Visão Geral da Tecnologia
Criptografia da Informação para Email, Arquivos, Documentos e Bases de Dados
As soluções da Voltage são baseadas em 2 inovações tecnológicas na área da criptografia - Identity-Based Encryption (IBE) e Format-Preserving Encryption (FPE). Estas inovações possibilitam novas maneiras de se comunicar com segurança, novas maneiras de proteger dados sensíveis de clientes e de empregados para prevenir o roubo da identidade e permitir muitas maneiras diferentes de criptografar a informação.
Identity-Based Encryption (IBE)
Em 1984, Adi Shamir, um dos inventores do bem conhecido sistema de chaves públicas RSA, propos que o uso da identidade como uma chave pública diretamente, ao invés de usar certificados, seria a melhor abordagem para simplificar a criptografia de chave pública. Pelas 2 décadas seguintes diversas tentativas foram feitas para oferecer um algoritmo de criptografia baseada em identidade mas nenhuma solução prática foi obtida.
Em 2000, os doutores Dan Boneh e Matt Franklin obtiveram uma ruptura matemática e inventaram o primeiro sistema Identity-Based Encryption (IBE) prático. Em português Criptografia Baseada em Identidade, o esquema usa mapeamentos bilineares, conhecidos como pares de Weil e Tate, em curvas elípticas para obter um algoritmo que possa ser usado para transformar uma identidade simples e bem reconhecida em um par de chaves pública/privada. A partir desta matemática poderosa advém um mecanismo elegante para proteger emails, arquivos, documentos e bases de dados – online e offline, sem a necessidade de registrar previamente os destinatários.
Format-Preserving Encryption (FPE)
O advento do marco regulatório PCI Data Security Standard (PCI DSS) direcionou muitas organizações a buscar métodos para criptografar números de cartões de crédito e outros tipos de dados estruturados em bases de dados internas. Enquanto isto possa parecer uma aplicação óbvia dos algoritmos de criptografia, os dados criptografados tipicamente possuem um formato diferente do formato original, e que necessita de mudanças nos esquemas de bases de dados e retrabalho das aplicações de negócio de modo que eles estejam a par do novo formato de dados criptografados. A Format-Preserving Encryption (FPE), ou criptografia que preseva o formato, é uma abordagem inovadora para criptografar dados estruturados - como números de cartões de crédito - sem mudar o formato, enquanto mantém o alto nível de segurança associado a cifradores de bloco padronizados como o AES.
Patentes da Voltage Security
A Voltage Security continua a inovar e patentes relacionadas a IBE e outras inovações da Voltage foram publicadas. Ela está trabalhando com entidades de padronização tais como IETF e IEEE para tornar estas tecnologias disponíveis para uma ampla gama de aplicações e fornecedores através de licenciamento não discriminatório.
IBE - Breve Introdução
Voltage Identity-Based Encryption
Criptografia da Informação para Email, Arquivos, Documentos e Bases de Dados
Fundamentalmente, a razão para usar criptografia é proteger os dados de modo que somente uma determinada pessoa (por exemplo,
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.
) ou uma máquina (por exemplo, www.voltage.com) possa acessá-la. Contudo, até agora, as técnicas de criptografias se basearam em chaves longas, geradas aleatoriamente, que devem ser mapeadas a identidades usando certificados. A gerência destes certificados e a necessidade de buscar um certificado para uma pessoa ou máquina antes de criptografar, tornou a criptografia muito difícil.
A Identity-Based Encryption (IBE) usa uma abordagem completamente nova para o problema da criptografia. A IBE pode usar qualquer cadeia de caracteres como chave pública, permitindo que os dados sejam protegidos sem a necessidade de certificados. A proteção é fornecida por um servidor de chaves que controla o mapeamento de identidades às chaves de descrição.
O projeto de um sistema Identity-Based Encryption era um problema aberto há muito tempo em criptografia. A Voltage agora oferece uma plataforma baseada no primeiro sistema prático e seguro do sistema IBE, o algoritmo Boneh-Franklin IBE.
Em 2008 o NIST sediou um workshop para discutir os benefícios e o futuro da criptografia baseada em identidade. Clique aqui para verificar os resultados.
O IETF publicou as 3 seguintes RFC’s:
- RFC 5091, “Identity-Based Cryptography Standard (IBCS) #1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems”, describes the mathematics underlying the Voltage Identity-Based Encryption™ (IBE) approach and how to implement Voltage's IBE cryptography.
- RFC 5408, "Identity-Based Encryption Architecture and Supporting Data Structures," defines the components of a system that implements IBE and defines the protocols that the components use to operate securely.
- RFC 5409, "Using the Boneh-Franklin and Boneh-Boyen Identity-Based Encryption Algorithms with the Cryptographic Message Syntax (CMS)," describes how to use Voltage's IBE within the existing standards for email encryption.
As Vantagens da IBE
Vantagens da Identity-Based Encryption
O poder da IBE reside em sua simplicidade. Ao usar identificadores bem conhecidos tais como endereços de email, como chaves públicas, a IBE permite que políticas de segurança sejam codificadas diretamente nos métodos de criptografia e autenticação, eliminando a necessidade de enfadonhos certificados e Autoridades Certificadoras. Veja a diferença você mesmo:
Abaixo temos uma chave pública RSA. Um certificado é exigido para ligar esta chave a uma identidade (por exemplo, para confirmar que esta chave pertence a
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.
).
Expoente público:
0x10001
Módulo:
13506641086599522334960321627880596993888147560566702752448514
38515265106048595338339402871505719094417982072821644715513736
80419703964191743046496589274256239341020864383202110372958725
76235850964311056407350150818751067659462920556368552947521350
0852879416377328533906109750544334999811150056977236890927563
Por outro lado, esta é uma chave pública IBE. Nenhum certificado é exigido porque a chave é a identidade.
