens
O preo a pagar por todas essas vantagens uma srie de desvantagens, que, em alguns
contextos, podem ser muito crticas.
A primeira desvantagem, que caracterstica de sistemas baseados em identidade
puros (isto , sem modicaes que tentam minimizar ou eliminar os efeitos dessa
caracterstica) a custdia de chaves. Conforme explicado anteriormente, a autoridade
do sistema tem a capacidade de gerar as chaves secretas de todos os usurios sob sua
responsabilidade. Isso implica que a autoridade alcana nvel 1 de conana, na denio
de [Girault 1991]. Consequentemente, pode decifrar quaisquer textos cifrados a que tiver
acesso (se puder identicar a identidade do destinatrio). Tambm pode assinar em nome
de qualquer usurio e no h como garantir irretratabilidade. Portanto, fundamental que
a autoridade do sistema seja convel o bastante para que aes de bisbilhotagem ou de
falsicao como essas sejam controlveis.
A propriedade de custdia de chaves, referenciada por key escrow nos textos em
ingls, nem sempre indesejvel. Dentro de uma empresa, por exemplo, se todos os documentos e dados sensveis so cifrados pelo funcionrio que o gerou, a diretoria pode ter
acesso decifragem em caso de morte ou desligamento do funcionrio. Quando houver
necessidade de monitoria do contedo de emails cifrados, tambm pode ser justicvel a
custdia de chaves. No entanto, para a maioria das aplicaes, custdia de chaves uma
desvantagem.
Outro ponto desfavorvel ao modelo baseado em identidade a necessidade de

55

56

Minicursos SBSeg 2009

um canal seguro para distribuio das chaves secretas. Se a entrega ocorrer num ambiente em rede e remotamente, h que se garantir autenticao mtua e entrega com sigilo.
Para podermos comparar, no modelo sobre ICP, a autenticao frequentemente acontece
durante o registro do usurio junto autoridade de registro (muitas vezes presencial), mas
no h transmisso nem compartilhamento de segredo.
Do lado do usurio, a guarda da chave secreta deve ser prova de perdas e roubos,
o que sugere o uso de mecanismos adicionais para proteo da chave, como dispositivos
de hardware, senha ou desao/resposta. E sempre que for necessrio renovar a chave
secreta, obrigatria a interao do usurio com a autoridade do sistema. Esses aspectos
de guarda e renovao parecem ser equivalentemente implementados nos modelos com
ICP e baseado em identidade.
O risco de comprometimento da chave mestra no sistema baseado em identidade muito alto, maior que no modelo convencional. Sobre a ICP, o comprometimento
da chave secreta da autoridade potencialmente leva criao de certicados falsos de chaves pblicas. Portanto, so afetadas as operaes que ocorrerem num momento posterior
ao comprometimento da chave mestra. J no modelo baseado em identidade, quando a
chave mestra roubada ou perdida, operaes criptogrcas do passado e do futuro esto comprometidas, para todos os usurios sob a autoridade em questo. Qualquer texto
cifrado capturado poder ser decifrado, se o intruso souber as identidades, e independentemente se a cifra foi gerada antes ou depois do vazamento da chave mestra.
Outra preocupao que se deve ter no modelo baseado em identidade a possibilidade de revogao de identidades. Caso a chave secreta de um usurio seja comprometida, sua identidade deve ser revogada. Portanto, no recomendvel usar simplesmente o
nmero do CPF ou do telefone celular, por exemplo, como identicador de usurio. Nem
sempre possvel cancel-los. Uma alternativa concatenar ao identicador principal
um perodo de validade, como em JoaoSilva-deJan09aDez09. Caso esse usurio
tenha seu segredo comprometido, nova chave secreta poderia ser gerada para uma nova
identidade, como JoaoSilva-deAgo09aDez09. No entanto, pode no ser trivial garantir que ningum use a antiga identidade comprometida. Diminuir a granularidade do
perodo, por um lado pode ajudar, por outro, sobrecarregar a autoridade, que ter que
renovar as chaves com maior frequncia (e vale lembrar que a cada renovao o canal
seguro deve ser restabelecido).
Caractersticas Adicionais
Como observado por [Shamir 1984], o modelo baseado em identidade ideal para grupos fechados de usurios, como executivos de uma multinacional ou liais de um banco,
uma vez que a sede dessas corporaes podem servir como autoridade do sistema, em
que todos conam. Aplicaes de pequena escala, em que os custos com implantao e
manuteno de uma ICP sejam proibitivos, so candidatas ao uso do modelo baseado em
identidade. Quando as desvantagens citadas anteriormente no forem crticas, as caractersticas do modelo possibilitam implementaes interessantes.
Vale evidenciarmos a exibilidade de denio da chave pblica. A cadeia de
caracteres associada com a identidade pode, em princpio, ser qualquer coisa. A con-

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

catenao de indicadores de tempo e atributos possibilitam aplicaes em servios com


disponibilidade temporal ou sigilo no envio de mensagens com base em papis, como
descrito em [Misaghi 2008].
Alguns exemplos de servios com disponibilidade temporal: documento condencial que possa ser revelado imprensa ou a um grupo particular, somente a partir de
determinada data e hora; lances de um leilo que devem ser mantidos em segredo at o
m das negociaes; ou exibio de um lme que deve ser habilitada somente dentro do
perodo de locao contratado.
Vrios trabalhos foram desenvolvidos para adaptar o modelo baseado em identidade a hierarquias de autoridades, dentre os quais, o de [Gentry e Silverberg 2002]
um dos pioneiros. Uma das vantagens em trabalhar de forma hierrquica diviso da
responsabilidade da autoridade do sistema com autoridades subordinadas. E isso traz
consequncias importantes. A criao das chaves secretas dos usurios pode ser delegada
a nveis inferiores da hierarquia, distribuindo a carga de trabalho da entidade geradora.
Alm disso, o segredo de cada usurio passa a depender das chaves mestras de mais de
uma autoridade e, portanto, diminui o risco do comprometimento de uma chave mestra e
h maior controle sobre o uso indevido de uma chave secreta por conta da custdia.
A organizao hierrquica de autoridades tambm viabiliza a cifragem para
grupos de usurios. Mas uma generalizao desse tema se deu com o trabalho de
[Abdalla et al. 2006], a partir do qual a identidade pode conter caracteres curingas. Num
servio de correio eletrnico cifrado, por exemplo, *@*.usp.br atinge todos usurios
de todos departamentos da USP; admin@*.usp.br diz respeito a todos administradores de sistema dentro daquela universidade.
O modelo baseado em identidade tambm tem sido alvo de estudos na
busca por alternativas ao SSL/TLS, para aplicaes na Web, como se pode ver em
[Crampton et al. 2007]. Com a eliminao de certicados, simplicam-se o processo
de distribuio de chaves pblicas e o controle de acesso. De forma semelhante, o
modelo tem sido explorado para prover segurana em vrias outras reas de aplicao,
como computao em grade e redes de sensores (ver por exemplo [Lim e Paterson 2005]
e [Szczechowiak et al. 2008]) e outras aplicaes na subseo 2.3.2.
2.2.2. Criptograa de Chave Pblica Autocerticada
O modelo de criptograa de chave pblica autocerticada foi proposto inicialmente em
[Girault 1991]. Aqui, a ideia que a prpria chave pblica contenha uma garantia de
que seu valor est associado com a identidade. Isso possvel se existir uma autoridade
convel que auxilia na gerao da chave pblica e se o clculo dessa chave depender:
da identidade do usurio;
do segredo da autoridade;
e do segredo do usurio.
A criao da chave pblica autocerticada sempre ocorre a partir de um protocolo interativo entre o usurio e a autoridade. Analogamente ao modelo convencional de

57

58

Minicursos SBSeg 2009

criptograa de chave pblica, na proposta de Girault o usurio escolhe sua prpria chave
secreta e a mantm em sigilo. Durante a interao, tanto o usurio quanto a autoridade
precisam comprovar que conhecem um segredo (suas respectivas chaves secretas), sem
revel-lo ao outro. Desse modo, a interao pode embutir um protocolo de identicao,
uma assinatura ou uma forma qualquer de conhecimento-zero.
Dependendo da construo do protocolo, a chave pblica calcula pelo usurio
ou pela autoridade. Porm, em todos os casos, s o usurio conhece sua chave secreta, o
que signica que no h custdia de chaves, um dos pontos fracos do modelo baseado em
identidade. Os atributos desse modelo so resumidos na tabela 2.3.
Tabela 2.3. Atributos do modelo de criptograa de chave pblica autocerticada.
Chave secreta
s

Chave pblica
P = f (ID, s, sAC )

escolhida pelo usurio

calculada pela autoridade ou pelo usurio,


em um protocolo de prova interativa

Garantia
P

O uso de uma chave pblica falsa impede a correta inverso da operao criptogrca. Em outras palavras, se Beto cifrar um texto com uma chave pblica falsicada para
Alice, ela no ser capaz de decifr-lo. Da mesma forma, se Alice assinar um documento,
todos que forem enganados sobre sua verdadeira chave pblica no podero vericar essa
assinatura. Isso caracteriza o que chamamos de certicao implcita.
No modelo tradicional com certicados, a validade da chave pblica explicitamente vericada antes de seu uso. J no modelo autocerticado, isso no ocorre. A
legitimidade de uma chave pblica autocerticada conrmada implicitamente quando a
inverso da operao criptogrca for bem sucedida. claro que essa propriedade nem
sempre conveniente. Em [Kim et al. 1999], por exemplo, pode ser conferida uma soluo em que possvel vericar previamente a chave certicada. Na gura 2.3, vemos o
uso da chave autocerticada num processo de cifragem e decifragem.

Figura 2.3. Cifrando no modelo autocerticado

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Em seu trabalho, Girault mostrou duas formas de se gerar chave pblica autocerticada e indicou como realizar um acordo de chaves com autenticao mtua. Em outro
trabalho independente, [Gnther 1989], tambm foi apresentado um protocolo de acordo
de chaves com autenticao em que as identidades dos usurios eram usadas nos clculos
da chave negociada. A ideia de explorar a identidade para indiretamente validar a chave
pblica retomada em [Al-Riyami e Paterson 2003], com outro modelo alternativo, que
estudaremos na prxima subseo.
Em sntese, a vantagem mais importante da criptograa de chave pblica autocerticada a inexistncia de certicados digitais para as chaves pblicas (uma vez que a
certicao acontece implicitamente) e sem recair em custdia de chaves.
Em contrapartida, surgem desvantagens. Relativamente ao modelo baseado em
identidade, o de chave pblica autocerticada menos atrativo por requerer um repositrio de chaves pblicas (ou cada usurio deve informar sua chave pblica aos outros).
Entretanto, o ponto mais crtico a segurana do modelo originalmente denido
em [Girault 1991]. Na poca daquela publicao, as formalizaes de demonstrao de
segurana para criptograa de chave pblica comeavam a ser construdas. At ento, os
protocolos no possuam demonstraes matemticas de sua segurana; continham simplesmente alguns argumentos intuitivos sobre a diculdade de sua quebra. Os protocolos
de Girault e a maioria dos trabalhos subsequentes no apresentavam modelos formais de
segurana e, portanto, no eram demonstrados seguros. Ao contrrio, muitos deles foram
quebrados em algum momento posterior.
At mesmo os esquemas de [Girault 1991] sofreram abalo. No texto original, o
autor alegou ter encontrado uma forma de manter o nvel 3 de conana na autoridade,
sem ter que distribuir certicados digitais. Em [Saeednia 2003], no entanto, os esquemas
de Girault foram rebaixados ao nvel 1 (o mesmo do modelo baseado em identidade). Uma
correo foi sugerida nesse mesmo artigo, porm o preo para se recuperar a classicao
de nvel 3 foi um alto custo computacional.
Vrios pesquisadores estudaram o problema de construir esquemas baseados na
chave pblica autocerticada que pudessem ser demonstrados seguros. Os resultados
positivos quase sempre surgiram quando foram introduzidas variaes sobre a concepo
original de Girault.
Essas variaes, que ganharam nomes como certicado implcito ou assinatura
autocerticada, so mais adequadamente enquadrados dentro de outros modelos. Breves
descries sobre as variantes mais interessantes sero dadas na subseo 2.3.3.
A chave pblica autocerticada, como garantia de autenticao do usurio, no
evoluiu como modelo independente. Isto , no se chegou, pelo menos at o momento, a
um conjunto de primitivas bsicas que garantam condencialidade, autenticidade e integridade, todas demonstravelmente seguras.
2.2.3. Criptograa de Chave Pblica sem Certicados
O modelo de criptograa de chave pblica sem certicados foi apresentado originalmente
em [Al-Riyami e Paterson 2003]. Os autores buscavam uma forma de eliminar a custdia de chaves do modelo baseado em identidade, mais especicamente do protocolo de

59

60

Minicursos SBSeg 2009

cifragem de [Boneh e Franklin 2001]. Combinando ideias deste ltimo com o modelo
de chave pblica autocerticada de [Girault 1991], chegou-se a um modelo intermedirio
entre o baseado em identidade e o convencional com certicados.
O modelo resultante deixa de ser baseado em identidade, pois h uma chave pblica diferente do identicador do usurio. Porm, por haver uso da identidade, ocorre
a certicao implcita, sem que haja necessidade de distribuio e armazenamento de
certicados digitais. Por esses motivos, costuma-se dizer que o modelo sem certicados
de [Al-Riyami e Paterson 2003] rene o melhor dos dois paradigmas: no h certicados
e no h custdia de chaves.
Como nos modelos anteriores, o sem certicados tambm depende da existncia
de uma autoridade de conana AC. O papel dela , alm de identicar e registrar todos
os usurios, calcular parte das chaves secretas dos usurios.
O clculo das chaves parciais envolve a chave mestra secreta da autoridade, e a
identidade do usurio. A entrega dessas chaves parciais deve acontecer de forma segura,
com autenticidade e sigilo. Porm, s com o conhecimento da chave secreta parcial, no
possvel decifrar nem assinar documentos. Logo no h custdia de chaves.
A chave pblica de cada usurio calculada de modo semelhante ao que ocorre
no modelo convencional. Cada usurio escolhe seu segredo e gera a chave pblica a partir
desse segredo. A chave pblica pode ser divulgada pelo prprio usurio ou colocada em
um diretrio pblico.
A chave secreta completa composta por duas partes: a parcial fornecida pela
autoridade e o segredo do usurio. Somente com essas duas partes possvel assinar
mensagens ou realizar decifragens. E o usurio o nico que conhece o segredo completo.
Na tabela 2.4, podemos visualizar os principais parmetros envolvidos no modelo
sem certicados.
Tabela 2.4. Atributos do modelo de criptograa de chave pblica sem certicado.
Chave secreta
s = [x, d]

Chave pblica
[P, ID]

x segredo escolhido pelo usurio


d = f (ID, sAC ) segredo parcial calculado pela
autoridade e compartilhado com o usurio

P = f (x)
calculada pelo usurio

Garantia
s

Para cifrar uma mensagem para A ou para vericar uma assinatura de A, outros
usurios precisam da chave pblica e da identidade de A. Desse modo, podemos dizer que
a identidade parte da chave pblica. Dentre os parmetros do sistema, a chave pblica
da autoridade fundamental nos clculos e um dos dados de entrada (ver a gura 2.4).

