Atestación directa anónima

La atestación anónima directa ( DAA ) es una primitiva criptográfica que permite la autenticación remota de una computadora confiable mientras se preserva la privacidad del usuario de la plataforma. El protocolo ha sido adoptado por Trusted Computing Group (TCG) en la última versión de su especificación Trusted Platform Module (TPM) ^[1] para abordar los problemas de privacidad (ver también Pérdida del anonimato en Internet ). ISO / IEC 20008 también especifica DAA, y la implementación de Enhanced Privacy ID (EPID) 2.0 de Intel para microprocesadores está disponible para licenciar RAND-Z junto con un SDK de código abierto.

Perspectiva historica

En principio, el problema de la privacidad podría resolverse utilizando cualquier esquema de firma estándar (o cifrado de clave pública ) y un solo par de claves. Los fabricantes incrustarían la clave privada en cada TPM producido y la clave pública se publicaría como un certificado. Las firmas producidas por el TPM deben haberse originado a partir de la clave privada, por la naturaleza de la tecnología, y dado que todos los TPM usan la misma clave privada, son indistinguibles, lo que garantiza la privacidad del usuario. Esta solución bastante ingenua se basa en la suposición de que existe un secreto global . Solo hay que mirar el precedente del Content Scramble System (CSS), un sistema de cifrado para DVD, para ver que esta suposición es fundamentalmente defectuosa. Además, este enfoque no logra un objetivo secundario: la capacidad de detectar TPM no autorizados. Un TPM no autorizado es un TPM que se ha visto comprometido y se le han extraído sus secretos.

La solución adoptada por primera vez por TCG (especificación TPM v1.1) requería un tercero de confianza, a saber, una autoridad certificadora de privacidad (CA de privacidad). Cada TPM tiene un par de claves RSA incorporado llamado Clave de aprobación (EK) que se supone que conoce la CA de privacidad. Para dar fe, el TPM genera un segundo par de claves RSA denominado Clave de identidad de atestación (AIK). Envía el AIK público, firmado por EK, a la CA de privacidad que verifica su validez y emite un certificado para el AIK. (Para que esto funcione, a) la CA de privacidad debe conocer el EK público del TPM a priori , ob) el fabricante del TPM debe haber proporcionado un certificado de aprobación.) El host / TPM ahora puede autenticarse con respecto al certificado. Este enfoque permite dos posibilidades para detectar TPM deshonestos: en primer lugar, la CA de privacidad debe mantener una lista de TPM identificados por su EK que se sabe que son deshonestos y rechazar las solicitudes de ellos; en segundo lugar, si una CA de privacidad recibe demasiadas solicitudes de un TPM en particular, puede rechazarlas. ellos y lista de bloqueo los TPMs EK. El número de solicitudes permitidas debe estar sujeto a un ejercicio de gestión de riesgos. Esta solución es problemática ya que la CA de privacidad debe participar en cada transacción y, por lo tanto, debe proporcionar una alta disponibilidad sin dejar de ser segura. Además, los requisitos de privacidad pueden violarse si la CA de privacidad y el verificador se coluden. Aunque el último problema probablemente se pueda resolver con firmas ciegas, el primero permanece.

La solución EPID 2.0 incorpora la clave privada en el microprocesador cuando se fabrica, distribuye inherentemente la clave con el envío del dispositivo físico y tiene la clave aprovisionada y lista para usar con el primer encendido.

Visión general

El protocolo DAA se basa en tres entidades y dos pasos diferentes. Las entidades son el Miembro DAA (plataforma TPM o microprocesador habilitado para EPID), el Emisor DAA y el Verificador DAA. Al emisor se le cobra por verificar la plataforma TPM durante el paso Unirse y emitir la credencial DAA a la plataforma. La plataforma (miembro) utiliza la credencial DAA con el verificador durante el paso de firma. A través de una prueba de conocimiento cero, el Verificador puede verificar la credencial sin intentar violar la privacidad de la plataforma. El protocolo también admite una capacidad de lista de bloqueo para que los verificadores puedan identificar las atestaciones de los TPM que se han visto comprometidos.

Propiedades de privacidad

El protocolo permite distintos grados de privacidad. Las interacciones son siempre anónimas, pero el miembro / verificador puede negociar si el verificador puede vincular transacciones. Esto permitiría la creación de perfiles de usuario y / o el rechazo de solicitudes que se originan en un host que ha realizado demasiadas solicitudes. El miembro y el verificador también pueden optar por revelar información adicional para lograr interacciones no anónimas (al igual que puede optar por decirle a un extraño su nombre completo o no). Por lo tanto, la identidad conocida se puede construir sobre un inicio anónimo. (Compare esto con lo siguiente: si comienza con una identidad conocida, nunca podrá probar que desconoce esa identidad para regresar al anonimato).