Nome =
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.
Ao eliminar a necessidade de certificados, a IBE remove as dificuldades de PKI: busca por certificado, gerência do ciclo de vida, Certificate Revocation Lists (CRL's), e problemas de certificação cruzada. A simplicidade da IBE permite que ela seja usada em situações aonde PKI não poderia; a IBE pode ser usada para construir sistemas de segurança que são mais dinâmicos, leves e escaláveis.
Como a Identity-Based Encryption da Voltage Security Funciona
Criptografia da Informação para Email, Arquivos, Documentos e Bases de Dados
A Criptografia Baseada em Identidade (IBE) simplifica dramaticamente o processo de proteger comunicações sensíveis. Por exemplo, o diagrama a seguir ilustra como Alice enviaria um email seguro para o Bob usando IBE:
Passo 1: Alice criptografa o email usando o endereço de Bob, "
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.
", como chave pública.
Passo 2: Quando Bob recebe a mensagem, ele contacta o servidor de chaves. O servidor de chaves contacta um diretório ou outra fonte de autenticação externa para autenticar a identidade de Bob e estabelecer quaisquer outros elementos de política.
Passo 3: Depois de autenticar Bob, o servidor de chaves então retorna sua chave privada, com a qual Bob pode decifrar a mensagem. Esta chave privada pode ser usada para decifrar todas as mensagens futuras recebidas por Bob.
Note que as chaves privadas precisam ser geradas somente uma vez, na recepção inicial de uma mensagem criptografada. Todas as comunicações subsequentes correspondentes à mesma chave pública podem ser decifradas usando a mesma chave privada, mesmo que o usuário esteja offline. Além disto, porque a chave pública é gerada usando somente o endereço de email do Bob, Bob não precisa ter baixado previamente nenhum software antes que a Alice possa enviar a ele uma mensagem segura.
A Matemática Envolvida na IBE
A base matemática da IBE é um tipo especial de função chamada "mapeamento bilinear". Um mapeamento bilinear é um par que possui a seguinte propriedade:
Par( a • X, b • Y ) = Par( b • X, a • Y )
O operador “•” é a multiplicação de um ponto numa curva elíptica por números inteiros. Enquanto a multiplicação em si (por exemplo, calcular a•X) é fácil, a operação inversa (calcular a dados X e a•X) é praticamente impossível. Dois exemplos de mapeamentos bilineares são o Weil Pairing e o Tate Pairing.
O algoritmo IBE consiste de quatro operações:
- Configurar, que inicializa um servidor de chaves
- Criptografar, que criptografa uma mensagem para um dado usuário
- Gerar Chave, que gera uma chave privada para um dado usuário
- Decifrar, que dada uma chave privada, decifra uma mensagem
FPE - Preservando o formato
Voltage Format-Preserving Encryption (FPE)
Preservando Funções Críticas do Negócio pela Manutenção do Formato de Dados
A Format-Preserving Encryption (FPE) é fundamentalmente uma nova abordagem para criptografar dados estruturados, tais como números de cartões de crédito, que torna possível integrar criptografia a nível de dados em estruturas de aplicações legadas de negócios que antes eram muito difíceis ou impossíveis de endereçar. Ela usa um método publicado de criptografia com um algoritmo de criptografia existente e aprovado para criptografar os dados de modo que os dados mantêm seus formatos. O resultado é um esquema de criptografia forte que permite a criptografia com modificações mínimas ao modo como as aplicações existentes funcionam. A FPE é um modo do padrão AES, reconhecido pelo NIST.
Algoritmos tradicionais transformam elementos de dados estruturados pequenos, como por exemplo os 16 algarismos de um cartão de crédito, em campos binários bem maiores. Como resultado, implementar estes algoritmos tipicamente requerem enorme esforço de reengenharia de bases de dados e de aplicações a fim de acomodar os tamanhos e os formatos dos dados modificados.
Onde as tecnologias antigas de criptografia alteram radicalmente a estrutura dos dados, a Format Preserving Encryption (FPE) da Voltage mantém a integridade do formato dos dados, minimizando significativamente as mudanças em aplicações existentes.
Com a FPE, dados criptografados manterão o seu formato original, símbolo a símbolo, de modo que os dados criptografados “caibam” nos campos existents, eliminando a necessidade de mudanças nos esquemas das bases de dados.
Por exemplo, um número de 16 dígitos de um cartão de crédito pode ser criptografado, com o resultado tendo de forma garantida os mesmos 16 dígitos; até mesmo a soma de verificação dos dígitos do cartão de crédito pode ser mantida. A FPE também preserva a integridade da referência, que permite a criptografia de chaves indexadas e externas, e garante consistência através dos armazenamentos de dados.
A FPE pode também ser usada para mascaramento e retirada de identificação dos dados. Ao preservar os formatos, tamanhos e integridade referencial dos dados, a FPE oferece um método eficiente para “higienizar” os dados sem a necessidade de mascaramento massivo ou tabelas de busca. Adicionalmente, porque ela é um algoritmo de ida e volta, a FPE permite mascaramento de dados reversível e não reversível.
Propriedades e benefícios da FPE:
- Suporta dados de qualquer formato, incluindo numéricos e alfanuméricos
- Elimina mudanças nos esquemas das bases de dados ou aplicações —dados “casam” com os campos existentes
- Garante integridade de referência
- Permite criptografia de chaves primárias e externas
- Fornece mascaramento de dados reversível e não reversível