Para criar uma assinatura de A necessria a chave secreta completa de A, mais a

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Figura 2.4. Cifrando no modelo sem certicado

identidade de A, a m de se conrmar a certicao implcita. Para decifrar uma mensagem emitida para A, basta a chave secreta completa de A.
Na anlise de segurana do modelo sem certicado, os autores modelaram dois
tipos de adversrios. O primeiro cumpre o papel de um usurio do sistema que tem o
poder de substituir a chave pblica de qualquer outro usurio; ele no entanto desconhece
a chave mestra da autoridade. Esse tipo de adversrio foi denido, pois, como no h
certicados para validarem explicitamente as chaves pblicas antes de seu uso, no h
garantia alguma da veracidade delas.
O segundo tipo de adversrio representa a prpria autoridade do sistema que, embora honesta, pode tentar bisbilhotar as mensagens cifradas.
Um esquema considerado seguro no modelo sem certicados quando acompanhado de uma prova de que adversrios, de qualquer dos dois tipos, alcanam probabilidade desprezvel de sucesso em diferenciar entre duas cifras de duas mensagens
conhecidas.
O esquema de cifragem apresentado em [Al-Riyami e Paterson 2003] foi demonstrado seguro sobre essa modelagem de dois adversrios. Posteriormente, surgiram propostas de assinatura e outros protocolos variantes, com demonstraes sob os mesmos
princpios desse modelo de segurana.
A criptograa de chave pblica sem certicados apresenta outras vantagens, alm
da j citada desnecessidade de distribuio de certicados e eliminao da custdia de
chaves.
Primeiramente, o risco do comprometimento da chave mestra menor do que
no modelo baseado em identidade. Se houver perda ou violao da chave mestra num
sistema sem certicado, sero comprometidas apenas as chaves secretas parciais. Para
conseguir decifrar mensagens cifradas anteriormente ao comprometimento da chave mestra, o impostor dever tambm obter o segredo do usurio. E para personicar usurios
ou decifrar novas mensagens, antes ter que substituir chaves pblicas por valores cujo
segredo associado seja escolhido pelo adversrio.
Outra propriedade, que exclusiva do modelo sem certicado, que o processo

61

62

Minicursos SBSeg 2009

de renovao da chave pblica pode ser totalmente controlado pelo usurio. Isto , o
usurio pode atualizar sua chave pblica e at mesmo possuir vrias delas, sem ter que se
comunicar com a autoridade do sistema. A chave secreta parcial ser nica e gerada uma
s vez para cada identicador.
E, assim como no modelo baseado em identidade, possvel criar a chave pblica e us-la (para cifrar) antes mesmo que o usurio tenha entrado em contato com a
autoridade para seu registro e obteno da chave parcial (que habilitar a decifragem).
Uma das desvantagens do modelo que ainda no tem uma soluo simples o que
foi chamado de ataque Denial of Decryption (DoD), em referncia aos ataques de negao
de servio [Liu et al. 2007]. O DoD se d quando algum divulga falsamente uma chave
pblica ou a substitui em um repositrio pblico, com o objetivo de prejudicar um usurio
legtimo do sistema. Este, por sua vez, ser incapaz de decifrar mensagens que lhe tenham
sido enviadas, se tiverem sido cifradas com a chave falsa. Analogamente, assinaturas
vlidas deixam de ser vericveis se for divulgada uma chave pblica ilegtima. E, num
primeiro instante, no ser possvel detectar se o que est errado a chave ou a assinatura.
Outro preo a se pagar pela vantagem de no haver certicados uma consequncia da autenticao implcita. Quem envia uma mensagem cifrada s ter condies de
vericar a autenticidade da chave pblica depois que o destinatrio conseguir decifrar.
Um remetente ter cincia de um eventual ataque DoD somente depois de ter consumido
considervel tempo de processamento e de comunicao.
Embora no seja necessrio armazenar nem distribuir certicados, o modelo ainda
requer um repositrio de chaves pblicas (ou uma forma de distribuio dessas chaves).
Porm, mais crtico do que manter esse repositrio, gerenciar um canal autntico e
condencial para entrega da parcial secreta; no modelo convencional com ICP, o canal
deve ser autntico, mas o certicado pblico.
Comparando com o modelo baseado em identidade, aqui esse canal seguro usado
com frequncia um pouco menor: basta uma troca segura para cada identicador de usurio. No modelo baseado em identidade, se forem usados perodos de validade no identicador, o canal seguro ter que ser estabelecido a cada renovao.
Da forma como foi proposto originalmente, o modelo sem certicado situa-se no
nvel 2 de conana na autoridade, pois uma autoridade desonesta pode divulgar chaves
pblicas falsas. E no possvel comprovar se quem gerou a chave falsa foi a autoridade
ou um usurio qualquer.
Uma autoridade desonesta pode proceder da seguinte forma: ela escolhe um segredo, calcula a chave pblica correspondente e a divulga como se fosse de um usurio A;
se a autoridade capturar textos cifrados para A sob essa falsa chave pblica, ter condies
de decifr-los, pois conhece o segredo e a chave parcial secreta. Em seguida, para tentar
ocultar a fraude, cifra novamente com a chave pblica verdadeira e repassa para o destinatrio, ngindo ser o remetente original. Raciocnio semelhante vale para falsicao de
assinatura por parte da autoridade.
Portanto, os usurios de um sistema no modelo sem certicados precisam conar
que a autoridade do sistema no propaga ativamente chaves pblicas falsas.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Conforme discutido em [Al-Riyami 2005], possvel elevar o nvel de conana


dentro do modelo sem certicado, se o valor da chave pblica for includo no clculo
da chave parcial secreta. Desse modo, possvel detectar uma fraude da autoridade, sob
algumas condies, explicadas a seguir.
Vamos primeiro considerar o caso de um esquema de assinatura, projetado para
garantir irretratabilidade. No modelo sem certicados, para assegurar que uma assinatura
no tenha posteriormente a autoria negada, o identicador de cada usurio deve incluir o
valor da chave pblica, por exemplo, concatenando ID com P (ID||P). E no clculo da
chave parcial secreta, o usurio precisa provar o conhecimento do valor secreto correspondente; ao mesmo tempo, a autoridade tambm deve demonstrar que conhece a chave
mestra. Em outras palavras, a gerao da chave parcial deve consistir de um protocolo
interativo com provas de posse de segredo. Nessas condies, o esquema de assinatura
tem a propriedade de irretratabilidade e a autoridade alcana nvel 3 de conana.
Para esquemas de cifragem, a anlise um pouco mais trabalhosa. Quando o
identicador do usurio embute o valor da chave pblica (como em ID||P), no h obrigatoriedade de que a chave parcial seja mantida em segredo. Isso verdade, pois, a
parcial sozinha no a chave secreta completa e, para que a autoridade consiga bisbilhotar mensagens de algum usurio, antes ter que substituir falsamente a chave pblica e o
identicador, alm de gerar nova parcial.
Considere, ento, a seguinte fraude: a autoridade substitui a identidade original
da Alice ID||P por ID||P ; Beto, ao tentar enviar uma mensagem com sigilo para Alice,
enganado sobre os dados dela e cifra usando ID||P ; a autoridade captura tal mensagem e
a decifra, descobrindo o contedo; a autoridade cifra novamente sob o identicador real
e submete para Alice como se nada anormal tivesse ocorrido.
Nem sempre essa fraude ser detectvel. Primeiro, Beto e Alice tero que desconar de tal possibilidade e perceberem que a Alice possui dois identicadores distintos:
um foi usado por Beto para cifrar, e outro pela Alice para decifrar.
Se a chave parcial for considerada pblica, a evidncia dessa fraude ser a existncia das duas chaves parciais, que s a autoridade consegue emitir. No entanto, a autoridade
tentar ocultar a chave parcial derivada da chave pblica falsa, para no se autoincriminar.
Por outro lado, se a chave parcial for considerada secreta, compartilhada apenas
entre a autoridade e o usurio em questo, a evidncia criptogrca dessa fraude ser a
existncia de duas cifras para uma mesma mensagem, sob duas chaves pblicas distintas
de Alice. Entretanto essa evidncia pode ser questionada pela autoridade: quem garante
que Beto no inventou a chave pblica falsa, criou as duas cifras e est tentando levantar
suspeitas sobre a autoridade?
Desse modo, nem sempre a fraude ser detectvel para o caso de cifragem. E o
nvel de conana no chega a 3.
Usos e aplicaes do modelo sem certicado so em grande parte relacionados
s aplicaes do modelo baseado em identidade. Quando uma aplicao deste ltimo
tiver como requisito a eliminao da custdia de chaves, o modelo sem certicado pode
ser empregado. Isso pode ser armado, pois protocolos com base na identidade quase

63

64

Minicursos SBSeg 2009

sempre podem ser modicados para o modelo de Al-Riyami e Paterson.


O modelo sem certicado tambm indicado para uso em grupos fechados ou parceiros de negcios, em contextos em que a autoridade de conana pode ser representada
por algum do prprio grupo.
2.2.4. Criptograa de Chave Pblica Baseada em Certicado
O modelo de criptograa de chave pblica baseada em certicado, proposto por
[Gentry 2003] uma variao do modelo convencional que mantm a infraestrutura de
chaves pblicas.
O objetivo inicial do autor era resolver o problema de revogao de chaves pblicas e eliminar o trfego de validao de certicados. Na soluo proposta, os certicados
so usados apenas pelo prprio usurio dono (e no por todos que precisem se comunicar
com segurana com o proprietrio do certicado, como no modelo tradicional).
No modelo de Gentry, a hierarquia de autoridades certicadoras existe da mesma
forma que nas ICPs sob padro X.509. Cada usurio cria seu par de chaves, ou, alternativamente, a autoridade cria e entrega para o usurio, dependendo dos requisitos da
aplicao.
O que muda para a autoridade certicadora que, para cada perodo i predeterminado, novo certicado deve ser gerado para todos os usurios (e esse perodo menor
que na ICP comum). Esse certicado funciona como se fosse uma parte adicional chave
secreta do usurio, pois sem certicado vlido para um perodo, no possvel assinar
nem decifrar. Portanto, do ponto de vista do usurio, o que muda em relao ao modelo
convencional a forma como usado o certicado.
Ao proprietrio do certicado, cabe a responsabilidade de obter e armazenar localmente o certicado vlido para o perodo. Ele ser usado como se fosse um componente
da chave secreta, embora possa ser distribudo em canal pblico.
Aos usurios terceiros, o certicado no tem serventia alguma, pois para cifrar
para A ou para vericar uma assinatura de A, bastam a chave pblica e a identidade de A,
mais o perodo i. A certicao da chave pblica ocorre implicitamente.
Na tabela 2.5, podemos visualizar os principais parmetros envolvidos no modelo
baseado em certicado. E, na gura 2.5, ilustrado o processo de cifragem e decifragem.
Tabela 2.5. Atributos do modelo de criptograa de chave pblica baseado em certicado.
Chave secreta
[s, c]

Chave pblica
[P = f (s), ID]

Garantia
c = f (ID, P, sAC , i)

s segredo
escolhido pelo usurio
(ou pela autoridade)

calculada pelo usurio


(ou pela autoridade)

c o certicado
calculado pela autoridade
(exclusivamente), para perodo i

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Figura 2.5. Cifrando no modelo baseado em certicado

Se compararmos com o modelo convencional de ICP, o modelo de Gentry tem


como principal vantagem a eliminao do trfego de validao dos certicados, ou seja,
no h consultas para vericao do estado do certicado. O autor estabelece que o
certicado emitido para o perodo i automaticamente invalidado quando expira o prazo
para o qual foi emitido. Uma premissa fundamental que a chave pblica sempre
considerada vlida por quem a usa. Portanto, o perodo deve ser curto o bastante para que
o comprometimento de uma chave secreta cause o menor dano possvel at o m daquele
perodo.
Se uma chave secreta comprometida, o usurio notica a autoridade e gera novo
par de chaves. A autoridade, por sua vez, passa a emitir certicados somente para a nova
chave.
O trabalho que um usurio tem antes de cifrar para algum (ou vericar uma
assinatura) , portanto, o de obter a identidade e a chave pblica e de us-las diretamente.
Numa ICP convencional, como j dissemos anteriormente, primeiro necessrio obter o
certicado, veric-lo (prazo de validade e assinatura), valid-lo (consultar uma lista de
certicados revogados, por exemplo), para ento extrair e usar a chave pblica.
Comparando com o modelo baseado em identidade, o baseado em certicado tem
a vantagem de eliminar a custdia de chaves, pois a criao do par de chaves acontece exatamente como no sistema tradicional, em que a chave secreta pode ser de conhecimento
exclusivo do usurio.
Em relao ao modelo sem certicado, o de Gentry apresenta como vantagens o
nvel 3 de conana na autoridade e a no necessidade de canal sigiloso para troca de
segredos. Em contrapartida, o modelo baseado em certicado ainda requer uma infraestrutura para emisso e distribuio de certicados e pode ser considerado simplesmente
uma variao do modelo convencional de criptograa de chave pblica sobre ICP.
A principal desvantagem do modelo de Gentry a potencial sobrecarga sobre a
autoridade, devido reemisso de certicados. Isso vai depender de como for denido,
no sistema, a frequncia com que os certicados devem ser atualizados, combinado com o
nmero de usurios. Para quando for grande o nmero de usurios, o autor descreve uma
tcnica auxiliar, que foi denominada subset covers, em que os certicados tm sobrevida