Implementaciones y ataques

El primer esquema de atestación anónima directa se debe a Brickell, Camenisch y Chen; ^[2] ese esquema es inseguro y requiere una solución. ^[3] Brickell, Chen y Li mejoran la eficiencia de ese primer esquema utilizando emparejamientos simétricos, en lugar de RSA. ^[4] Y Chen, Morrissey y Smart intentan mejorar aún más la eficiencia cambiando de una configuración simétrica a una asimétrica; ^[5]^[6] desafortunadamente, el esquema asimétrico es inseguro. ^[7] Chen, Page y Smart propusieron un nuevo esquema de criptografía de curva elíptica utilizando curvas de Barreto-Naehrig. ^[8]Este esquema es implementado tanto por EPID 2.0 como por el estándar TPM 2.0, y el estándar TPM 2.0 recomienda que este esquema sea implementado por los TPM en general ^[9] y es necesario para los TPM que se ajustan al perfil de cliente de PC. ^[10] Además, la implementación Intel EPID 2.0 de ISO / IEC 20008 DAA y el SDK de código abierto disponible ^[11] se pueden utilizar para que los miembros y verificadores realicen la certificación. Dado que uno de los métodos de atestación de DAA en TPM 2.0 es idéntico a EPID 2.0, se está trabajando para que la atestación de DAA de ISO / IEC 20008 y TPM 2.0 DAA se lean de forma coherente entre sí en el nivel de especificación. ^{[ cita requerida ]}

Ver también

Referencias

^ Especificación de TPM
^ Brickell; Camenisch; Chen (2004). "Atestación directa anónima" (PDF) . Conferencia de ACM sobre seguridad informática y de comunicaciones : 132–145.
^ Smyth; Ryan; Chen (2015). "Análisis formal de la privacidad en esquemas de atestación directa anónima" (PDF) . Ciencia de la Programación de Computadores . 111 (2): 300–317. doi : 10.1016 / j.scico.2015.04.004 .
^ Brickell; Chen; Li (2009). "Nociones de seguridad simplificadas de atestación directa anónima y un esquema concreto de emparejamientos" (PDF) . Revista Internacional de Seguridad de la Información . 8 (5): 315–330. doi : 10.1007 / s10207-009-0076-3 . S2CID 16688581 .
^ Chen; Morrissey; Inteligente (2008). "Sobre pruebas de seguridad para esquemas DAA". 3er Congreso Internacional de Informática Confiable y de Confianza . 5324 : 156-175.
^ Chen; Morrissey; Inteligente (2008). "Emparejamientos en Trusted Computing". II Congreso Internacional de Criptografía por Emparejamiento . 5209 : 1-17.
^ Chen; Li (2010). "Una nota sobre el esquema DAA Chen-Morrissey-Smart". Cartas de procesamiento de información . 110 (12-13): 485-488. doi : 10.1016 / j.ipl.2010.04.017 .
^ Chen; Página; Inteligente (2010). "Sobre el diseño e implementación de un esquema DAA eficiente" (PDF) . IX Congreso Internacional sobre Investigación de Tarjetas Inteligentes y Aplicaciones Avanzadas . 6035 : 223–237.
^ https://www.trustedcomputinggroup.org/wp-content/uploads/TPM-Rev-2.0-Part-1-Architecture-01.16.pdf
^ https://www.trustedcomputinggroup.org/wp-content/uploads/PC-Client-Specific-Platform-TPM-Profile-for-TPM-2-0-v43-150126.pdf
^ EPID SDK

enlaces externos

E. Brickell, J. Camenisch y L. Chen: atestación anónima directa . En Actas de la 11ª Conferencia de ACM sobre seguridad informática y de comunicaciones, ACM Press, 2004. ( PDF )
E. Brickell, J. Camenisch y L. Chen: atestación anónima directa . ( [1] )
Autenticación y privacidad de usuarios entre dominios por Andreas Pashalidis - sección 6

[1] Especificación de TPM

[2] Brickell; Camenisch; Chen (2004). "Atestación directa anónima" (PDF) . Conferencia de ACM sobre seguridad informática y de comunicaciones : 132–145.

[3] Smyth; Ryan; Chen (2015). "Análisis formal de la privacidad en esquemas de atestación directa anónima" (PDF) . Ciencia de la Programación de Computadores . 111 (2): 300–317. doi : 10.1016 / j.scico.2015.04.004 .

[4] Brickell; Chen; Li (2009). "Nociones de seguridad simplificadas de atestación directa anónima y un esquema concreto de emparejamientos" (PDF) . Revista Internacional de Seguridad de la Información . 8 (5): 315–330. doi : 10.1007 / s10207-009-0076-3 . S2CID 16688581 .

[5] Chen; Morrissey; Inteligente (2008). "Sobre pruebas de seguridad para esquemas DAA". 3er Congreso Internacional de Informática Confiable y de Confianza . 5324 : 156-175.

[6] Chen; Morrissey; Inteligente (2008). "Emparejamientos en Trusted Computing". II Congreso Internacional de Criptografía por Emparejamiento . 5209 : 1-17.

[7] Chen; Li (2010). "Una nota sobre el esquema DAA Chen-Morrissey-Smart". Cartas de procesamiento de información . 110 (12-13): 485-488. doi : 10.1016 / j.ipl.2010.04.017 .

[8] Chen; Página; Inteligente (2010). "Sobre el diseño e implementación de un esquema DAA eficiente" (PDF) . IX Congreso Internacional sobre Investigación de Tarjetas Inteligentes y Aplicaciones Avanzadas . 6035 : 223–237.

[9] ttps://www.trustedcomputinggroup.org/wp-content/uploads/TPM-Rev-2.0-Part-1-Architecture-01.16.pdf

[10] ttps://www.trustedcomputinggroup.org/wp-content/uploads/PC-Client-Specific-Platform-TPM-Profile-for-TPM-2-0-v43-150126.pdf

[11] EPID SDK

[1]