Deljenje skrivnosti: kriptografske metode za varno razdeljevanje ključev
Izraz deljenje skrivnosti se uporablja za načine deljenja skrivnosti med več ljudi. Vsaka oseba pozna del skrivnosti, ki se deli, vendar mora več ljudi sodelovati, da bi obnovili skrivnost. Znanje ene same osebe ni dovolj za obnovitev skrivnosti. Adi Shamir in George Blakley sta metodo razvila neodvisno drug od drugega leta 1979.
Primer uporabe delitve skrivnosti je kriptosistem RSA. Ta uporablja tajni ključ. Če se ta ključ razdeli med več ljudi, podpisa ne more sestaviti nobena posamezna oseba. Tudi če se del ene osebe razkrije ali izgubi, lahko več oseb še vedno sestavi podpis. To se pogosto uporablja na področjih, kjer je varnost zelo pomembna, na primer v bankah ali vojski.
Delilec vsakemu igralcu izroči njegov del skrivnosti. Pri lažji postavitvi se lahko deli igralcev združijo v skrivnost, vendar je z vsakim delom povezana dodatna informacija. Recimo, da skrivnost potrebuje pet delov, trije deli pa so znani. V tej postavitvi bo ugibanje dveh manjkajočih delov lažje kot ugibanje skrivnosti, ko ni znan noben del. Za drugo postavitev pravimo, da je varna z vidika teorije informacij, saj poznavanje dela potrebnega števila delov igralca ne bo spremenilo težavnosti ugibanja skrivnosti.
Obstajajo različne metode tehnik varne delitve skrivnosti.
Osnovni pojmi in (t,n)-pragovne sheme
Najpogostejši model deljenja skrivnosti je (t,n)-pragovna shema. To pomeni, da je skrivnost razdeljena na n delov (share-ev) in da je za obnovitev skrivnosti potrebno vsaj t delov. Če je manj kot t delov znanih, posameznim imetnikom delov znanje ne pomaga — shema je idealno zavarovana, če delni podatki ne razkrivajo ničesar o sami skrivnosti.
Shamirova shema (polinomska metoda)
Adi Shamirova shema temelji na lastnostih polinomov nad končnimi polji. Preprosto pojasnjeno:
- Izbira se polje velikosti vsaj toliko, da vanj sodijo vrednosti skrivnosti (običajno cela števila modulo velikih prvim številom).
- Izbere se naključni polinom stopnje t−1, pri čemer je konstanta (polinom pri x=0) enaka skrivnosti.
- Vsakemu udeležencu se izroči vrednost polinoma v različnem x (to so deleži).
- Če se zbere vsaj t deležev, se polinom rekonstruira z Lagrangeovo interpolacijo in tako se izračuna konstanta — skrivnost.
Prednost Shamirjeve metode je, da je shema idejno varna (information-theoretically secure) — znanje manj kot t deležev ne pove nič o skrivnosti. Deleži so tudi sorazmerno majhni (enaki velikosti skrivnosti).
Blakleyjeva metoda (geometrijska)
George Blakley je predlagal geometrijski pristop: skrivnost predstavlja točka v večdimenzionalnem prostoru, vsak delež pa je hiperravnina, ki točko vsebuje. Ko se zbere dovolj hiperravnin, se njihov prerez določi in točka (skrivnost) se obnovi. Metoda je konceptualno drugačna, vendar ponavadi ni tako učinkovita glede velikosti deležev kot Shamirjeva shema.
Različice in napredne sheme
- Verifikacijsko deljenje skrivnosti (VSS): omogoči udeležencem, da preverijo, ali so deleži skladni in ali jih dealer ni zmotil ali zavajal. Pomembno pri neizkušenih ali zlonamernih igralcih.
- Proaktivno deljenje skrivnosti: deleže periodično osvežimo brez spreminjanja skrivnosti, da preprečimo postopno zbiranje deležev z napadi skozi čas.
- Distribuirana generacija ključev (DKG): skrivnost (npr. tajni ključ) se ustvari kolektivno brez zaupanja v enega samega dealerja, kar zmanjša tveganje kompromisa ob pooblastitvi enega akterja.
- Ramp sheme: posredujejo kompromis med velikostjo deležev in ravnijo razkritja — nekatera števila delov lahko razkrijejo delne informacije, a ne popolne skrivnosti.
- Linearne in splošne dostopne strukture: omogočajo bolj zapletene politike (npr. določene kombinacije skupin lahko obnovijo skrivnost, druge ne), ne le enostavnih (t,n) pragov.
Primer: (3,5) shema in informacijska varnost
V prvotnem besedilu je omenjen primer, kjer skrivnost zahteva pet delov, trije deli pa so znani. To ustreza (3,5) shemi: potrebni so vsaj trije deleži za obnovitev skrivnosti. Če shema zagotavlja informacijsko popolno varnost, znanje treh delov ne naredi ugibanja preostalih dveh lažjega iz vidika teorije informacij — posamezni del ali kombinacije manjšega števila delov same skrivnosti ne razkrivajo.