65

66

Minicursos SBSeg 2009

maior e so reconrmados a cada perodo de tempo; como consequncia, a carga de


emisses diminui.
Um ponto bastante crtico associado ao modelo baseado em certicado situa-se
nos detalhes de projeto e implementao, pois deles dependem o quo bem ser resolvido
o problema de revogao de certicados.
Dentro do modelo baseado em certicado, revogao signica: a autoridade para
de emitir certicados para a chave pblica cuja secreta foi comprometida. Na realidade,
nem chave pblica e nem certicado revogado.
Suponha que Alice teve seu segredo violado e imediatamente ela entrou em contato com a autoridade para gerar novo par de chaves. Se os demais usurios no forem
informados de que a chave pblica foi alterada e a continuarem usando, aquele que violou
a antiga chave da Alice potencialmente poder usar o certicado revogado at o m do
perodo de validade dele, seja na tentativa de falsicar assinaturas ou para ler documentos
cifrados, capturados de alguma forma.
Desse modo, o ideal que, antes de usar uma chave pblica, todo usurio a obtenha de algum repositrio atualizado, ou a pegue diretamente do usurio que a gerou.
E ambas possibilidades requerem sistemas online, aproximando-se mais do que costuma
ser implementado tradicionalmente, com listas de certicados revogados (CLR) ou vericao online do estado do certicado (OCSP). Outra alternativa reduzir o perodo i de
emisso de certicados, o que sobrecarrega a autoridade.
Se a deciso de projeto for para que seja mantido um repositrio de chaves pblicas vlidas, consultado por todos usurios antes de uma operao criptogrca, surge
nova preocupao no gerenciamento de chaves: a segurana desse repositrio deve ser
adequada o bastante para que ele nunca seja atualizado falsamente. E esse repositrio de
chaves pblicas substitui o que seria um repositrio de certicados digitais, na implementao convencional.
Por outro lado, cada usurio talvez tenha que ter um repositrio particular de certicados emitidos para vrios perodos. Isso pode ocorrer se i for relativamente pequeno
e existirem, por exemplo, certicados diferentes para cada hora ou menos. Suponha um
sistema de email baseado em certicado e o seguinte cenrio. Alice ca fora da empresa,
em visita a algum cliente, passa um perodo sem consultar o sistema, e ao mesmo tempo
recebe grande quantidade de emails cifrados. Ao retornar, Alice ter que obter todos os
certicados necessrios para ler as mensagens, alguns referentes a um mesmo perodo,
outros no.
Cabe um comentrio sobre o tamanho do certicado de Gentry. A rigor, o autor separa as informaes do certicado em duas partes. Os dados do usurio, que so
essencialmente textuais, fazem parte de seu ID; os usurios podem manter uma cpia
local ou, por praticidade, guardar apenas um hash desses dados, pois eles sero usados
nos protocolos. O equivalente assinatura da autoridade sobre os dados do certicado,
ca sicamente separado dos dados. O que o autor chama de certicado, e que usado
como parte da chave secreta, apenas esse valor de assinatura. E somente esse valor
atualizado e transmitido constantemente.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Portanto, embora o trfego para distribuio de certicados possa ser mais contnuo, em cada conexo, o tamanho dos dados menor. Ainda assim, no trivial comparar
o trfego neste modelo com o padro X.509.
O trfego para distribuio de certicados pode ser maior ou menor no modelo
baseado em certicado. Isso depende das caractersticas do sistema que o implementar.
Digamos que Alice se comunica com sigilo com uma quantidade n de outros usurios do
sistema. Nenhum desses n usurios ter que obter certicado da Alice (como ocorre no
modelo da ICP tradicional), mas Alice tem que obter seu prprio certicado, um nmero
x de vezes. Durante a fase de projeto de um sistema baseado em certicado, prudente
avaliar como x se relaciona com n e averiguar se o valor de x pode ser um problema ou
no.
Em [Gentry 2003], armado que o modelo baseado em certicado comea a se
tornar ineciente atualizando, a cada hora, mais de 225 milhes de certicados, aproximadamente. Esses dados foram obtidos pelo autor, analisando a capacidade de autoridades
certicadoras em sistemas na poca.
Para a anlise de segurana do modelo, similarmente ao modelo sem certicados, so denidos dois tipos de adversrios: um representa o usurio comum, porm no
certicado; outro adversrio representa a prpria autoridade, que no conhece o segredo
dos usurios e considerada honesta em no divulgar falsas chaves pblicas, mas tenta
bisbilhotar mensagens cifradas.
Os esquemas demonstrados seguros no modelo baseado em certicado preveem
os dois tipos de usurio. Isto , um esquema de cifragem demonstrado seguro se, sob
a condio de que o adversrio, seja de qual tipo, no conhece o segredo associado a
uma chave pblica, alvo de um ataque, no tem condies de diferenciar entre dois textos
cifrados de duas mensagens distintas. E isso acontece mesmo que o adversrio tiver
a capacidade de decifrar mensagens para outras chaves pblicas. E num esquema de
assinatura, apenas com o conhecimento do certicado e da chave pblica, os adversrios
de ambos os tipos no so capazes de gerar uma assinatura vlida.
Conforme detalharemos na subseo 2.3.5, os esquemas de assinatura mais recentes so demonstrados seguros mesmo que o adversrio tenha a capacidade de substituir
chaves pblicas por valores sua escolha, porm sob a condio de que no h emisso
de certicado vlido para a falsa chave.
Para se compreender o nvel de conana que a autoridade alcana sob o modelo
baseado em certicado, necessria uma anlise semelhante que foi apresentada no
estudo do modelo sem certicado. Aqui, o certicado uma assinatura da autoridade
sobre as informaes de identicao do usurio, incluindo a chave pblica e um perodo.
Para que num esquema de assinatura haja garantia de irretratabilidade, o registro
da chave pblica deve ocorrer sob canal autntico e com prova de posse de segredo. Se a
autoridade divulgar uma chave pblica ilegtima, ela ter condies de criar um certicado
para essa chave e assinar falsamente. A fraude ser detectada se toda chave pblica (usada
na vericao de assinaturas) for divulgada obrigatoriamente junto do certicado. Dois
certicados e duas chaves comprometem a idoneidade da autoridade. Nessas condies,
o nvel de conana 3 e h irretratabilidade de assinatura.

67

68

Minicursos SBSeg 2009

Nos esquemas de cifragem, tambm ser necessria a publicao do certicado


junto de cada chave pblica. Isso se deve ao fato da autoridade pretender decifrar mensagens, cifradas sob falsas chaves pblicas, e reenviar ao usurio nal recifradas com
a verdadeira chave. A evidncia da fraude se dar com a existncia de um certicado
emitido para a chave falsa. Como somente a autoridade tem acesso chave mestra, s
ela emite certicados. Se a substituio de chave pblica ocorrer em canal autntico, a
autoridade responsabilizada pela fraude.
Entretanto, gerenciar o armazenamento de todos os certicados, para cada chave
pblica, passa a ser uma preocupao adicional. E maior que na ICP tradicional, pois a
tendncia que o volume de certicados seja maior.

2.3. Construes e Aplicaes


Para as prximas subsees, selecionamos alguns protocolos que ilustram o funcionamento do modelos alternativos. Tambm citaremos os trabalhos que marcaram a evoluo
de cada paradigma e descreveremos aplicaes que podem ter soluo mais elegante ou
eciente em um modelo em particular. Primeiramente, descreveremos alguns conceitos
preliminares, necessrios para a compreenso dos algoritmos.
2.3.1. Conceitos Fundamentais
Grupos
Um grupo um conjunto no vazio dotado de uma operao , que satisfaz as seguintes
propriedades [Koblitz 1994]:
Possui um elemento identidade: quando aplicada a operao sobre um elemento
Q qualquer do grupo e a identidade, o resultado o prprio elemento Q;
Possui o elemento inverso: quando aplicada a operao sobre um elemento Q
qualquer do grupo e seu elemento inverso de Q, o resultado o elemento identidade;
Associativo: se Q, R, S pertencem ao grupo, ento (Q R) S = Q (R S);
Fechado: a operao sobre elementos do grupo sempre tem como resultado um
elemento do grupo.
Na verdade no denimos o que a operao , ns a usamos para genericamente
denir operaes de adio ou multiplicao. Quando um grupo denido para operaes
de adio podemos dizer que um grupo aditivo, neste texto iremos represent-lo por G1 ;
quando um grupo denido para operaes de multiplicao dizemos que um grupo
multiplicativo e iremos represent-lo por G2 .
Quando o nmero de elementos de um grupo nito, este nmero e chamado de
ordem do grupo.
Podemos aplicar a operao sobre o mesmo elemento Q do grupo n vezes, com
n um nmero natural: Q Q Q Q. Para Q G1 representamos por nQ, no caso
de Q G2 representamos por Qn . Dizemos que Q um elemento gerador do grupo

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

quando podemos representar todos os elementos deste grupo atravs de Q operado sobre
ele mesmo. Se o grupo possui um elemento gerador chamado de grupo cclico.
Em implementaes prticas, os grupos de interesse so formados por pontos sobre alguma curva elptica.
Emparelhamento Bilinear
Sejam G1 e G2 grupos cclico de ordem prima q. Um emparelhamento bilinear admissvel, de acordo com a denio em [Boneh e Franklin 2001], um mapeamento
e : G1 G1 G2 , que satisfaz as seguintes condies:
1. Bilinear: para qualquer P, Q G1 e a, b Zq , temos:
e(aP, bQ) = e(P, Q)ab = e(abP, Q) = e(P, abQ)
2. No Degenerado: no leva todos os pares G1 G1 identidade em G2
3. Computvel: existe algoritmo eciente que calcula e(P, Q) para todos P, Q G1
Modelos de Segurana
Os modelos de segurana so a base da demonstrao formal de que um algoritmo
seguro e indicam quais so as condies para que ele opere sem riscos. Os protocolos
demonstravelmente seguros sob o modelo padro tendem a ser mais robustos e os demonstrados sob o modelo do orculo aleatrio tendem a ser mais ecientes.
Ferramentas de Apoio
Para implementao e testes de criptossistemas possvel usar ferramentas matemticas
ou bibliotecas que implementam total ou parcialmente funes teis, tais como: hash,
manipulao de nmeros grandes, algoritmos criptogrcos padro, emparelhamento bilinear, entre outras.
Na subseo 2.3.4 utilizamos uma modicao do exemplo dl2.cpp da biblioteca MIRACL (http://www.shamus.ie/) e conseguimos em poucas linhas de cdigo descrever um esquema baseado em emparelhamento, mostrando ser possvel comprovar rapidamente a adequao de um algoritmo para determinada aplicao. Essa biblioteca de uso livre para ns educacionais, possui uma extensa quantidade de funes
para manipulao de nmeros grandes, corpos GF(p) e GF(2m ), curvas elpticas, funes
hash e criptograa simtrica; possui interfaces em C e C++; ainda se destaca por seu alto
desempenho em testes de Benchmarks.
Outras bibliotecas no proprietrias que podem auxiliar as implementaes so OpenSSL disponvel em http://www.openssl.org/, Cripto++ disponvel em http://www.cryptopp.com/, SECCURE disponvel em http:
//point-at-infinity.org/seccure/, SKS disponvel em http://sks.

69

70

Minicursos SBSeg 2009

merseine.nu/, LibECC disponvel em http://libecc.sourceforge.net/;


e outras bibliotecas proprietrias tal como Java SE 6 e a Microsoft Cryptography API.
Alm disso existem ferramentas matemticas que auxiliam a criao e demonstrao de diversos modelos criptogrcos, tais como as ferramentas livres
SAGE, disponvel em http://www.sagemath.org, e PARI-GP, disponvel em
http://pari.math.u-bordeaux.fr/, e outras proprietrias tais como MAGMA
http://magma.maths.usyd.edu.au/magma/, Mathematica http://www.
wolfram.com/, Maple http://www.maplesoft.com/ e Matlab http://
www.mathworks.com/. O livro [Trappe e Washington 2005] apresenta vrios exemplos utilizando as trs ltimas ferramentas.
2.3.2. Criptograa de Chave Pblica Baseada em Identidade
Quando Shamir descreveu o modelo baseado em identidade, em 1984, apenas assinatura
digital ganhou algoritmos concretos. Por muitos anos sem sucesso, pesquisadores trabalharam na busca por algoritmos ecientes e seguros para cifragem e decifragem, que
compem o chamado esquema IBE (Identity Based Encryption).
Em 2001, dois criptossistemas baseados em identidade, mudaram este panorama.
Um foi proposto por [Cocks 2001], fundamentado em resduos quadrticos, e outro por
[Boneh e Franklin 2001], baseado em emparelhamentos bilineares. Este ltimo ganhou
notoriedade no apenas pela ecincia, bem como pela formalizao completa de IBE e
pelas demonstraes de segurana que se tornaram referncia para outros protocolos de
cifragem sobre emparelhamentos. Vale mencionarmos que o uso de emparelhamentos
bilineares em esquemas baseados em identidade havia sido anteriormente estudado por
[Sakai et al. 2000] e que [Joux 2000] tambm j tinha sinalizado que emparelhamentos
apresentavam grande atrativo para a criptograa, ao propor o primeiro protocolo de acordo
de chaves de trs participantes com uma s interao.
Os criptossistemas hierrquicos baseados em identidades surgiram na sequncia, conforme detalhados em [Gentry e Silverberg 2002] e, posteriormente, em
[Boneh e Boyen 2004, Yao et al. 2004, Chatterjee e Sarkar 2007]. As implementaes
com hierarquia de autoridades se justicam no apenas porque reduzem a responsabilidade e a sobrecarga sobre uma autoridade centralizada, mas tambm porque so uma
abordagem para eliminar a caracterstica de custdia de chaves.
Desde ento, o modelo recebeu cada vez mais ateno dos pesquisadores, que passaram a acrescentar melhorias em vrias frentes: aumento da velocidade do clculo de emparelhamento em [Fan et al. 2008], reduo do tamanho da chave em [Naccache 2007], e
aumento do nvel de segurana com demonstraes sem a hiptese de orculos aleatrios,
que o caso do esquema proposto por [Waters 2005]. Paralelamente, surgiram inmeros
protocolos e aplicaes interessantes; s para citar alguns:
Assinatura em anel;
Assinatura curtas;
Assinatura em grupo;

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Cifrassinatura;
Acordo de chaves autenticado;
Acordo de chaves com vrios participantes;
Implementao de disponibilidade condicional.
Passemos, ento, descrio genrica de esquema de cifragem e respectiva concretizao dessa denio genrica, apresentada em [Boneh e Franklin 2001].
Esquema de cifragem baseado na identidade
Um esquema IBE composto por quatro fases: inicializa, extrai, cifra e decifra. Normalmente qualquer usurio pode cifrar uma mensagem usando um ID na fase de cifra. O
destinatrio, proprietrio do ID, poder decifrar a mensagem, por meio de decifra, usando
uma chave privada correspondente a ID, obtida da autoridade de conana AC. Conforme
[Baek et al. 2004], essas fases so denidas da seguinte forma:
inicializa Os parmetros do sistema so gerados, junto com o par de chaves da AC, com
a privada s e pblica P.
extrai Beto se autentica junto AC e obtm sua chave privada sBeto , que associada
identidade IDBeto .
cifra Usando a identidade do Beto, IDBeto , e P, Alice cifra a sua mensagem m em texto
claro e obtm o texto cifrado C.
decifra Ao receber o texto cifrado C de Alice, Beto decifra a mensagem atravs da sua
chave privada sBeto .
Segue, abaixo, o esquema IBE de [Boneh e Franklin 2001]:
inicializa Dado um parmetro de segurana k, gera a chave mestra s Zq e os parmetros
pblicos do sistema params = q, G1 , G2 , e, n, P, Ppub , H1 , H2 , H3 , H4 , onde G1 e
G2 so grupos de ordem prima q, e : G1 G1 G2 um emparelhamento bilinear
admissvel, P gerador de G1 , Ppub = sP e Hi so funes de hash, tais que:
H1 : {0, 1} G1
H2 : G2 {0, 1}n
H3 : {0, 1}n {0, 1}n Zq
H4 : {0, 1}n {0, 1}n
O espao de mensagens M = {0, 1}n . O espao de textos cifrados C = G1
{0, 1}n {0, 1}n .
extrai Dados um identicador IDA {0, 1} , params e a chave mestra s, calcular QA =
H1 (IDA ) e a chave secreta dA = sQA .

