La marca de tiempo vinculada es un tipo de marca de tiempo confiable en la que las marcas de tiempo emitidas están relacionadas entre sí.
Descripción
La marca de tiempo vinculada crea tokens de marca de tiempo que dependen unos de otros, enredados en alguna estructura de datos autenticados . La modificación posterior de las marcas de tiempo emitidas invalidaría esta estructura. El orden temporal de las marcas de tiempo emitidas también está protegido por esta estructura de datos, lo que hace imposible la retroacción de las marcas de tiempo emitidas, incluso por el propio servidor emisor.
La parte superior de la estructura de datos autenticados generalmente se publica en algunos medios difíciles de modificar y ampliamente vistos, como periódicos impresos o cadenas de bloques públicas . No hay claves privadas (a largo plazo) en uso, lo que evita los riesgos relacionados con la PKI .
Los candidatos adecuados para la estructura de datos autenticados incluyen:
- Cadena de hash lineal
- Árbol Merkle (árbol hash binario)
- Lista de omisión
El esquema de sellado de tiempo basado en cadena hash lineal más simple se ilustra en el siguiente diagrama:
La autoridad de sellado de tiempo basada en enlaces (TSA) generalmente realiza las siguientes funciones distintas:
- Agregación
- Para una mayor escalabilidad, la TSA podría agrupar las solicitudes de sellado de tiempo que llegan en un período corto de tiempo. Estas solicitudes se agregan juntas sin conservar su orden temporal y luego se les asigna el mismo valor de tiempo. La agregación crea una conexión criptográfica entre todas las solicitudes involucradas; el valor agregado de autenticación se utilizará como entrada para la operación de vinculación .
- Enlace
- La vinculación crea un vínculo criptográfico ordenado y verificable entre los tokens de marca de tiempo actuales y los ya emitidos.
- Publicación
- La TSA publica periódicamente algunos enlaces, por lo que todos los tokens de sello de tiempo emitidos anteriormente dependen del enlace publicado y que es prácticamente imposible falsificar los valores publicados. Mediante la publicación de enlaces ampliamente vistos, la TSA crea puntos de verificación imposibles de falsificar para validar todas las marcas de tiempo emitidas anteriormente.
Seguridad
La marca de tiempo vinculada es intrínsecamente más segura que la marca de tiempo habitual basada en firmas de clave pública. Todos los sellos de tiempo consecuentes "sellan" los emitidos anteriormente: la cadena de hash (u otro diccionario autenticado en uso) solo se puede construir de una manera; modificar las marcas de tiempo emitidas es casi tan difícil como encontrar una preimagen para la función hash criptográfica utilizada . Los usuarios pueden observar la continuidad de la operación; las publicaciones periódicas en los medios de comunicación con amplia presencia brindan mayor transparencia.
La manipulación de los valores de tiempo absolutos podría ser detectada por los usuarios, cuyas marcas de tiempo son relativamente comparables por el diseño del sistema.
La ausencia de claves secretas aumenta la confiabilidad del sistema. No hay claves para las fugas y los algoritmos hash se consideran más preparados para el futuro [1] que los algoritmos modulares basados en aritmética, por ejemplo, RSA .
La marca de tiempo vinculada se escala bien: el hash es mucho más rápido que la criptografía de clave pública. No es necesario un hardware criptográfico específico con sus limitaciones.
La tecnología común [2] para garantizar el valor de atestación a largo plazo de los sellos de tiempo emitidos (y los datos firmados digitalmente [3] ) es el sello de tiempo extra periódico de la ficha de sello de tiempo. Debido a la falta de riesgos relacionados con la clave y al margen de seguridad plausible de la función hash razonablemente elegida, este período de sellado en el tiempo del token vinculado al hash podría ser un orden de magnitud más largo que el del token firmado con clave pública.
Investigar
Cimientos
Haber y Stornetta propusieron [4] en 1990 vincular las marcas de tiempo emitidas en una cadena de hash lineal, utilizando una función de hash resistente a colisiones. El principal motivo era reducir los requisitos de confianza de la TSA .
Benaloh y de Mare propusieron en 1991 [5] planes similares a árboles y que operan en rondas y en 1992 Bayer, Haber y Stornetta [6].
Benaloh y de Mare construyeron un acumulador unidireccional [7] en 1994 y propusieron su uso en el sellado de tiempo. Cuando se utiliza para la agregación, el acumulador unidireccional requiere solo un cálculo de tiempo constante para la verificación de membresía de ronda.