Praktične uporabe
- Razdeljevanje ključev za digitalne podpise in certifikate (npr. root CA ključi).
- Varovanje dostopa do računa ali denarnice pri kriptovalutah — threshold podpisi (npr. threshold ECDSA) omogočajo sodelovanje več podpisnikov brez sestavljanja celotnega zasebnega ključa.
- Banke in finančne institucije za večosebni nadzor nad transakcijami.
- Varno upravljanje HSM-jev (hardware security modules) in varnostne kopije ključev, kjer ni zaželen enoten točka odpovedi.
- Razdeljena odgovornost v organih, upravah ali vojaških sistemih za preprečevanje samostojnega zlorabljanja privilegijev.
Varnostne in upravljalne prakse
Pri uvajanju deljenja skrivnosti je treba upoštevati več vidikov:
- Zaupanja vreden ali distrubutiven dealer: če shema uporablja enega dealerja, ta predstavlja tveganje; DKG zmanjša to tveganje.
- Overjanje in avtentičnost deležev: uporaba digitalnih podpisov, MAC-ov ali VSS mehanizmov prepreči zamenjave ali ponarejanje deležev.
- Varno prenašanje in shranjevanje deležev: deleže je treba prenašati po varnih kanalih in jih zaščititi (štifriranje, HSM, fizična varnost).
- Obnova in izguba deležev: načrti za obnovitev, rezervne kopije in politike za odstranjevanje/izbris izgubljenih deležev so ključni.
- Periodično osveževanje: proaktivne sheme zmanjšajo vpliv kompromitacije deležev skozi čas.
Omejitve in napotki
Deljenje skrivnosti zmanjša tveganje enotne točke odpovedi, vendar ni čarobna rešitev. Slabosti vključujejo upravno kompleksnost, potrebo po zaupanju v komunikacijo med udeleženci in dodatne vire za varno shranjevanje deležev. Pri praktični uporabi se pogosto kombinira več tehnik: pragovne sheme z VSS, DKG za ustvarjanje ključev in HSM-ji za fizično zaščito deležev.
Zaključek
Deljenje skrivnosti je močno orodje v kriptografiji in informacijskem varstvu. Shamirova in Blakleyjeva metoda sta temeljni pristopi, medtem ko sodobne implementacije pogosto vključujejo dodatne mehanizme za preverjanje, proaktivnost in porazdeljeno generacijo ključev. Pravilno načrtovanje, varno upravljanje deležev in izbira primerne sheme glede na potrebe organizacije so ključni za učinkovito in varno rabo teh tehnik.
Shamirjeva metoda
Pri tej metodi lahko za obnovitev skrivnosti uporabimo katerikoli t od n delnic. Ideja je, da je polinom stopnje t-1 definiran s t točkami na polinomu: Za opredelitev premice sta potrebni dve točki, za opredelitev kvadratne krivulje tri, za kubično krivuljo štiri in tako naprej. Za določitev polinoma stopnje t-1 je potrebnih t točk. Na ta način je mogoče sestaviti polinom, katerega prvi koeficient je skrivnost; naključno izbranih koeficientov je n. Vsak igralec prejme enega od n koeficientov. Če je vsaj t igralcev, lahko obnovijo prvotno krivuljo in dobijo skrivnost.
Vprašanja in odgovori
V: Kaj je delitev skrivnosti?
O: Delitev skrivnosti je način delitve skrivnosti med več ljudi. Vsaka oseba pozna del skrivnosti, ki se deli, vendar mora več ljudi sodelovati, da bi obnovili skrivnost.
V: Kdo je razvil metodo delitve skrivnosti?
O: Adi Shamir in George Blakley sta leta 1979 neodvisno drug od drugega razvila metodo delitve skrivnosti.
V: V katerem primeru je navedena uporaba delitve skrivnosti?
O: Kriptosistem RSA je naveden kot primer, kjer se uporablja delitev skrivnosti. Uporablja tajni ključ, ki se razdeli med več ljudi, tako da nobena oseba ne more podpisati.
V: Zakaj je delitev skrivnosti pomembna na področjih, kot so banke ali vojska?
O: Delitev skrivnosti je pomembna na področjih, kot so banke ali vojska, ker zagotavlja dodatno raven varnosti. Tudi če se del skrivnosti ene osebe razkrije ali izgubi, lahko več drugih oseb obnovi skrivnost.
V: Kako je delitev skrivnosti vzpostavljena v lažjih okoljih?
O: Pri lažji postavitvi je mogoče dele igralcev združiti v skrivnost, vendar je z vsakim delom povezana dodatna informacija.
V: Kakšna je razlika med lažjo postavitvijo delitve skrivnosti in drugimi postavitvami?
O: Lažja postavitev delitve skrivnosti je z vidika teorije informacij manj varna, saj bo ugibanje dveh manjkajočih delov lažje kot ugibanje skrivnosti, če ne poznamo nobenih delov. Druga postavitev je varna z vidika informacijske teorije.
V: Ali obstajajo različne metode tehnik varne delitve skrivnosti?
O: Da, obstajajo različne metode tehnik varne delitve skrivnosti.