71

72

Minicursos SBSeg 2009

cifra Dados um texto m M , uma identidade IDA e params, calcular o texto cifrado
rP, H2 (e(QA , Ppub )r ), m H4 ( ), onde r = H3 (m, ), para {0, 1}n , escolhido aleatoriamente.
decifra Dados C = U,V,W  C , a chave secreta dA e params:
Se U
G1 , C rejeitado. Caso contrrio, calcular V H2 (e(dA ,U)) = e W
H4 ( ) = m. Com r = H3 ( , m), vericar se U = rP. Se for, m a resposta, seno
C rejeitado.
Vale salientarmos que a proposta de [Boneh e Franklin 2001] foi o primeiro a ser
implementado na prtica e foi o ponto de partida para produtos comercializados nesta
rea. O esquema de [Cocks 2001] no usa emparelhamentos; despertou menor interesse devido ao alto grau de expanso do texto cifrado, porm ressurgiu melhorado em
[Boneh et al. 2007], quando o problema de inecincia em espao computacional foi resolvido.
Adiante, descrevemos a denio de esquema de assinatura baseada na identidade,
conhecido por IBS (Identity Based Signature).
Esquema genrico de assinatura baseada na identidade
Um esquema IBS genrico consiste em quatro fases: inicializa, extrai, assina e verica.
Normalmente, nesse esquema, Alice pretende assinar um documento, obtm da AC a sua
chave de assinatura que est associada informao do seu identicador. Ela assina a
mensagem com a chave obtida. Para Beto vericar a assinatura de Alice, precisa do
identicador dela (e de nenhum certicado). As fases de um esquema genrico podem ser
detalhadas conforme [Baek et al. 2004]:
inicializa Os parmetros do sistema so gerados, junto com o par de chaves da AC, com
a privada s e pblica P.
extrai Alice se autentica junto AC e obtm a sua chave privada, sAlice , associada sua
identidade IDAlice .
assina Com a sua chave privada sAlice , Alice cria a assinatura sobre a mensagem m.
verica Beto verica se assinatura genuna sobre a mensagem m, usando a identidade
de Alice e a chave pblica da AC, P, aceitando-a ou a rejeitando.
O esquema IBS de [Shamir 1984] considerado o ponto inicial para outros esquemas que surgiram. Por exemplo, o esquema proposto em [Hess 2003] permite a prcomputao na fase de assinatura, o que bastante til no caso de um assinante ter muitos
documentos para assinar. A pr-computao auxilia na eliminao de uma das operaes
de emparelhamento na fase de vericao de assinatura, contribuindo para desempenho
do sistema. Um IBS poder ser implementado a partir de um esquema hierrquico de
cifragem baseado na identidade (HIBE - Hierarchical Identity Based Encryption), como

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

comentado em [Misaghi 2008, Joye e Neven 2009]. Neste ltimo, so dados os detalhes
de construo e transformao de diversos modelos de assinatura baseada na identidade
com as suas principais caractersticas.
Enquanto os esquemas de cifragem fornecem o servio de condencialidade, os
de assinatura conferem autenticidade e integridade. Em algumas situaes, esses trs requisitos devem ser assegurados nas mensagens trafegadas. [Zheng 1997] mostrou que
mais eciente do que encadear os algoritmos desses dois esquemas, comp-los em um
nico esquema, que foi chamado de cifrassinatura. [Malone-Lee 2002] elaborou um modelo de segurana para esquema de cifrassinatura baseado na identidade e apresentou um
protocolo, que foi aprimorado por vrios outros trabalhos que vieram na sequncia.
Para nalizarmos as construes do modelo, comentaremos a seguir a prxima
primitiva importante em criptograa de chave pblica, que tambm ganhou verso neste
modelo: acordo de chaves baseado em identidade, IBKA (Identity Based Key Agreement).
Esquema de acordo de chaves baseado em identidade
O protocolo de acordo de chave um dos primitivos fundamentais em criptograa, pois
por meio dele possvel usar um canal inseguro para combinar um segredo em comum
entre dois ou mais participantes, sem que a chave secreta de cada um seja revelada. O
segredo negociado pode dar origem a uma chave de sesso e ser usado em algoritmos de
criptograa simtrica, que so bem mais ecientes que os do modelo de chave pblica.
Um protocolo de acordo da chaves que oferea autenticao mtua chamado de
protocolo de acordo de chaves autenticado. No caso do modelo baseado em identidade, a
autenticao ocorre implicitamente.
Um esquema IBKA genrico consiste em trs fases: inicializa, extrai, acordo.
[Mccullagh e Barreto 2004] propem um esquema eciente de acordo da chave com autenticao implcita. O esquema se destaca pela possibilidade de instanciamento com ou
sem custdia de chaves, sem a necessidade de ter mais passos no seu esquema. O esquema
apresentado a seguir caracterizado pela custdia da chave:
inicializa Dado um parmetro de segurana, so obtidos dois grupos G1 e G2 de ordem
prima q, e um emparelhamento bilinear e : G1 G1 G2 . escolhida uma funo
hash H1 : {0, 1} Zq . A AC seleciona um gerador P de G1 , escolhe uma chave
secreta s Zq e calcula a chave pblica como Ppub = sP. A chave secreta mantida
sob sigilo e os demais parmetros so distribudos atravs de canais autenticados.
extrai A AC calcula a chave privada da Alice como sAlice = (a + s)1 P, onde a =
H1 (IDAlice ). O valor pblico da Alice QAlice = (a + s)P, que pode ser calculado
por qualquer usurio como aP + Ppub . Analogamente, Beto possui valor pblico
QBeto = (b + s)P e seu segredo sBeto = (b + s)1 P.
acordo O acordo da chave ser feito da seguinte forma:
1. Alice escolhe um valor aleatrio xa Zq , calcula Ta = xa QBeto = xa (b + s)P e
envia TA para Beto.

73

74

Minicursos SBSeg 2009

2. Beto escolhe um valor aleatrio xb Zq , calcula Tb = xb QAlice = xb (a + s)P e


envia TB para Alice.
3. Alice calcula KAB = e(Tb , sAlice )xa ; de forma semelhante, Beto calcula KBA =
e(Ta , sBeto )xb . Se ambos seguirem esse protocolo, calcularo o mesmo segredo
compartilhado, pois:
KAB = e(Tb , sAlice )xa
= e(xb (a + s)P, (a + s)1 P)xa
= e(P, P)xa xb
= e(xa (b + s)P, (b + s)1 P)xb
= e(Ta , sBeto )xb
= KBA

Avanos importantes
No tarefa fcil enumerar todos os avanos relevantes que foram feitos sobre o modelo
baseado em identidade, pois muitos trabalhos merecem meno. Entretanto, para nalizarmos esta subseo, pontuamos dois bastante recentes, que nos do uma noo razovel
sobre o atual estgio das pesquisas que tratam dois pontos crticos do modelo baseado em
identidade: custdia de chaves e revogao da identidade.
Custdia de chaves provavelmente uma das mais indesejveis caractersticas no
modelo baseado em identidade. Na tentativa de remov-la, [Al-Riyami e Paterson 2003]
e [Gentry 2003], acabaram por criar modelos alternativos, que no so baseados em identidade por possurem outra chave pblica. Entretanto, mantendo-se a identidade como
nico valor de chave pblica, a soluo mais comum para eliminar a custdia de chaves gira em torno de uma hierarquia de autoridades e de adaptaes sobre os esquemas
existentes.
Em [Chow 2009], no entanto, proposta uma nova abordagem para impedir que
a autoridade decifre mensagens de seus usurios. Se o texto cifrado embutir uma garantia
sobre o anonimato do destinatrio, passa a ser proibitivo o custo computacional para que a
autoridade tente decifrar as mensagens trafegadas. Chow estendeu o modelo de segurana
para IBE de modo a contemplar o anonimato, descreveu um esquema concreto seguro sob
esse modelo e props uma nova arquitetura para permitir que a emisso da chave secreta
seja feita de forma annima perante a autoridade.
A soluo convencional que existe para o problema de revogao de identidade
a concatenao de perodos de validade junto do identicador do usurio, criando identidades como JoaoSilva-Setembro09. O problema dessa tcnica a alta carga de
trabalho sobre a autoridade, na medida em que aumenta a frequncia de renovao de
chaves. Em termos computacionais, dizemos que a complexidade da renovao linear
no nmero de usurios.
No trabalho de [Boldyreva et al. 2008], a identidade preservada (sem concatenao) e a complexidade de renovao logartmica no nmero de usurios, o que muito
eciente quando a quantidade de usurios envolvidos bastante grande.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Aplicaes do Modelo Baseado em Identidade

Em [Appenzeller e Lynn 2002] foi proposto um novo protocolo de segurana na camada


de rede que permite comunicao autenticada e cifrada entre os ns da rede. Os autores
usaram IBE na formulao do protocolo, tornando-o uma alternativa ao IPSec. Dentre
as vantagens em se usar IBE, podem ser citados o fato de ser desnecessrio o processo
de handshaking inicial e no h troca de certicados para se enviar mensagens cifradas.
Neste caso, o remetente simplesmente envia um pacote cifrado com o endereo IP do
destinatrio.
A importncia da computao em grade se deve ao aumento expressivo de aplicaes que requerem poder computacional e capacidade de armazenamento cada vez maiores. A comunicao segura sobre uma infraestrutura de computao em grade normalmente ocorre sobre uma ICP. Uma forma de aliviar a carga de trabalho, reduzir o trfego
e evitar o armazenamento de certicados digitais empregar o modelo baseado em identidade, como uma abordagem alternativa em tais ambientes [Lim 2006]. Nesse trabalho,
o autor prope um protocolo de acordo de chaves com autenticao mtua baseado em
identidade e indica como viabilizar servios de delegao e single sing-on.
Redes tolerantes a atrasos e desconexes (DTNs) so redes caracterizadas pela
conectividade intermitente e que, por algum motivo, so desconectadas, interrompidas ou
apresentam um certo atraso na entrega de pacotes. Podem estar em uma rea de grande
extenso ou at debaixo da gua. Nesses tipos de redes, o modelo baseado na identidade
pode contribuir na implantao de condencialidade, conforme [Asokan et al. 2007]. Segundo os autores, a adoo de IBE em DTNs diminui a carga sobre o servidor e os receptores so menos exigidos com relao conectividade.
Outra aplicao de interesse em que o modelo baseado em identidade tem participao a busca em dados cifrados. Considere sistemas de emails cifrados, em que
palavras-chave podem ser pesquisadas por um redirecionador sem que o contedo seja revelado. Por exemplo, uma secretria pr-organizando emails de seu diretor por palavraschave como urgente ou projetoX. Sem que ela consiga ler o contedo dos emails, ser
capaz de redirecionar as mensagens com tais palavras-chave e prioriz-las. Naturalmente,
essa secretria pode ser substituda por um sistema automatizado de ltragem, junto do
servidor de emails.
Analogamente, logs cifrados podem ser pesquisados por um auditor pr-habilitado
a localizar ocorrncias relacionadas a palavras especcas. Em [Abdalla et al. 2008]
apresentado um importante trabalho nessa rea; uma das contribuies refere-se a uma
transformao de um esquema IBE com garantia de anonimato para um esquema seguro
de criptograa de chave pblica com busca de palavras-chave.
Uma das formas de se implementar autenticao mtua por meio do uso de
cartes inteligentes. [Scott et al. 2006] descrevem a implementao de trs emparelhamentos bilineares sobre um smartcard de 32 bits. Neste artigo, os autores demonstram
que os emparelhamentos podem ser calculados com ecincia equivalente alcanada
pelas primitivas criptogrcas clssicas.

75

76

Minicursos SBSeg 2009

2.3.3. Criptograa de Chave Pblica Autocerticada


Com o objetivo de exemplicarmos o conceito de chave pblica autocerticada, vamos
descrever um dos protocolos de gerao de chaves de [Girault 1991], um que baseado
na assinatura RSA.
Inicialmente, a autoridade seleciona parmetros RSA, isto , escolhe n, produto
de dois primos p, q. Calcula seu par de chaves: escolhe e relativamente primo a (p 1)
e (q 1), e calcula d como inversa de e no mdulo (p 1)(q 1). Escolhe g de ordem
maximal no grupo multiplicativo (Z/nZ) . Os parmetros n, e, g so tornados pblicos e
os demais, mantidos em segredo.
Um usurio com identidade I escolhe sua chave secreta s, calcula v = gs mod n
e entrega v para a autoridade. Por meio de um protocolo de identicao, o usurio deve
provar autoridade que conhece s, sem revel-lo.
A autoridade, ento, calcula e entrega a chave pblica:
P = (gs I)d mod n
Conforme dissemos na seo 2.2.2, a chave pblica autocerticada calculada em funo
da identidade do usurio (I) e dos segredos da autoridade e do usurio (no caso acima,
respectivamente s e d).
A autoridade alcanar nvel 3 de conana se demonstrar que gera os parmetros
de forma honesta, conforme detalhado em [Saeednia 2003].
Um exemplo de uso da chave autocerticada acima dado por com um protocolo
de acordo de chaves autenticado, proposto em [Girault 1991], que, embora seja vulnervel ao ataque do intermedirio, ilustra o princpio de funcionamento da chave autocerticada de forma simples. Considere que os atributos de Alice so (IA , sA , PA ) e de Beto,
(IB , sB , PB ). Ambos negociam uma chave secreta calculando:
Alice calcula (PBe + IB )sA
Beto calcula

(PAe + IA )sB

Como d e = 1 mod (p 1)(q 1), pode-se vericar que Pe + I = gs mod n.


