Solicitud de comentarios públicos sobre firmas basadas en hash basadas en estados (HBS)

Resumen

NIST está solicitando comentarios públicos sobre la aprobación prevista de LMS y XMSS como esquemas de firma basada en hash (HBS) de estado. Las preguntas para consideración e instrucciones para proporcionar comentarios antes del 1 de abril de 2019 se incluyen al final de este aviso.

Detalles

En diciembre de 2016, el NIST emitió una Convocatoria de propuestas solicitando sistemas criptográficos de clave pública que son capaces de proteger información confidencial, incluso después de la llegada de las computadoras cuánticas. Las preguntas frecuentes correspondientes indicaron que el NIST planea tener un proceso de estandarización separado para firmas basadas en hash con estado, que se coordinaría con otras organizaciones de estándares, como el Grupo de trabajo de ingeniería de Internet (IETF) .

El IETF ha estado desarrollando especificaciones para dos esquemas de firma digital basados ​​en hash, XMSS y LMS. XMSS se publicó como Solicitud de comentarios (RFC) 8931 en mayo de 2018. LMS aún está en borrador, pero está casi completo. El 21 de junio de 2018, el NIST solicitó comentarios del público sobre sus planes para estandarizar las firmas basadas en hash con estado, preguntando si el NIST debería avanzar con XMSS ahora o esperar a que finalice el LMS. El consenso general fue que ambos deberían ser estandarizados.

Los esquemas de firmas basados ​​en hash de estado, como XMSS y LMS, son propensos a ser mal utilizados. En estos esquemas, el firmante tiene un conjunto de pares de claves para un esquema de firma de una sola vez. Si cualquier clave privada dada se usa para generar firmas en dos o más «mensajes» distintos (es decir, los datos que se firmarán), entonces sería sencillo para un atacante con acceso a las firmas generar falsificaciones (firmas adicionales «válidas» ) en otros mensajes.

Si bien el nivel de seguridad preciso depende de los parámetros del esquema de firma única, la seguridad de las firmas basadas en hash con estado debe considerarse comprometida en el caso de reutilización de claves. Con los valores típicos de los parámetros, la seguridad se reduciría a un nivel que es órdenes de magnitud más débil que el del DES de una sola clave, que se rompió públicamente a fines de los años noventa. En algunos casos, las falsificaciones de firmas podrían generarse mediante unos pocos minutos de cómputos en una computadora portátil de nivel de consumidor; vea [Bruinderink y Hülsing ] para un análisis detallado. En consecuencia, las implementaciones de XMSS o LMS deben mantenerse en el estado para realizar un seguimiento de las claves privadas únicas que se han utilizado para generar firmas, a fin de evitar su reutilización.

Estas consideraciones motivaron la siguiente declaración en las Preguntas frecuentes y el anuncio de junio: 

Se espera que NIST solo apruebe un estándar de firma basado en hash de estado para su uso en un rango limitado de aplicaciones de firma, como la firma de código, donde la mayoría de las implementaciones podrán tratar de manera segura el requisito de mantener el estado.

En la práctica, sin embargo, es difícil para NIST limitar las aplicaciones para técnicas criptográficas, incluso para implementaciones que están certificadas bajo los auspicios del Programa de Validación de Módulos Criptográficos (CMVP). Por ejemplo, cuando se valida una biblioteca de software de técnicas criptográficas bajo el programa, su proveedor no necesariamente tendrá ninguna información sobre las aplicaciones de firmas para las cuales los clientes del proveedor pueden optar por implementar las técnicas.

Además, el CMVP y el Programa de Validación de Algoritmo Criptográfico (CAVP) están diseñados para proporcionar la seguridad de que los módulos individuales implementan correctamente las técnicas criptográficas. La experiencia ha demostrado que puede ser muy difícil hacer cumplir los requisitos en el sistema más grande en el que se implementan los módulos.

La División de Seguridad Informática de NIST desea recibir sus comentarios.

NIST actualmente tiene la intención de aprobar tanto LMS como XMSS. Debido a que las firmas basadas en hash con estado son propensas al mal uso, NIST busca información sobre las siguientes preguntas: 

  • ¿Cómo deben las especificaciones de NIST caracterizar las aplicaciones para las cuales tales firmas son o no apropiadas?
  • ¿Qué requisitos y orientación para la protección contra el uso indebido debe incluir NIST más allá de lo que se proporciona en las especificaciones de IETF?

https://csrc.nist.gov/News/2019/stateful-hbs-request-for-public-comments.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *