بررسی امنیت طرح امضای انبوه فاقد گواهینامه ارائهشده توسط Baoyuan و همکاران و اثبات آسیبپذیری Key Escrowمقاله علمی کنفرانسی تحلیل امنیت یک طرح امضای انبوه فاقد گواهینامه
مشخصات مقاله
معرفی مقاله
رمزنگاری فاقد گواهینامه (Certificateless Cryptography) با هدف رفع مشکلات مدیریت گواهینامههای دیجیتال و حذف چالش شناختهشده Key Escrow در سیستمهای رمزنگاری مبتنی بر شناسه معرفی شده است. در این ساختار، مرکز تولید کلید تنها بخشی از کلید خصوصی کاربران را تولید میکند و بنابراین نباید قادر به انجام عملیات رمزنگاری و امضای دیجیتال به نمایندگی از کاربران باشد.
در سالهای اخیر، طرحهای متعددی در حوزه امضاهای انبوه فاقد گواهینامه ارائه شدهاند که هدف آنها افزایش کارایی و کاهش سربار محاسباتی در محیطهای عملیاتی است. یکی از این طرحها توسط Baoyuan و همکاران معرفی شد و ادعا گردید که تمامی الزامات امنیتی موردنیاز را تأمین میکند.
در این پژوهش، امنیت این طرح مورد بررسی قرار گرفته و نشان داده میشود که برخلاف ادعای طراحان، طرح مذکور همچنان از مشکل Key Escrow رنج میبرد. نتایج تحلیل امنیتی نشان میدهد که مرکز تولید کلید قادر است بدون دسترسی به کلید خصوصی کامل کاربران، امضاهای معتبر آنها را جعل کند.
چکیده پژوهش
سیستمهای رمزنگاری مبتنی بر شناسه با وجود مزایای فراوان، با مشکل Key Escrow مواجه هستند؛ زیرا مرکز تولید کلید به کلید خصوصی کاربران دسترسی دارد. رمزنگاری فاقد گواهینامه به عنوان راهکاری برای رفع این مشکل معرفی شده است.
در این مقاله، طرح امضای انبوه فاقد گواهینامه ارائهشده توسط Baoyuan و همکاران مورد تحلیل امنیتی قرار گرفته است. نتایج نشان میدهد که این طرح علیرغم ادعای طراحان، همچنان در برابر مشکل Key Escrow آسیبپذیر است.
همچنین اثبات میشود که مرکز تولید کلید میتواند بدون در اختیار داشتن کلید خصوصی کامل کاربران، امضاهای معتبر آنها را تولید کرده و جعل نماید. این موضوع نشاندهنده وجود یک ضعف امنیتی جدی در ساختار طرح پیشنهادی است.
دستاوردهای اصلی پژوهش
تحلیل امنیتی
بررسی دقیق ساختار امنیتی طرح امضای انبوه فاقد گواهینامه.
کشف آسیبپذیری
اثبات وجود مشکل Key Escrow در طرح ارائهشده.
جعل امضا
نشان داده شده است که مرکز تولید کلید میتواند امضای کاربران را جعل کند.
ارزیابی ادعای امنیت
بررسی و رد ادعای تأمین کامل الزامات امنیتی توسط طرح مورد مطالعه.
مسئله مورد بررسی
هدف اصلی رمزنگاری فاقد گواهینامه حذف مشکل Key Escrow است. در این مقاله بررسی میشود که آیا طرح امضای انبوه ارائهشده توسط Baoyuan و همکاران موفق به دستیابی به این هدف شده است یا خیر. نتایج نشان میدهد که مرکز تولید کلید همچنان قادر به جعل امضای کاربران بوده و بنابراین طرح مذکور الزامات امنیتی مورد انتظار را تأمین نمیکند.
نتایج و یافتههای کلیدی
- اثبات وجود آسیبپذیری Key Escrow در طرح Baoyuan و همکاران.
- امکان جعل امضای کاربران توسط مرکز تولید کلید.
- رد ادعای امنیت کامل مطرحشده توسط ارائهدهندگان طرح.
- شناسایی ضعف ساختاری در فرآیند تولید امضای دیجیتال.
- کمک به توسعه و طراحی طرحهای امنتر در حوزه رمزنگاری فاقد گواهینامه.
- ارائه تحلیل امنیتی کاربردی برای پژوهشگران حوزه امضاهای دیجیتال.
این مقاله برای چه کسانی مناسب است؟
- پژوهشگران حوزه رمزنگاری و امنیت اطلاعات
- دانشجویان کارشناسی ارشد و دکتری امنیت سایبری
- متخصصان طراحی پروتکلهای احراز هویت
- علاقهمندان به رمزنگاری فاقد گواهینامه (CLC)
- محققان حوزه امضاهای دیجیتال و امضای انبوه
نحوه استناد به مقاله
پاکنیت، نصرالله؛ عباسی وندا، بهنام. «تحلیل امنیت یک طرح امضا انبوه فاقد گواهینامه». اولین کنفرانس ملی پیشرفتهای اخیر در مهندسی و علوم نوین، ۱۳۹۷.
مطالعه کامل مقاله
این مقاله با تحلیل یکی از مهمترین چالشهای رمزنگاری فاقد گواهینامه، دیدگاه ارزشمندی درباره امنیت امضاهای انبوه و آسیبپذیری Key Escrow ارائه میدهد و میتواند برای پژوهشگران و متخصصان امنیت اطلاعات مفید باشد.