Desse modo, os dois clculos acima so iguais a gsA sB mod n. O protocolo autenticado,
pois Alice tem certeza de que conversa com Beto e vice-versa, sem a necessidade de se
conferir certicados.
Uma quantidade considervel de publicaes na sia, durante as duas ltimas
dcadas, tem como tema a chave pblica autocerticada. possvel encontrar propostas
de cifragem, cifra autenticada, acordo de chaves, assinatura e assinatura em grupo, s para
citar algumas. Praticamente todas so desprovidas de demonstraes formais e, portanto,
no devemos consider-las para uso prtico.
Talvez boa parte desses trabalhos tenha sido motivada pelo forte potencial de aplicao do conceito. Em [Petersen e Horster 1997], so relatados os seguintes usos para
chave pblica autocerticada, com vantagens sobre o modelo convencional de certicados digitais:

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Delegao do poder de decifrar ou assinar;


Delegao de direitos;
Votao eletrnica;
Dinheiro eletrnico;
Acordo no-interativo de chaves de sesso, com autenticao.
Na ocasio da publicao de [Petersen e Horster 1997] ainda no eram conhecidas
as aplicaes de emparelhamentos bilineares, que hoje so base de solues mais ecientes (e demonstravelmente seguras) para os usos acima. Entretanto, vale citarmos as ideias
principais que esses autores relatam para aplicao da chave pblica autocerticada, pois
essas ideias so de alguma forma retomadas ou reaproveitadas em trabalhos posteriores.
Para os casos de delegao de assinatura ou de decifragem, os protocolos de gerao de chaves autocerticadas so adaptados para serem executados entre o usurio
principal e aquele para quem delegado algum poder. O procurador calcula seu par
de chaves por meio do protocolo interativo com o emissor da procurao. A delegao
de direitos ocorre dentro de um contexto de hierarquia de autoridades; cada n da hierarquia pode ser associado a um privilgio, que concedido queles que forem previamente
autorizados, por meio da emisso de chaves autocerticadas.
As aplicaes de votao e dinheiro eletrnicos citadas em
[Petersen e Horster 1997], se baseiam num protocolo de gerao de chave pblica
autocerticada para um pseudnimo (em vez da identidade). O pseudnimo garante o
anonimato e o sigilo do voto ou do uso de um dinheiro emitido, mas, ao mesmo tempo,
oferece algum nvel de rastreabilidade, por exemplo para assegurar que cada eleitor vote
uma nica vez, ou para que num caso de extorso o banco e uma entidade de conana
dentro do sistema possam, em conjunto, rastrear as movimentaes fraudulentas.
O acordo de chaves com autenticao de [Petersen e Horster 1997] permite que as
chaves pblicas autocerticadas deem origem a novos pares de chaves, recalculados pelos
prprios usurios sem necessidade de interao com a autoridade. Esses pares de chaves
so usados no clculo de chaves de sesso, em protocolo com autenticao implicitamente
vericada. Mais precisamente falando, cada usurio divulga um valor de testemunho (em
vez da prpria chave pblica); a partir de um testemunho, da identidade e dos parmetros
pblicos, qualquer usurio pode recalcular a chave pblica autocerticada. Quando o
valor de testemunho combinado com um perodo de tempo ou a um nmero de sesso,
por exemplo, possvel realizar uma negociao no interativa de chaves de sesso.
Variaes e Mais Aplicaes
Quando tentamos isolar os trabalhos relacionados ao de [Girault 1991] que apresentam
formalizaes conceituais e/ou demonstraes de segurana, encontramos variantes do
conceito original que no podem ser enquadrados dentro do modelo de chave pblica
autocerticada, porm mantm algum aspecto da autocerticao.

77

78

Minicursos SBSeg 2009

Uma primeira variante a assinatura autocerticada, que pressupe a existncia


de uma ICP convencional. Ou seja, todo usurio tem um par de chaves calculado da forma
tradicional e obtm um certicado digital para a chave pblica. Esse certicado, entretanto, distribudo de uma forma diferenciada, para otimizar as operaes de vericao
de assinatura.
No modelo convencional com ICP, a vericao de uma nica assinatura sobre
um documento acaba levando a dois procedimentos de vericao: primeiro necessrio
vericar a assinatura da autoridade sobre o certicado; sendo esta vlida, extrada a
chave pblica do usurio para se conferir a assinatura do documento em questo. O
esquema de assinatura proposto em [Lee e Kim 2002] evita essa vericao dupla. A
partir do valor de assinatura do certicado obtido da autoridade, o usurio calcula um
par de chaves para assinatura (pode opcionalmente ser diferente para cada documento
assinado). A nova chave pblica calculada autocerticada. A assinatura a ser transmitida
consiste dos dados do certicado e de um testemunho, a partir do qual recalculada a
chave pblica para vericao da assinatura.
Em [Shao 2007], outro esquema de assinatura autocerticada proposto. O autor
estabelece que parte do valor da assinatura do certicado deve ser secreto e obtm uma
variante mais prxima do trabalho de [Al-Riyami e Paterson 2003], de criptograa de
chave pblica sem certicado.
Tambm com o objetivo principal de eliminar a dupla vericao de assinaturas
em sistemas baseados na infraestrutura de chaves pblicas, existe o que a empresa Certicom chama de certicado implcito. Estruturalmente, em nada difere um certicado
implcito de um padro X.509 para chaves pblicas; a infraestrutura necessria para ambos a mesma. No entanto, o valor de assinatura no certicado usado para qualquer
usurio recalcular a chave pblica autocerticada. E essa operao de extrao do valor
da chave pblica mais barato computacionalmente que uma vericao de assinatura
(para validar um certicado).
Um exemplo de gerao de certicado implcito descrito em
[Brown et al. 2002]. Todos algoritmos associados a essa tecnologia e que so desenvolvidos pela Certicom esto protegidos por uma srie de patentes (por exemplo, US
Patent 20090041238). A linha de produtos ZigBee Smart Energy inclui um dispositivo
que realiza as funes de uma autoridade certicadora, emitindo certicados implcitos
sobre curvas elpticas ECQV (Qu-Vanstone) para dispositivos com limitao de recursos
(de armazenamento, de banda ou computacionais).
Outro uso menos esperado da chave autocerticada tambm se deu dentro do modelo com certicados. Uma diculdade existente em sistemas com criptograa de chave
pblica a validao da segurana de esquemas demonstravelmente seguros, quando implementados em conjunto com outras operaes. Pode acontecer, por exemplo, um protocolo de assinatura com segurana demonstrvel no ter garantia de segurana quando
usado dentro de uma ICP. No trabalho de [Boldyreva et al. 2007], os modelos de segurana para esquemas de cifragem e de assinatura incluem as vrias operaes que acontecem dentro de uma infraestrutura de chaves pblicas. Os autores propuseram dois protocolos demonstrados seguros nesse modelo. Na prtica, esses protocolos oferecem maior
garantia de segurana em implementaes reais, pois o modelo de adversrios mais

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

amplo. E um dos pontos chave desse trabalho o emprego da certicao implcita.


2.3.4. Criptograa de Chave Pblica sem Certicados
Quando o modelo sem certicados foi proposto em [Al-Riyami e Paterson 2003], os autores apresentaram denies formais de um esquema de cifragem CLE (Certicateless
Encryption), deniram um modelo de segurana extremamente forte e construram um
esquema concreto que cumpre todos os requisitos denidos.
Na sequncia, surgiram vrias outras propostas, muitas das quais demonstradas
seguras sob um modelo de segurana aparentemente mais realista, embora mais fraco que
o original. At hoje os pesquisadores questionam se o poder dado ao adversrio no modelo de segurana proposto inicialmente demasiado forte ou no. Ningum conseguiu
apontar uma aplicao real em que o modelo se aplica na totalidade, mas, por outro lado,
como j existem protocolos que atendem um grau de segurana maior, h quem os prera,
apesar deles serem um pouco menos ecientes.
No replicaremos aqui as formalizaes sobre o modelo sem certicados e referenciamos o leitor excelente pesquisa feita por [Dent 2008], onde h tambm um levantamento de vrios protocolos de cifragem e uma discusso sobre os modelos de segurana.
Para ilustrar o funcionamento da cifragem no modelo sem certicados, listamos o
esquema de [Goya 2006] que simples o bastante, pois envolve menos parmetros e cifra
mais curta que o de [Al-Riyami e Paterson 2003]. O esquema foi demonstrado seguro
sob o modelo enfraquecido. Os cdigos 1 a 3 referem-se a trechos do esquema a seguir,
implementados em MIRACL.
inicializa Dado um parmetro de segurana k, inteiros n e k0 , com 0 < k0 < n, AC:
1. Gera dois grupos G1 e G2 de ordem prima q > 2k e um emparelhamento
bilinear e : G1 G1 G2 . Escolhe aleatoriamente um gerador Q G1 .
2. Escolhe aleatoriamente s Zq e calcular Qo := sQ.
3. Escolhe trs funes de hash
H1 : {0, 1} G1
H2 : G1 G2 G1 {0, 1}n
H3 : {0, 1}nk0 {0, 1}k0 Zq
4. Dene:
M = {0, 1}nk0 , como espao de mensagens;
C = G1 {0, 1}n , como espao de textos cifrados;
s, como chave-mestra do sistema;
params := q, G1 , G2 , e, n, k0 , Q, Qo , H1 , H2 , H3 , como parmetros do sistema.
extrai Dados um identicador IDA {0, 1} , params e a chave-mestra s:
1. Calcular QA := H1 (IDA ).

79

80

Minicursos SBSeg 2009

2. Entrega para entidade A a chave secreta parcial dA := sQA .


publica Dado params, a entidade A escolhe um valor aleatrio sA Zq outra chave
secreta parcial e calcula sua chave pblica PA := sA Q. A.
cifrar Dados um texto m M , uma identidade IDA , params e a chave pblica PA :
1. Escolher aleatoriamente {0, 1}k0
2. Calcular
r := H3 (m, )
QA := H1 (IDA )
gr := e(Qo , QA )r
f := rPA
3. Devolver o texto cifrado C = rQ, (m ) H2 (rQ, gr , f ).
decifra Dados C = U,V  C e os valores secretos dA e sA :
1. Calcular
g := e(U, dA )
f  := sAU
(m ) := V H2 (U, g , f  )
2. Desmembrar (m ) e calcular r := H3 (m, )
3. Se U := rQ, devolver a mensagem m, seno C rejeitado.
Cdigo 1 - Gerar chaves para a entidade A

/ / Executado pelo usuario :


/ / sA ( g e r a r v a l o r s e c r e t o )
sA = r a n d (BITS_RANDOM , 2 ) ;

/ / Executado pela autoridade :


QA = H1 ( "A" ) ;

/ / PA ( c a l c u l a r c h a v e p u b l i c a )
PA = Q;
PA = sA ;

/ / dA ( c h a v e s e c r e t a p a r c i a l )
dA = QA;
dA = s ;

Evoluo do Modelo
Vamos pontuar os trabalhos mais signicativos que marcaram a evoluo do modelo de
criptograa de chave pblica sem certicados. Citaremos primeiramente os esquemas que
contemplam o sigilo; os de assinatura so descritos posteriormente.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Cdigo 2 - Cifrar para a entidade A

/ / m pertencente a M
s t r = MENSAGEM;
m = ( char ) s t r . c _ s t r ( ) ;

/ / f = r PA
f = PA ;
f = r ;

/ / E s c o l h e r a l e a t o r i o o ( sigma )
o = r a n d ( TAM_k0_BITS , 2 ) ;

/ / O b t e r t e x t o c i f r a d o c=<U, V>
/ / u = rQ ;
u = Q;
u = r ;

r = H3 (m, o ) ;
/ / g = e ( Q0 , QA ) ^ r
g = t a t e ( Q0 ,QA ) ;
g = pow ( g , r ) ;

/ / v = m . o XOR H2 ( g , U, f )
v1 = c o n c a t e n a (m, o ) ;
v = H2 ( g , u , f ) ;
v = XOR( v , v1 ) ;

Cdigo 3 - Decifrar pela entidade A

//
gl
fl
fl

Obter g e f
= t a t e ( u , dA ) ;
= u;
= sA ;

/ / (m . o ) = v XOR H2 ( g l , u , f l )
mo = H2 ( g l , u , f l ) ;
mo = XOR( mo , v ) ;
/ / Separar m e o
m = Get_m ( mo ) ;
o = Get_o ( mo ) ;

r l = H3 (m, o ) ;
P1_aux = Q;
P1_aux = r l ;
i f ( P1_aux == u )
{
c o u t << " T e x t o : " << m;
} else
{
c o u t << " E r r o rQ ! = U \ n " ;
}

Dentre os protocolos de maior ecincia computacional para cifragem, podemos


citar os de [Libert e Quisquater 2006] e de [Cheng et al. 2007]. Ambos usam o modelo
de orculos aleatrios para demonstrar a segurana de construes genricas de CLE e
dos esquemas concretos propostos. O primeiro desses usa como hiptese um problema
computacional pior que o segundo, porm adota o modelo de adversrios mais forte (ao
contrrio do ltimo).
No contraponto da maior ecincia computacional, encontram-se os esquemas
de maior segurana, demonstrados no modelo padro (sem orculos aleatrios), e sob o
modelo mais forte de adversrios. Dentro desse nicho, o trabalho [Dent et al. 2008] a
melhor referncia que se tem at o momento.
Embora a esmagadora maioria das propostas envolva emparelhamentos bilineares, no obrigatria tal tcnica para que seja vivel o modelo sem certicados. Em
[Sun et al. 2007], h um exemplo de esquema de cifragem sem emparelhamentos. Os autores melhoram uma verso anterior, [Baek et al. 2005], entretanto preservam uma grande

81

82

Minicursos SBSeg 2009

quantidade de exponenciaes. Em termos de ecincia, esse esquema superado por


muitos outros que so baseados em emparelhamentos. S para se ter uma ideia, a verso mais antiga comparada com esquemas de cifrassinatura em [Barreto et al. 2008] e
perde em vrias ocasies (isto , mesmo apenas cifrando, o esquema sem emparelhamento
mais lento que alguns esquemas que cifram e assinam simultaneamente).
Talvez no seja exagero dizer que o calcanhar de Aquiles do modelo sem certicados o que se convencionou chamar de Denial of Decryption (DoD). razovel pensar
em uma tal forma de ataque, pois as chaves pblicas so distribudas e no certicadas explicitamente. Se o destinatrio (dono da verdadeira chave pblica) no conseguir decifrar
ou obter uma mensagem diferente da original, o ataque bem sucedido. No contexto de
assinatura, usurios no conseguem validar assinaturas legtimas e sequer podem identicar que o erro est na chave pblica e no na assinatura. No caso de implementaes que
envolvam um repositrio centralizado para armazenar as chaves pblicas, o ataque DoD
ter este nome mais que justicado, se o impostor substituir vrias (ou todas) chaves.
A soluo delineada em [Liu et al. 2007] para se evitar o DoD envolve o clculo
da chave pblica dependentemente da chave parcial secreta. Isso, entretanto, elimina uma
das caractersticas peculiares do modelo sem certicado, que a possibilidade de se gerar
chaves pblicas antes da interao com a autoridade do sistema. A proposta combina
CLE e CLS (respectivamente cifragem e assinatura no modelo sem certicado), criando
duas chaves parciais secretas, uma para CLE e outra para CLS. Portanto, h tambm duas
chaves secretas completas, uma para decifrar e outra para assinar. A chave pblica passa
a ser um par < pk, > onde a assinatura do usurio sobre sua prpria chave pblica
pk. Um remetente deve vericar antes de cifrar com pk e, assim, DoD evitado.
Os autores chamaram essa soluo de self-generated certicate PKC; ela se assemelha a certicados autoassinados em ICPs. Um questionamento que ainda est em
aberto se no possvel outro tipo de soluo, pois, na verdade, os autores inseriram
uma espcie de certicado (a assinatura, que deve ser vericada e que s pode existir
depois de uma interao com a autoridade) em um modelo que, em princpio, sem certicados.
Um outro aspecto problemtico no modelo sem certicados, ainda que em menor
escala que o DoD, o ataque da autoridade mal intencionada. O modelo de segurana
denido originalmente em [Al-Riyami e Paterson 2003], presume que a autoridade honesta e segue os protocolos conforme especicados. Em [Au et al. 2007b], no entanto,
apresentada a possibilidade de que a autoridade gere parmetros desonestamente, de
modo a conseguir um atalho para decifrar textos, sem o conhecimento dos usurios.
exceo de [Libert e Quisquater 2006, Hu et al. 2006], todos os esquemas propostos at o trabalho de [Au et al. 2007b], so vulnerveis a essa autoridade mal intencionada e mesmo os trabalhos mais recentes tambm o so em grande parte. O esquema
de [Dent et al. 2008], por exemplo, falha nesse quesito. [Dent 2008] provou que um
esquema CLE construdo sob a tcnica de [Dodis e Katz 2005] evita esse tipo de ao;
uma implementao concreta de esquema de cifragem sob essa tcnica pode ser vista em
[Chow et al. 2006], cuja proposta tem por objetivo principal o de resolver o problema de
revogao de chaves pblicas no modelo sem certicados. Outro trabalho que trata o
problema da autoridade mal intencionada o de [Hwang et al. 2008], que apresenta um

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

CLE demonstrado seguro sem orculos aleatrios.