Surety [8] inició el primer servicio comercial de sellado de tiempo vinculado en enero de 1995. El esquema de vinculación se describe y su seguridad se analiza en el siguiente artículo [9] de Haber y Sornetta.
Buldas y col. continuó con una mayor optimización [10] y análisis formal de esquemas basados en árbol binario y árbol de subprocesos [11] .
El sistema de sellado de tiempo basado en listas de omisión se implementó en 2005; los algoritmos relacionados son bastante eficientes. [12]
Seguridad demostrable
Buldas, Saarepera [13] presentó en 2004 una prueba de seguridad para los esquemas de sellado de tiempo basados en funciones hash . Hay un límite superior explícitopor el número de sellos de tiempo emitidos durante el período de agregación; Se sugiere que probablemente sea imposible probar la seguridad sin este límite explícito; las llamadas reducciones de caja negra fallarán en esta tarea. Teniendo en cuenta que todas las pruebas de seguridad eficientes y prácticamente relevantes son de caja negra, este resultado negativo es bastante fuerte.
A continuación, en 2005 se demostró [14] que los esquemas de sellado de tiempo acotado con una parte auditora de confianza (que revisa periódicamente la lista de todos los sellos de tiempo emitidos durante un período de agregación) se pueden hacer universalmente componibles : permanecen seguros en entornos arbitrarios. (composiciones con otros protocolos y otras instancias del propio protocolo de sellado de tiempo).
Buldas, Laur demostró [15] en 2007 que los esquemas de sellado de tiempo limitado son seguros en un sentido muy fuerte: satisfacen la llamada condición de "vinculación del conocimiento". La garantía de seguridad ofrecida por Buldas, Saarepera en 2004 se mejora disminuyendo el coeficiente de pérdida de seguridad de a .
Las funciones hash utilizadas en los esquemas de sellado de tiempo seguro no tienen que ser necesariamente resistentes a colisiones [16] o incluso unidireccionales; [17] Los esquemas de sellado de tiempo seguro son probablemente posibles incluso en presencia de un algoritmo universal de detección de colisiones (es decir, un programa universal y de ataque que es capaz de encontrar colisiones para cualquier función hash). Esto sugiere que es posible encontrar pruebas aún más sólidas basadas en algunas otras propiedades de las funciones hash.
En la ilustración anterior, el sistema de sellado de tiempo basado en árbol hash funciona en rondas (, , , ...), con un árbol de agregación por ronda. Capacidad del sistema () está determinada por el tamaño del árbol (, dónde denota la profundidad del árbol binario). Las pruebas de seguridad actuales funcionan asumiendo que existe un límite estricto del tamaño del árbol de agregación, posiblemente impuesto por la restricción de longitud del subárbol.
Estándares
ISO 18014 parte 3 cubre 'Mecanismos que producen tokens vinculados'.
American National Standard for Financial Services, "Trusted Timestamp Management and Security" ( Norma ANSI ASC X9.95 ) de junio de 2005 cubre los esquemas de sellado de tiempo híbridos y basados en enlaces.
No existe un IETF RFC o un borrador estándar sobre el sellado de tiempo basado en enlaces. RFC 4998 (Evidence Record Syntax) abarca el árbol hash y la marca de tiempo como garantía de integridad para el archivo a largo plazo.
Referencias
- ^ Buchmann, J .; Dahmen, E .; Szydlo, M. (2009). "Esquemas de firma digital basados en hash". Criptografía post-cuántica . pag. 35. doi : 10.1007 / 978-3-540-88702-7_3 . ISBN 978-3-540-88701-0.
- ^ Ver ISO / IEC 18014-1: 2002 Capítulo 4.2
- ^ Por ejemplo, consulte XAdES-A .
- ^ Haber, S .; Stornetta, WS (1991). "Cómo sellar la hora en un documento digital" . Revista de criptología . 3 (2): 99-111. CiteSeerX 10.1.1.46.8740 . doi : 10.1007 / BF00196791 . S2CID 14363020 .
- ^ Benaloh, Josh; de Mare, Michael (1991). "Sellado de tiempo de emisión eficiente". Informe técnico 1. Departamento de Matemáticas e Informática de la Universidad de Clarkson. CiteSeerX 10.1.1.38.9199 . Cite journal requiere
|journal=
( ayuda ) - ^ Bayer, Dave; Stuart A., Haber; Wakefield Scott, Stornetta (1992). "Mejora de la eficiencia y confiabilidad del sellado de tiempo digital". Secuencias II: Métodos en Comunicación, Seguridad e Informática . Springer-Verlag: 329–334. CiteSeerX 10.1.1.46.5923 .
