Cryptography Reference
In-Depth Information
26.6.2
Das Boneh-Franklin-Verfahren
Die identitätsbasierte Kryptografie stammt aus den achtziger Jahren und ist
damit nicht gerade eine neue Erfindung. Schon in Bruce Schneiers Standardwerk
[Schn96] findet sich ein kurzes Kapitel zu diesem Thema - allerdings mit dem
Hinweis, dass die damals bekannten Verfahren dieser Art unpraktikabel oder
unsicher waren. An dieser Situation hat sich erst in den letzten Jahren einiges
geändert. Als erstes praxistaugliches identitätsbasiertes Krypto-System gilt das
2001 veröffentlichte Boneh-Franklin-Verfahren [BonFra]. Da dieses nur zur Ver-
schlüsselung dient (für digitale Signaturen ist es nicht geeignet), redet man in die-
sem Zusammenhang auch von identitätsbasierter Verschlüsselung . Auch die
Abkürzung IBE ( Identity-Based Encryption ) wird dafür verwendet.
Funktionsweise
Das Boneh-Franklin-Verfahren basiert auf dem Diffie-Hellman-Schlüsselaus-
tausch. Ich übernehme daher die Bezeichnungen aus Abschnitt 11.2. Im Folgen-
den sei x Alices privater Schlüssel, y sei der private Schlüssel des Servers. Für das
Boneh-Franklin-Verfahren spielt zudem eine sogenannte Paarungsfunktion (auch
Pairing genannt) eine wichtige Rolle. Eine Paarungsfunktion f hat im Zusammen-
hang mit Diffie-Hellman folgende Eigenschaft ( g 1 und g 2 sind natürliche Zahlen):
f ( g 1 x , g 2 y ) = f ( g 1 y , g 2 x ) (mod p )
Will Alice eine Nachricht an Bob verschicken, dann generiert sie zunächst einen
Sitzungsschlüssel. Dazu nimmt sie eine aus Bobs E-Mail-Adresse generierte Zahl
i und wendet folgende Formel an:
k = f ( i x , g y ) (mod p )
Mit k als Schlüssel verschlüsselt sie die Nachricht mit einem symmetrischen Ver-
fahren. Um den Sitzungsschlüssel berechnen zu können, benötigt Empfänger Bob
einen privaten Schlüssel z , den ihm der Server zur Verfügung stellt. Der Server
berechnet z nach folgender Formel:
z = i y (mod p )
Nun kann Bob den Sitzungsschlüssel auf folgende Weise berechnen:
k = f ( i y , g x ) (mod p )
Die Eigenschaften der Paarungsfunktion stellen sicher, dass Alice und Bob tat-
sächlich denselben Sitzungsschlüssel erhalten.
Leider hat der beschriebene Ablauf einen kleinen Schönheitsfehler: Bisher ist
keine Paarungsfunktion bekannt, die sich in diesem Zusammenhang nutzen ließe.
Die Situation ändert sich jedoch, wenn wir den Diffie-Hellman-Schlüsselaustausch
auf Basis elliptischer Kurven (ECDH) verwenden. Hier sind zwei Paarungsfunk-
Search WWH ::




Custom Search