A propsito do problema de revogao, a soluo de [Chow et al. 2006] requer um
mediador convel, a quem a autoridade entrega as chaves parciais secretas, e que se torna
capaz de iniciar o processo de decifragem. A cifra parcialmente decifrada submetida ao
destinatrio nal, que completa a operao com o secreto aleatrio. Com esta soluo, o
mediador deve estar online e disponvel sempre que algum precisar cifrar ou decifrar.
Com relao a assinaturas no modelo sem certicados, existem inmeros trabalhos publicados, muitos porm demonstrados posteriormente inseguros. Um esquema
que ainda se mantm seguro apresentado em [Zhang et al. 2006], que melhorado em
[Hu et al. 2007]. Este ltimo aperfeioa alguns aspectos do modelo de segurana para
assinatura, mas regride em outro (o orculo de assinatura sempre responde corretamente,
mesmo que o adversrio fornea valor invlido de chave secreta). Todas essas propostas
se baseiam no modelo do orculo aleatrio.
Em [Liu et al. 2007], h um esquema de assinatura demonstrado seguro no modelo padro, no entanto requer parmetros bastante longos.
Vale citar o trabalho de [Zhang e Wang 2008] que, embora tenha usado um modelo mais fraco de adversrios, apresentou CLS seguro contra autoridade mal intencionada, no vulnervel ao ataque DoD, que alcana nvel 3 de Girault e todas as demonstraes so feitas sob o modelo padro, sem orculos aleatrios. Os autores se valem de uma
tcnica menos usual em CLS: adotado um protocolo de conhecimento-zero na gerao
da chave parcial secreta.

Aplicaes do Modelo sem Certicado


Um uxo criptogrco, na denominao de [Al-Riyami 2005], uma sequncia de operaes criptogrcas, como cifrar, autenticar e decifrar, que precisa ser executada numa
determinada ordem. No modelo baseado em identidade e no sem certicado, possvel
emitir e usar a chave pblica antes que a chave secreta completa esteja disponvel. O
exemplo abaixo ilustra uma aplicao que faz uso dessa caracterstica.
Na maneira tradicional, quando a emisso de um documento depende da aprovao de muitos rgos, o usurio solicita a aprovao de cada rgo e, com essas autorizaes em mos, feita uma solicitao ao rgo emissor do documento. Este ltimo
vericar a validade de cada autorizao para ento emitir o documento solicitado.
Com o uso de sistemas sem certicado, possvel ao rgo emissor entregar o
documento eletrnico cifrado com a chave pblica e identidade do usurio. Cada rgo
que deve aprovar o documento entrega ao usurio uma chave parcial privada. Aps recolher todas as chaves parciais que compe a chave secreta completa, o usurio passa a
ter acesso ao documento, sem a necessidade de retornar no rgo emissor. Como no h
custdia de chaves, o conluio de um ou mais rgos no permitir acesso ao documento.
Esse mesmo exemplo poderia ser adotado com software em ambientes sigilosos,
onde o acesso ao software s liberado aps concluso de etapas de autenticao.
As construes genricas de esquemas sem certicado se valem de uma compo-

83

84

Minicursos SBSeg 2009

sio de esquemas seguros de criptograa de chave pblica convencional e baseada em


identidade. Isso indica que as aplicaes baseadas em identidades podem ser convertidas
para o modelo sem certicado, ao custo da necessidade de divulgao das chaves pblicas (ou da manuteno de um diretrio de chaves) e de um canal seguro para distribuio
dos segredos parciais. O modelo sem certicado pode vir a ser uma ponte entre sistemas
baseados em identidade com os que requerem ICP, em particular, a ICP-Brasil.
A possibilidade de renovao da chave pblica pelo usurio, sem interao com
a autoridade, uma caracterstica exclusiva do modelo de Al-Riyami e Paterson. Isso
pode vir a ser vantagem e ser explorado em alguma aplicao especca. Alguns protocolos com base na chave pblica autocerticada apresentam tal propriedade, porm sem
garantia de segurana.
2.3.5. Criptograa de Chave Pblica Baseada em Certicado
Na ocasio da publicao do trabalho de [Gentry 2003], o autor havia denido apenas
a cifragem sob o modelo e estudou como seria a construo num ambiente com vrias
autoridades em hierarquia. Desde ento, surgiram novas propostas de esquemas para
cifragem e tambm apareceram modelos para assinatura no paradigma de Gentry.
Na medida em que novos trabalhos foram apresentados, as formalizaes do modelo evoluram e os algoritmos foram aprimorados, seja com relao ao desempenho computacional, seja na melhoria de algum aspecto de segurana. Vamos citar alguns trabalhos
de maior interesse.
Cifragem no Modelo Baseado em Certicado
Para que o leitor possa assimilar a conceituao do modelo discutida na seo 2.2.4, vamos revisar o esquema cifragem baseado em certicado (CBE) de [Gentry 2003], que
possui demonstrao de segurana contra ataques de texto cifrado escolhido. O esquema
composto de cinco algoritmos, fundamentados em emparelhamento bilinear:
inicializa Dado um parmetro de segurana k, gera a chave mestra s Z/qZ e os parmetros pblicos do sistema params = q, G1 , G2 , e, n, P, Ppub , H1 , H2 , H3 , H4 , onde
G1 e G2 so grupos de ordem prima q, e : G1 G1 G2 um emparelhamento
bilinear admissvel, P gerador de G1 , Ppub = sP e Hi so funes de hash, tais
que:
H1 : {0, 1} G1
H2 : G2 {0, 1}n
H3 : {0, 1}n {0, 1}n Zq
H4 : {0, 1}n {0, 1}n
O espao de mensagens M = {0, 1}n . O espao de textos cifrados C = G1
{0, 1}n {0, 1}n .
A entidade A escolhe aleatoriamente sua chave secreta tA Zq e calcula sua chave
pblica NA = tA P, como no modelo convencional.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

certica A identicao do usurio A Ain f o , que combina um identicador IDA


{0, 1} , com NA . A autoridade calcula PA = H1 (Ppub , i, Ain f o ), para um perodo i. O
certicado CertA = sPA enviado entidade A, que calcula sua chave de decifragem
(vlida para o perodo i): SA = CertA + tA PA , onde PA = H1 (Ain f o ).
cifra Dados um texto m M , um identicador Ain f o , um perodo de tempo i e params:

r 
Calcular o texto cifrado rP, H2 e(Ppub , PA )e(NA , PA ) , m H4 ( ), onde
r = H3 (m, ), para {0, 1}n , escolhido aleatoriamente, e PA e PA so calculados
como em certica.
decifra Dados C = U,V,W  C , a chave secreta SA e params:
Calcular V H2 (e(SA ,U)) = e W H4 ( ) = m. Com r = H3 ( , m), vericar se
U = rP. Se for, m a resposta, seno C rejeitado.
Gentry adotou a assinatura agregada do esquema baseado em identidade de
[Boneh et al. 2003], para usar como chave de decifragem: o valor de assinatura SA agrega
os segredos da autoridade e do usurio, permitindo a correta inverso da operao criptogrca.
A denio formal de cifragem no modelo baseado em certicado foi revista em
[Al-Riyami e Paterson 2005]; modicaes sutis tambm foram acrescentadas no modelo
de adversrios. A partir de ento, todos os esquemas de cifragem baseados em certicado
seguem as denies e modelo de segurana desse trabalho.
Ainda em [Al-Riyami e Paterson 2005], dada uma prova de que, dado um esquema de cifragem sem certicado seguro, possvel construir um esquema seguro baseado em certicado. Contudo, em [Kang e Park 2005] apontada uma falha na demonstrao que invalida o resultado. Os autores lembram que tambm em [Yum e Lee 2004]
foi apresentada uma demonstrao de equivalncia entre os modelos, posteriormente invalidada, e sugerem que essa sequncia de insucessos pode ser um indcio de que cada
um dos conceitos tenha vantagens prprias, apesar dos vrios aspectos em comum.
O trabalho de [Dodis e Katz 2005] apresenta uma srie de resultados importantes
para a criptograa de chave pblica. Alm de formalizar segurana de cifragem mltipla (encadeada), os autores propem construes genricas para composio segura de
esquemas de cifragem (PKE, no modelo convencional) e estudam aplicaes decorrentes. Uma das aplicaes apontadas resulta na primeira construo genrica de um CBE
seguro, a partir de um IBE e um PKE seguros. Todas as demonstraes de segurana so
feitas no modelo padro, sem orculos aleatrios.
Uma descrio simplicada da construo de Dodis e Katz dada em
[Galindo et al. 2008]: para cifrar uma mensagem m para um usurio com identidade ID,
para um perodo i:
Gerar um par de chaves (vk, sk) de um esquema de assinatura de uso nico (OTS,
one-time signature);
Quebrar m em duas partes m1 e m2 tais que m = m1 m2 ;

85

86

Minicursos SBSeg 2009

Cifrar m1 usando o esquema IBE, com identidade id||i e label vk, gerando C1 ;
Cifrar m2 usando o esquema PKE, com label vk, gerando C2 ;
Assinar (C1 ,C2 ) com a chave sk, gerando ;
Texto cifrado de sada C = (vk,C1 ,C2 , ).
Na tentativa de concretizar um esquema de cifragem mais eciente, os autores em
[Galindo et al. 2008] adotaram uma estratgia diferente e conseguiram reduzir a cifra para
C = (vk,C1 , ), embutindo C2 em C1 , e a demonstraram segura sem orculos aleatrios.
Um terceiro esquema CBE demonstrado seguro no modelo padro foi dado em
[Liu e Zhou 2008]. Este, entretanto, usa como hiptese a diculdade de um problema
computacional pouco conhecido.
Outra construo genrica de CBE a partir de um PKE e de um IBE seguros
descrita em [Lu e Li 2008], que usa a transformao de [Fujisaki e Okamoto 1999] para
alcanar segurana contra ataques de texto cifrado escolhido (mesma estratgia usada em
[Boneh e Franklin 2001] e [Gentry 2003] e tantos outros). As demonstraes acontecem
sob orculos aleatrios.
Posteriormente, em [Lu et al. 2009], apresentado um esquema concreto
eciente, baseado nessa ltima construo genrica e na gerao de chaves de
[Sakai e Kasahara 2003]. Como resultado obtido um esquema de cifragem mais eciente que o de original de [Gentry 2003], ao custo da hiptese de diculdade de um
problema computacional menos estudado.

Assinatura no Modelo Baseado em Certicado


A primeira formalizao de assinatura para o modelo baseado em certicado foi feita em
[Kang et al. 2004]. Nesse mesmo artigo, foi proposto um esquema concreto de assinatura, que posteriormente foi demonstrado inseguro a um ataque de substituio de chave
pblica, em [Li et al. 2007].
Esses ltimos autores fortaleceram o modelo de adversrio, fornecendo a ele o
poder de substituio de chaves pblicas. No jogo com o adversrio, o simulador do
sistema permite que as chaves pblicas sejam substitudas por valores escolha do adversrio, para quaisquer usurios. Se for garantido que o impostor no obtm certicado
vlido para uma falsa chave, ele no ter condies de forjar assinatura em um esquema
demonstrado seguro.
Na prtica, o novo modelo de segurana para assinatura baseada em certicado se
tornou mais prximo do proposto por [Al-Riyami e Paterson 2003], para o modelo sem
certicado. Os trabalhos subsequentes relacionados a assinaturas seguem esse modelo de
adversrio fortalecido. Curiosamente, os mais recentes esquemas de cifragem baseados
em certicado ainda no pressupem substituio de chaves.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Alm de melhorar os requisitos de segurana para assinatura, [Li et al. 2007] apresentaram esquema concreto com emparelhamentos bilineares, com demonstrao de segurana no novo modelo, sob orculo aleatrio.
Para completar um leque de possibilidades, em [Liu et al. 2008] foram apresentadas mais duas assinaturas: uma sem emparelhamentos, com o objetivo de maximizar
desempenho computacional; e outra, sem orculos aleatrios, para fornecer uma soluo
no mais alto nvel de segurana. O primeiro esquema de assinatura, sem emparelhamentos, foi comparado a outros e os autores armaram superioridade em desempenho;
a demonstrao de segurana foi baseada no modelo de orculos aleatrios. O segundo
esquema, demonstrado seguro no modelo padro, faz uso de emparelhamentos bilineares; teoricamente mais seguro e perde em desempenho, quando comparado aos demais,
apenas por conta da funo de hash concretizada como em [Waters 2005].
Variaes sobre assinatura tambm foram estudadas para o modelo: em
[Au et al. 2007a] h a proposta de assinatura em anel; [Shao 2008] prope um esquema
de assinatura cifrada vericvel; e [Liu et al. 2009] elaboram esquema de assinatura agregada baseada em certicado, em que n mensagens podem ser assinadas por n participantes, com comprimento xo, independente de n.
Tanto a assinatura agregada de [Liu et al. 2009] quanto a assinatura sem emparelhamentos de [Liu et al. 2008] so sugeridas para uso em ambientes com restrio de
recursos computacionais ou de banda, como redes sem o (de sensores ou dispositivos
mveis).
Todos os esquemas citados pressupem que a autoridade do sistema gera honestamente os parmetros do sistema. Isto , at a elaborao deste texto, nenhum trabalho
levou em considerao a ao de uma autoridade que gera os parmetros pblicos de
modo a obter vantagens em conseguir, sem ser detectada, falsicar assinaturas ou decifrar
mensagens de usurios. [Au et al. 2007b] fazem tal alerta no contexto do modelo sem
certicado, mas tambm se aplica ao modelo baseado em certicado.

Aplicaes do Modelo Baseado em Certicado


Uma aplicao interessante que o modelo de Gentry possibilita uma construo mais
elegante de um sistema de proxy em que possvel revogar o poder de decifragem de um
procurador, ainda durante o perodo de validade da chave dada a ele. O modelo formal
e a segurana de um esquema concreto foram analisados em [Wang et al. 2007].
Basicamente, uma aplicao que possa ser realizada em uma ICP convencional,
pode ser implementada no modelo de Gentry. A escolha entre um modelo ou outro depende essencialmente da convenincia ou no da caracterstica de renovao de certicados para tratar revogao.
O modelo baseado em certicado requer implementaes mais semelhantes s de
um sistema convencional de chave pblica. So poucas as diferenas existentes entre uma
ICP e a infraestrutura de gerenciamento de certicados do modelo de Gentry. Por esse
motivo, mais fcil o reaproveitamento de mdulos prontos ou de bibliotecas.