- ^ Benaloh, J .; Mare, M. (1994). "Acumuladores unidireccionales: una alternativa descentralizada a las firmas digitales" . Avances en Criptología - EUROCRYPT '93 . Apuntes de conferencias en Ciencias de la Computación. 765 . pag. 274. doi : 10.1007 / 3-540-48285-7_24 . ISBN 978-3-540-57600-6.
- ^ "Surety, LLC | Proteger la integridad de los registros electrónicos" .
- ^ Haber, S .; Stornetta, WS (1997). "Nombres seguros para cadenas de bits" . Actas de la 4ª conferencia de la ACM sobre seguridad informática y de las comunicaciones - CCS '97 . págs. 28 . CiteSeerX 10.1.1.46.7776 . doi : 10.1145 / 266420.266430 . ISBN 978-0897919128. S2CID 14108602 .
- ^ Buldas, A .; Laud, P .; Lipmaa, H .; Villemson, J. (1998). Sellado de tiempo con esquemas de enlace binario . LNCS . Apuntes de conferencias en Ciencias de la Computación. 1462 . pag. 486. CiteSeerX 10.1.1.35.9724 . doi : 10.1007 / BFb0055749 . ISBN 978-3-540-64892-5.
- ^ Buldas, Ahto; Lipmaa, Helger; Schoenmakers, Berry (2000). Sellado de tiempo responsable y eficaz de forma óptima . LNCS . Apuntes de conferencias en Ciencias de la Computación. 1751 . págs. 293-305. CiteSeerX 10.1.1.40.9332 . doi : 10.1007 / b75033 . ISBN 978-3-540-66967-8. S2CID 573442 .
- ^ Blibech, K .; Gabillon, A. (2006). "Un nuevo esquema de sellado de tiempo basado en listas de omisión". La ciencia computacional y sus aplicaciones - ICCSA 2006 . Notas de conferencias en Ciencias de la Computación f. 3982 . pag. 395. doi : 10.1007 / 11751595_43 . ISBN 978-3-540-34075-1.
- ^ Buldas, Ahto; Saarepera, Märt (2004). Sobre esquemas de sellado de tiempo demostrablemente seguros . LNCS . Apuntes de conferencias en Ciencias de la Computación. 3329 . págs. 500–514. CiteSeerX 10.1.1.65.8638 . doi : 10.1007 / b104116 . ISBN 978-3-540-23975-8. S2CID 1230568 .
- ^ Buldas, A .; Laud, P .; Saarepera, MR; Willemson, J. (2005). "Esquemas de sellado de tiempo universalmente compostables con auditoría". LNCS . Apuntes de conferencias en Ciencias de la Computación. 3650 : 359–373. CiteSeerX 10.1.1.59.2070 . doi : 10.1007 / 11556992_26 . ISBN 978-3-540-31930-6.
- ^ Buldas, A .; Laur, S. (2007). Compromisos vinculantes al conocimiento con aplicaciones en sellado de tiempo . LNCS . Apuntes de conferencias en Ciencias de la Computación. 4450 . págs. 150-165. CiteSeerX 10.1.1.102.2680 . doi : 10.1007 / 978-3-540-71677-8_11 . ISBN 978-3-540-71676-1.
- ^ Buldas, A .; Jürgenson, A. (2007). ¿El sellado de tiempo seguro implica funciones hash sin colisiones? . LNCS . Apuntes de conferencias en Ciencias de la Computación. 4784 . págs. 138-150. CiteSeerX 10.1.1.110.4564 . doi : 10.1007 / 978-3-540-75670-5_9 . ISBN 978-3-540-75669-9.
- ^ Buldas, A .; Laur, S. (2006). ¿Las funciones hash rotas afectan la seguridad de los esquemas de sellado de tiempo? (PDF) . LNCS . Apuntes de conferencias en Ciencias de la Computación. 3989 . págs. 50–65. CiteSeerX 10.1.1.690.7011 . doi : 10.1007 / 11767480_4 . ISBN 978-3-540-34703-3.
enlaces externos
- "Serie de miniconferencias sobre funciones hash criptográficas" ; incluye aplicación en sellado de tiempo y seguridad demostrable; por A. Buldas, 2011.