87

88

Minicursos SBSeg 2009

2.4. Consideraes e Concluses


Apresentaremos, nas prximas subsees, comparaes gerais entre os modelos de criptograa de chave pblica e algumas consideraes sobre implementao. Por m, nalizamos com sugestes de trabalhos que podem ser desenvolvidos nesses temas, seguidas
de concluses.
2.4.1. Comparaes Gerais
Conforme j indicamos na seo anterior, alguns pesquisadores exploraram as semelhanas existentes entre os modelos aqui estudados, para tentar construir converses genricas de um para o outro. Todas as tentativas foram posteriormente invalidadas, devido a alguma falha nas demonstraes de converso. Exemplos disso podem ser vistos em [Yum e Lee 2004, Al-Riyami e Paterson 2005], contestados respectivamente em
[Libert e Quisquater 2006, Kang e Park 2005]. No primeiro desses trabalhos, chegou-se
a mostrar (falsamente) que cifragem nos modelos baseado em identidade, sem certicado
e baseado em certicado (IBE, CLE e CBE) so essencialmente equivalentes entre si, isto
, dado um deles se constri os outros dois.
Portanto, pelo menos at o momento, cada um dos paradigmas aparentemente
possui vida prpria, com propriedades, prs e contras prprios.
Abstraindo-se as diferenas relacionadas com os detalhes de gerenciamento de
chaves, podemos classicar e ordenar os modelos de chave pblica da seguinte forma:
num extremo, ca o modelo baseado em identidade, com nvel de conana 1;
no outro extremo, ca o modelo convencional sobre ICP, com nvel de conana 3;
no meio cam os demais, hbridos dos dois primeiros, com nveis de 1 a 3.
Os atributos de criptograa de chave pblica, discutidos ao longo do texto,
encontram-se resumidos na tabela 2.6. Tais atributos so compostos pelo par de chaves
(pblica e secreta) e pela garantia de que o par se relaciona com seu dono, identicado
por ID. A funo f em cada ocorrncia na tabela uma representao genrica de funo
matemtica; possui propriedades especcas em cada caso.
Tabela 2.6. Atributos dos modelos de criptograa de chave pblica.
Atributos
Chave secreta
Chave pblica
Garantia

Com
ICP
s
P = f (s)
f (ID, P, sAC )

Baseado em
Identidade
s = f (ID, sAC )
ID
s

Modelos
AutoSem
certicado
Certicado
s
s = [x, f (ID, sAC )]
P = f (ID, s, sAC )
[ f (x), ID]
P
s

Baseado em
Certicado
[s, c]
[P = f (s), ID]
c = f (ID, P, sAC , i)

Na tabela 2.7, algumas das propriedades dos modelos so colocadas lado a lado
para comparao. Nela, a segunda coluna refere-se ao modelo convencional sobre ICP.
Em geral, um sim considerado um ponto positivo; um no, ponto negativo.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

A primeira propriedade, Dispensa ICP, diz respeito infraestrutura tradicional


de gerenciamento de chaves pblicas. Naturalmente, todos os modelos necessitam de
algum tipo de infraestrutura, cujos requisitos e caractersticas so retratados pelas demais
linhas da tabela. A propriedade Fluxo criptogrco se refere ao uso da chave pblica
antes da emisso da chave secreta.
Tabela 2.7. Comparao entre os modelos de criptograa de chave pblica.

Propriedades

Com
ICP
no
no
no

Baseado em
Identidade
sim
sim
sim

Dispensa ICP
Dispensa certicados
Dispensa diretrio de
chaves ou certicados
Certicao explcita
sim
no
Nvel de conana
3
1
Sem custdia de chaves
sim
no
Chave secreta criada insim
no
tegralmente pelo usurio
Irretratabilidade
sim
no
Risco da chave mestra
alto
altssimo
Dispensa canal seguro
sim
no
para distribuir chaves
Renovao de chaves
no
no
controlada pelo usurio
Fluxo criptogrco
no
sim
Principais protocolos
sim
sim
demonstrados seguros
(*) Sob as condies discorridas no texto

Modelos
AutoSem
certicado Certicado
sim
sim
sim
sim
no
no

Baseado em
Certicado
no
no
no

no
3(*)
sim
sim

no
2
sim
no

no
3
sim
no

sim
alto
sim

sim(*)
alto
no

sim(*)
alto
sim

no

sim

no

no
no

sim
sim

no
sim

2.4.2. Consideraes sobre Implementao


Achamos prudente frisar alguns detalhes relacionados implementao de criptossistemas baseados nos modelos alternativos, embora muitos deles se aplicam tambm ao caso
do modelo tradicional. Pelo fato dessas alternativas serem relativamente novas, no h
ainda padronizaes internacionais generalizadas que guiem o desenvolvedor.
Em primeiro lugar, esquemas e protocolos desacompanhados de demonstrao de
segurana no devem ser considerados para implementaes prticas. Caso a demonstrao de segurana seja baseada no modelo do orculo aleatrio, necessrio ter um
cuidado especial com a escolha e implementao das funes hash, pois elas podem vir
a ser ponto vulnervel no sistema. Tambm preciso que se tenha ateno ao modelo de
adversrio usado na demonstrao de segurana; as hipteses l consideradas devem ser
contempladas na implementao da aplicao.
A escolha adequada de curvas elpticas e do emparelhamento bilinear, quando
for o caso, exercem inuncia fundamental no desempenho nal dos algoritmos escolhidos, pois h vrias otimizaes j desenvolvidas. Um texto que boa referncia para

89

90

Minicursos SBSeg 2009

quem deseja criar aplicaes baseadas em emparelhamentos o captulo de implementaes escrito por Hankerson, Menezes e Scott em [Joye e Neven 2009]. Ademais, existem
algumas padronizaes para escolha de curvas elpticas, de modo a evitar aquelas j conhecidas como inseguras (ex. FIPS 186-3).
Dentre os alternativos, o modelo baseado em identidade o que j possui
propostas para padronizaes. A RFC 5091, de dezembro 2007 (http://tools.
ietf.org/html/rfc5091), aborda padres para implementao dos algoritmos
de [Boneh e Franklin 2001] e [Boneh e Boyen 2004] a partir de curvas supersingulares.
Existem outras padronizaes escritas pela Voltage Security, empresa pioneira em comercializar produtos baseados no modelo. A RFC 5408, de 2009, por exemplo, descreve a
arquitetura necessria para implementar IBE e dene as estruturas de dados suportadas.
2.4.3. Sugestes de Trabalhos Futuros
Os modelos alternativos so relativamente novos e existem poucas implementaes em
execuo. Somente as implantaes reais podem conrmar as vantagens e desvantagens
levantadas no plano conceitual e revelar diculdades ainda ocultas. Portanto, uma primeira sugesto de trabalhos est relacionada a implementaes nos modelos alternativos,
avaliando tambm aspectos de ecincia computacional.
Como a proposta de Girault no evoluiu para um modelo independente, h espao para o desenvolvimento de um conjunto de primitivas bsicas que garantam condencialidade, integridade e autenticidade demonstravelmente seguras. Ou, ao contrrio,
demonstrar que o modelo impraticvel.
possvel melhorar alguns aspectos em cada modelo, eliminando uma caracterstica ruim ou acrescentando uma propriedade atraente. Renamentos assim tem sido
estudados, mas h pontos ainda em aberto, em todos os modelos.
Pudemos observar que a composio dos atributos de criptograa de chave pblica
comprometem a caracterizao de cada modelo. Variaes sobre as composies atuais
podem induzir novas variantes ou aprimoramentos.
2.4.4. Consideraes Finais
Neste texto foram discutidas as propriedades de quatro modelos de criptograa de chave
pblica que so alternativos ao convencional, por minimizarem algumas das diculdades
impostas pela infraestrutura de chaves pblicas. A partir da anlise conceitual, foram
levantados pontos fortes e fracos de cada modelo, e discutidas algumas possveis aplicaes.
Os quadros comparativos apresentam um sumrio dos parmetros que constroem
cada modelo e uma sntese das caractersticas relevantes, que so meras consequncias da
variaes exercidas sobre esses parmetros.
Aos prossionais de desenvolvimento ou de implantao de sistemas de segurana, as revises conceituais ajudam na escolha do modelo adequado de criptograa de
chave pblica para a aplicao em particular. Pesquisadores e estudantes podem contribuir com a evoluo dos modelos, tendo como ponto de partida a melhor compreenso
deles.

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

Referncias
[Abdalla et al. 2008] Abdalla, M., Bellare, M., Catalano, D., Kiltz, E., Kohno, T., Lange,
T., Malone-Lee, J., Neven, G., Paillier, P., e Shi, H. (2008). Searchable encryption revisited: Consistency properties, relation to anonymous ibe, and extensions. J. Cryptol.,
21(3):350391. 27
[Abdalla et al. 2006] Abdalla, M., Catalano, D., Dent, A., Malone-Lee, J., e Smart, N.
(2006). Identity-based encryption gone wild. In Automata, Languages and Programming: 33rd International Colloquium, ICALP 2006, pages 300311. Springer-Verlag
LNCS 4052. 9
[Al-Riyami 2005] Al-Riyami, S. S. (2005). Cryptographic Schemes based on Elliptic
Curve Pairings. Tese de doutorado, Department of Mathematics, Royal Holloway,
University of London. 15, 35
[Al-Riyami e Paterson 2003] Al-Riyami, S. S. e Paterson, K. G. (2003). Certicateless public key cryptography. In ASIACRYPT 2003, volume 2894 of Lecture Notes in Computer Science. Springer. Cryptology ePrint Archive, Report 2003/126,
http://eprint.iacr.org/. 11, 12, 13, 26, 30, 31, 34, 38
[Al-Riyami e Paterson 2005] Al-Riyami, S. S. e Paterson, K. G. (2005). Cbe from cl-pke:
A generic construction and efcient schemes. In Public Key Cryptography - PKC 2005,
volume 3386 of Lecture Notes in Computer Science, pages 398415, Les Diablerets,
Switzerland. Springer. 37, 40
[Appenzeller e Lynn 2002] Appenzeller, G. e Lynn, B. (2002). Minimal-overhead ip
security using identity-based encryption. Disponvel em: http://rooster.
stanford.edu/~ben/pubs/ipibe.pdf. 27
[Asokan et al. 2007] Asokan, N., Kostiainen, K., Ginzboorg, P., Ott, J., e Luo, C. (2007).
Applicability of identity-based cryptography for disruption-tolerant networking. In
MobiOpp 07: Proceedings of the 1st international MobiSys workshop on Mobile opportunistic networking, pages 5256, New York, NY, USA. ACM. 27
[Au et al. 2007a] Au, M. H., Liu, J. K., Susilo, W., e Yuen, T. H. (2007a). Certicate
based (linkable) ring signature. In ISPEC, volume 4464 of Lecture Notes in Computer
Science, pages 7992. Springer. 39
[Au et al. 2007b] Au, M. H., Mu, Y., Chen, J., Wong, D. S., Liu, J. K., e Yang, G.
(2007b). Malicious kgc attacks in certicateless cryptography. In ASIACCS 07: Proceedings of the 2nd ACM Symposium on Information, Computer and Communications
Security, pages 302311, New York, NY, USA. ACM. 34, 39
[Baek et al. 2004] Baek, J., Newmarch, J., Safavi-Naini, R., e Susilo, W. (2004). A survey of identity-based cryptography. AUUG 2004. Disponvel em: http://jan.
netcomp.monash.edu.au/publications/. 23, 24
[Baek et al. 2005] Baek, J., Safavi-Naini, R., e Susilo, W. (2005). Certicateless public
key encryption without pairing. In ISC, volume 3650 of Lecture Notes in Computer
Science, pages 134148, Singapore. Springer. 33

91

92

Minicursos SBSeg 2009

[Barreto et al. 2008] Barreto, P. S. L. M., Deusajute, A. M., de Souza Cruz, E., Pereira,
G. C. F., e da Silva, R. R. (2008). Toward efcient certicateless signcryption from
(and without) bilinear pairings. In SBSeg 2008. 34
[Boldyreva et al. 2007] Boldyreva, A., Fischlin, M., Palacio, A., e Warinschi, B. (2007).
A closer look at pki: Security and efciency. In PKC 2007, volume 4450 of Lecture
Notes in Computer Science, pages 458475. Springer. 30
[Boldyreva et al. 2008] Boldyreva, A., Goyal, V., e Kumar, V. (2008). Identity-based
encryption with efcient revocation. In CCS 08: Proceedings of the 15th ACM conference on Computer and communications security, pages 417426, New York, NY,
USA. ACM. 26
[Boneh e Boyen 2004] Boneh, D. e Boyen, X. (2004). Efcient selective-ID secure
identity based encryption without random oracles. In Advances in Cryptology
EUROCRYPT 2004, volume 3027 of Lecture Notes in Computer Science, pages 223
238. Berlin: Springer-Verlag. Disponvel em: http://www.cs.stanford.edu/
~xb/eurocrypt04b/. 22, 42
[Boneh e Franklin 2001] Boneh, D. e Franklin, M. K. (2001). Identity-based encryption
from the weil pairing. In CRYPTO 01: Proceedings of the 21st Annual International Cryptology Conference on Advances in Cryptology, pages 213229, London, UK.
Springer-Verlag. 12, 21, 22, 23, 24, 38, 42
[Boneh et al. 2007] Boneh, D., Gentry, C., e Hamburg, M. (2007). Space-efcient identity based encryptionwithout pairings. In FOCS 07: Proceedings of the 48th Annual
IEEE Symposium on Foundations of Computer Science, pages 647657, Washington,
DC, USA. IEEE Computer Society. 24
[Boneh et al. 2003] Boneh, D., Gentry, C., Lynn, B., e Shacham, H. (2003). Aggregate
and veriably encrypted signatures from bilinear maps. In EUROCRYPT, pages 416
432. 37
[Brown et al. 2002] Brown, D. R. L., Gallant, R. P., e Vanstone, S. A. (2002). Provably
secure implicit certicate schemes. In FC 01: Proceedings of the 5th International Conference on Financial Cryptography, pages 156165, London, UK. SpringerVerlag. 30
[Chatterjee e Sarkar 2007] Chatterjee, S. e Sarkar, P. (2007). Constant size ciphertext
hibe in the augmented selective-id model and its extensions. J. UCS, 13(10):1367
1395. 22
[Cheng et al. 2007] Cheng, Z., Chen, L., Ling, L., e Comley, R. (2007). General and
efcient certicateless public key encryption constructions. In Pairing, volume 4575
of Lecture Notes in Computer Science, pages 83107. Springer. 33
[Chow 2009] Chow, S. (2009). Removing escrow from identity-based encryption - new
security notions and key managment techiniques. In Public Key Cryptography - PKC
2009, volume 5443 of Lecture Notes in Computer Science, pages 256276. Springer.
26

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

[Chow et al. 2006] Chow, S. S. M., Boyd, C., e Nieto, J. M. G. (2006). Security-mediated
certicateless cryptography. In Public Key Cryptography PKC 2006, volume 3958 of
Lecture Notes in Computer Science, pages 508524, New York, NY, USA. Springer.
34, 35
[Cocks 2001] Cocks, C. (2001). An identity based encryption scheme based on quadratic
residues. In Proceedings of the 8th IMA International Conference on Cryptography
and Coding, pages 360363, London, UK. Springer-Verlag. 22, 24
[Crampton et al. 2007] Crampton, J., Lim, H. W., e Paterson, K. G. (2007). What can
identity-based cryptography offer to web services? In SWS 07: Proceedings of the
2007 ACM workshop on Secure web services, pages 2636, New York, NY, USA.
ACM. 9
[Dent 2008] Dent, A. W. (2008). A survey of certicateless encryption schemes and
security models. Int. J. Inf. Secur., 7(5):349377. Cryptology ePrint Archive, Report
2006/211, http://eprint.iacr.org/. 31, 34
[Dent et al. 2008] Dent, A. W., Libert, B., e Paterson, K. G. (2008). Certicateless encryption schemes strongly secure in the standard model. In Public Key Cryptography PKC 2008, volume 4939 of Lecture Notes in Computer Science, pages 344359, Berlin/Heidelberg. Springer. Tambm disponvel em Cryptology ePrint Archive, Report
2007/121. 33, 34
[Dife e Hellman 1976] Dife, P. e Hellman, M. E. (1976). New directions in cryptography. IEEE Transactions on Information Theory, IT-22(6):644654. 2
[Dodis e Katz 2005] Dodis, Y. e Katz, J. (2005). Chosen-ciphertext security of multiple
encryption. In TCC, volume 3378 of Lecture Notes in Computer Science, pages 188
209. Springer. 34, 37
[Fan et al. 2008] Fan, X., Gong, G., e Jao, D. (2008). Speeding up pairing computations
on genus 2 hyperelliptic curves with efciently computable automorphisms. In Pairing
08: Proceedings of the 2nd international conference on Pairing-Based Cryptography,
pages 243264, Berlin, Heidelberg. Springer-Verlag. 22
[Fujisaki e Okamoto 1999] Fujisaki, E. e Okamoto, T. (1999). Secure integration of
asymmetric and symmetric encryption schemes. In CRYPTO 99: Proceedings of the
19th Annual International Cryptology Conference on Advances in Cryptology, pages
537554, London, UK. Springer-Verlag. 38
[Galindo et al. 2008] Galindo, D., Morillo, P., e Rfols, C. (2008). Improved certicatebased encryption in the standard model. J. Syst. Softw., 81(7):12181226. 37, 38
[Gentry 2003] Gentry, C. (2003). Certicate-based encryption and the certicate revocation problem. Cryptology ePrint Archive, Report 2003/183. 16, 19, 26, 36, 38
[Gentry e Silverberg 2002] Gentry, C. e Silverberg, A. (2002). Hierarchical id-based
cryptography. In ASIACRYPT 02: Proceedings of the 8th International Conference on

93

94

Minicursos SBSeg 2009

the Theory and Application of Cryptology and Information Security, pages 548566,
London, UK. Springer-Verlag. 9, 22
[Girault 1991] Girault, M. (1991). Self-certied public keys. In EuroCrypt91, pages
490497, Brighton, UK. Springer. LCNS vol.547. 4, 7, 9, 11, 12, 28, 29
[Goya 2006] Goya, D. H. (2006). Proposta de esquemas de criptograa e de assinatura sob modelo de criptograa de chave pblica sem certicado. Dissertao de
mestrado, Instituto de Matemtica e Estatstica, Universidade de So Paulo. Disponvel em http://www.teses.usp.br/teses/disponiveis/45/45134/
tde-28072006-142410/. 31
[Gnther 1989] Gnther, C. G. (1989). An identity-based key-exchange protocol. In EUROCRYPT, volume 434 of Lecture Notes in Computer Science, pages 2937. Springer.
11
[Hess 2003] Hess, F. (2003). Efcient identity based signature schemes based on pairings. In SAC 02: Revised Papers from the 9th Annual International Workshop on
Selected Areas in Cryptography, pages 310324, London, UK. Springer-Verlag. 24
[Hu et al. 2007] Hu, B., Wong, D., Zhang, Z., e Deng, X. (2007). Certicateless signature: a new security model and an improved generic construction. Designs, Codes and
Cryptography, 42(2):109126. 35
[Hu et al. 2006] Hu, B. C., Wong, D. S., Zhang, Z., e Deng, X. (2006). Key replacement
attack against a generic construction of certicateless signature. In Information Security and Privacy, 11th Australasian Conference, ACISP 2006, volume 4058 of Lecture
Notes in Computer Science, pages 235246. Springer. 34
[Hwang et al. 2008] Hwang, Y. H., Liu, J. K., e Chow, S. S. (2008). Certicateless public
key encryption secure against malicious kgc attacks in the standard model. Journal of
Universal Computer Science, 14(3):463480. 34
[Joux 2000] Joux, A. (2000). A one round protocol for tripartite dife-hellman. In ANTSIV: Proceedings of the 4th International Symposium on Algorithmic Number Theory,
volume 1838 of Lecture Notes in Computer Science, pages 385394, London, UK.
Springer-Verlag. 22
[Joye e Neven 2009] Joye, M. e Neven, G. (2009). Identity-based Cryptography. IOS
Press, Amsterdam. 25, 42
[Kang e Park 2005] Kang, B. G. e Park, J. H. (2005). Is it possible to have cbe from
cl-pke? Cryptology ePrint Archive, Report 2005/431. 37, 40
[Kang et al. 2004] Kang, B. G., Park, J. H., e Hahn, S. G. (2004). A certicate-based
signature scheme. In CT-RSA, volume 2964 of Lecture Notes in Computer Science,
pages 99111. Springer. 38
[Kim et al. 1999] Kim, S., Oh, S., Park, S., e Won, D. (1999). Veriable self-certied
public keys. In WCC99 : Workshop on Coding and Cryptography, pages 139148, Le
Chesnay, Frana. INRIA. 10

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

[Koblitz 1994] Koblitz, N. (1994). A course in number theory and cryptography, 2.ed.
Springer-Verlag, New York - NY - USA. 20
[Lee e Kim 2002] Lee, B. e Kim, K. (2002). Self-certied signatures. In INDOCRYPT
02: Proceedings of the Third International Conference on Cryptology, pages 199
214, London, UK. Springer-Verlag. 30
[Li et al. 2007] Li, J., Huang, X., Mu, Y., Susilo, W., e Wu, Q. (2007). Certicate-based
signature: Security model and efcient construction. In EuroPKI, volume 4582 of
Lecture Notes in Computer Science, pages 110125. Springer. 38, 39
[Libert e Quisquater 2006] Libert, B. e Quisquater, J.-J. (2006). On constructing certicateless cryptosystems from identity based encryption. In Public Key Cryptography
2006 (PKC06), volume 3958 of Lecture Notes in Computer Science, pages 474490,
New York, NY, USA. Springer-Verlag. 33, 34, 40
[Lim 2006] Lim, H. W. (2006). On the Application of Identity-Based Cryptography In
Grid Security. Doutorado, University of London. 27
[Lim e Paterson 2005] Lim, H. W. e Paterson, K. G. (2005). Identity-based cryptography
for grid security. In E-SCIENCE 05: Proceedings of the First International Conference on e-Science and Grid Computing, pages 395404, Washington, DC, USA. IEEE
Computer Society. 9
[Liu et al. 2007] Liu, J. K., Au, M. H., e Susilo, W. (2007). Self-generated-certicate public key cryptography and certicateless signature/encryption scheme in the standard
model. In ASIACCS 07: Proceedings of the 2nd ACM Symposium on Information,
Computer and Communications Security, pages 273283, New York, NY, USA. ACM.
14, 34, 35
[Liu et al. 2008] Liu, J. K., Baek, J., Susilo, W., e Zhou, J. (2008). Certicate-based
signature schemes without pairings or random oracles. In ISC 08: Proceedings of the
11th international conference on Information Security, volume 5222 of Lecture Notes
in Computer Science, pages 285297, Berlin, Heidelberg. Springer-Verlag. 39
[Liu et al. 2009] Liu, J. K., Baek, J., e Zhou, J. (2009). Certicate-based sequential aggregate signature. In WiSec 09: Proceedings of the second ACM conference on Wireless network security, pages 2128, New York, NY, USA. ACM. 39
[Liu e Zhou 2008] Liu, J. K. e Zhou, J. (2008). Efcient certicate-based encryption in
the standard model. In SCN 08: Proceedings of the 6th international conference on Security and Cryptography for Networks, pages 144155, Berlin, Heidelberg. SpringerVerlag. 38
[Lu e Li 2008] Lu, Y. e Li, J. (2008). A general and secure certication-based encryption
construction. In ChinaGrid08, pages 182189, Los Alamitos, CA. IEEE Computer
Society. 38
[Lu et al. 2009] Lu, Y., Li, J., e Xiao, J. (2009). Constructing efcient certicate-based
encryption with paring. Journal of Computers, 4(1):1926. 38

95

96

Minicursos SBSeg 2009

[Malone-Lee 2002] Malone-Lee, J. (2002). Identity-based signcryption. Cryptology


ePrint Archive-Report 2002/098. http://eprint.iacr.org/2002/098. 25
[Mao 2003] Mao, W. (2003). Modern cryptography : theory and practice. Prentice Hall.
3
[Mccullagh e Barreto 2004] Mccullagh, N. e Barreto, P. S. L. M. (2004). A new twoparty identity-based authenticated key agreement. In In proceedings of CT-RSA 2005,
LNCS 3376, pages 262274. Springer-Verlag. Tambm disponvel em Cryptology
ePrint Report 2004/122. 25
[Misaghi 2008] Misaghi, M. (2008). Um Ambiente Criptogrco Baseado na Identidade.
Doutorado, Escola Politcnica, Universidade de So Paulo. 9, 25
[Naccache 2007] Naccache, D. (2007). Secure and practical identity-based encryption.
IET Information Security, 1(2):5964. Tambm disponvel em Cryptology ePrint Report 2005/369. 22
[Petersen e Horster 1997] Petersen, H. e Horster, P. (1997). Self-certied keys - concepts
and applications. 28, 29
[Saeednia 2003] Saeednia, S. (2003). A note on giraults self-certied model. Inf. Process. Lett., 86(6):323327. 11, 28
[Sakai e Kasahara 2003] Sakai, R. e Kasahara, M. (2003). Id based cryptosystems with
pairing on elliptic curve. Cryptology ePrint Archive, Report 2003/054. 38
[Sakai et al. 2000] Sakai, R., Ohgishi, K., e Kasahara, M. (2000). Cryptosystems based
on pairing. In Symposium on Cryptography and Information Security (SCIS2000),
pages 2628, Okinawa, Japan. Inst. of Electronics, Information and Communication
Engineers. 22
[Scott et al. 2006] Scott, M., Costigan, N., e Abdulwahab, W. (2006). Implementing
cryptographic pairings on smartcards. In CHES, volume 4249 of Lecture Notes in
Computer Science, pages 134147. Springer. 27
[Shamir 1984] Shamir, A. (1984). Identity-based cryptosystems and signature schemes.
In Proceedings of CRYPTO 84 on Advances in cryptology, volume 196/1985 of Lecture
Notes in Computer Science, pages 4753, New York, NY, USA. Springer-Verlag New
York, Inc. 5, 8, 24
[Shao 2007] Shao, Z. (2007). Self-certied signatures based on discrete logarithms. In
WAIFI 07: Proceedings of the 1st international workshop on Arithmetic of Finite
Fields, pages 252263, Berlin, Heidelberg. Springer-Verlag. 30
[Shao 2008] Shao, Z. (2008). Certicate-based veriably encrypted signatures from pairings. Information Sciences, 178(10):23602373. 39
[Sun et al. 2007] Sun, Y., Zhang, F., e Baek, J. (2007). Strongly secure certicateless
public key encryption without pairing. In CANS, volume 4856 of Lecture Notes in
Computer Science, pages 194208. Springer. 33

IX Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

[Szczechowiak et al. 2008] Szczechowiak, P., Oliveira, L. B., Scott, M., Collier, M., e
Dahab, R. (2008). Nanoecc: Testing the limits of elliptic curve cryptography in sensor
networks. In European conference on Wireless Sensor Networks, EWSN08, volume
4913 of Lecture Notes in Computer Science, pages 305320. 9
[Terada 2008] Terada, R. (2008). Segurana de Dados - Criptograa em Redes de Computador. Editora Edgard Blcher, So Paulo, SP, 2 edition. 3
[Trappe e Washington 2005] Trappe, W. e Washington, L. C. (2005). Introduction to
Cryptography with Coding Theory. Prentice Hall, 2 edition. 22
[Wang et al. 2007] Wang, L., Shao, J., Cao, Z., Mambo, M., e Yamamura, A. (2007). A
certicate-based proxy cryptosystem with revocable proxy decryption power. In Progress in Cryptology - INDOCRYPT 2007, 8th International Conference on Cryptology
in India, Chennai, India, December 9-13, 2007, Proceedings, volume 4859 of Lecture
Notes in Computer Science, pages 297311. Springer. 39
[Waters 2005] Waters, B. R. (2005). Efcient identity-based encryption without random
oracles. In EUROCRYPT05, volume 3494 of Lecture Notes in Computer Science,
pages 114127. Springer. Tambm disponvel em Cryptology ePrint Report 2004/180.
22, 39
[Yao et al. 2004] Yao, D., Fazio, N., Dodis, Y., e Lysyanskaya, A. (2004). Id-based encryption for complex hierarchies with applications to forward security and broadcast
encryption. In CCS 04: Proceedings of the 11th ACM conference on Computer and
communications security, pages 354363, New York - NY - USA. ACM Press. 22
[Yum e Lee 2004] Yum, D. H. e Lee, P. J. (2004). Identity-based cryptography in public key management. In EuroPKI 2004, volume 3093 of Lecture Notes in Computer
Science, pages 7184, Samos Island, Greece. Springer-Verlag. 37, 40
[Zhang e Wang 2008] Zhang, G. e Wang, S. (2008). A certicateless signature and group
signature schemes against malicious pkg. In 22nd International Conference on Advanced Information Networking and Applications, AINA 2008, pages 334341. IEEE
Computer Society. 35
[Zhang et al. 2006] Zhang, Z., Wong, D. S., XU, J., e FENG, D. (2006). Certicateless
public key signature: Security model and efcient construction. In 4th. International
Conference on Applied Cryptography and Network Security, ACNS06, volume 3989
of Lecture Notes in Computer Science, Singapore. Springer. 35
[Zheng 1997] Zheng, Y. (1997). Digital signcryption or how to achieve cost(signature &
encryption) cost(signature) + cost(encryption). In CRYPTO 97: Proceedings of the
17th Annual International Cryptology Conference on Advances in Cryptology, pages
165179, London, UK. Springer-Verlag. 25

97