« NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解 | Main | 米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス »

2023.09.09

NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察

こんにちは、丸山満彦です。

NISTが、NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察を公表していますね。。。今年の5月に意見募集をしていたものですね。。。

NISTでは、「Attribute Encryption」という用語が使われていますが、「Attribute-based encryption」[wikipedia] とも言われていますね。。

ある人の属性が変わった場合に、その人のアクセスルールを変更する手間を省けますね。。。

鍵ポリシー属性ベース暗号(KP-ABE)と暗号文ポリシー属性ベース暗号(CP-ABE)の2つがありますね。。。

 

NIST - ITL

プレス...

・2023.09.06 Overview and Considerations of Access Control Based on Attribute Encryption: NIST Publishes IR 8450

Overview and Considerations of Access Control Based on Attribute Encryption: NIST Publishes IR 8450< 属性暗号に基づくアクセス制御の概要と考察: NISTがIR 8450を発行
NIST has published NIST Internal Report (IR) 8450, Overview and Considerations of Access Control Based on Attribute Encryption. Access control based on attribute encryption addresses an issue with traditional public-key encryption (PKE) wherein keys need to dynamically change whenever access policies and/or attributes change, which could cause inefficient system performance. NISTは、NIST Internal Report (IR) 8450「Overview and Considerations of Access Control Based on Attribute Encryption」を発表した。属性暗号化に基づくアクセス制御は、従来の公開鍵暗号化(PKE)の問題点である、アクセス・ポリシーや属性が変更されるたびに鍵を動的に変更する必要があり、システムのパフォーマンスが非効率になる可能性がある、という問題に対処するものである。
Access control based on attribute encryption supports fine-grained access control for encrypted data and is a cryptographic scheme that goes beyond the all-or-nothing approach of public-key encryption. This document reviews the interplay between cryptography and the access control of attribute-based encryption, including the fundamental theories on which the scheme is based; the various main algorithms of IBE, CP-ABE, and KP-ABE; and considerations for deploying access control systems based on encryption.  属性暗号化に基づくアクセス制御は、暗号化データのきめ細かなアクセス制御をサポートし、公開鍵暗号化のオール・オア・ナッシング・アプローチを超える暗号方式である。本書では、この方式の基礎となる基礎理論、IBE、CP-ABE、KP-ABE の各種主要アルゴリズム、暗号に基づくアクセス制御システムの導入に関する考慮事項など、暗号と属性暗号によるアクセス制御の相互関係について概説する。

 

文書...

・2023.09.06 NIST IR 8450 Overview and Considerations of Access Control Based on Attribute Encryption

NIST IR 8450 Overview and Considerations of Access Control Based on Attribute Encryption NIST IR 8450 属性暗号化に基づくアクセス制御の概要と考察
Abstract 概要
Encryption technology can be incorporated into access control mechanisms based on user identities, user attributes, or resource attributes. Traditional public-key encryption requires different data to have different keys that can be distributed to users who satisfy perspective access control policies along with the encrypted version of the data. However, some distributed or pervasive system environments wish to avoid the public-key encryption’s all-or-nothing data access limitation when considering their performance requirements. Attribute-based encryption incorporates access control policies and attributes with encryption and decryption functions and a one-to-many authorization scheme that requires fewer keys than public-key encryption. It also utilizes collusion-resistance, which provides a more efficient and flexible attribute-based access control mechanism that supports high-performance systems (e.g., cloud, IoT, disrupt-tolerant networks, wireless sensor networks, mobile ad-hoc networks, and public search service systems). 暗号化技術は、ユーザーID、ユーザー属性、またはリソース属性に基づくアクセス制御メカニズムに組み込むことができる。従来の公開鍵暗号化では、異なるデータには異なる鍵が必要であり、その鍵は暗号化されたバージョンのデータとともに、観点からのアクセス制御ポリシーを満たすユーザーに配布される。しかし、分散型や広帯域型のシステム環境では、性能要件を考慮する際に、公開鍵暗号化のオール・オア・ナッシングのデータアクセス制限を回避したい場合がある。属性ベースの暗号化は、アクセス制御ポリシーと属性を、暗号化と復号化機能、および公開鍵暗号化よりも少ない鍵数で済む1対多の認可スキームに組み込んだものである。また、談合耐性を利用することで、より効率的で柔軟な属性ベースのアクセス制御メカニズムを提供し、高性能システム(クラウド、IoT、ディスラプトレラントネットワーク、ワイヤレスセンサーネットワーク、モバイルアドホックネットワーク、公共検索サービスシステムなど)をサポートする。

 

・[PDF]NIST.IR.8450

20230909-40839

 

目次...

 

Table of Contents  目次 
Executive Summary エグゼクティブサマリー
1.  Introduction 1.  序文
2.  Fundamental Theories 2.  基本理論
2.1.  Elliptic Curve 2.1.  楕円曲線
2.2.  Elliptic-Curve Cryptography 2.2.  楕円曲線暗号
2.3.  Bilinear Pair Mapping 2.3.  双線形ペアマッピング
2.4.  Bilinear Pairing for Cryptography 2.4.  暗号のための双線形ペアマッピング
3.  Identity-Based Encryption 3.  IDベースの暗号化
4.  Attribute-Based Encryption 4.  属性ベースの暗号化
4.1.  Ciphertext-Policy Attribute-Based Encryption 4.1.  暗号文-ポリシー属性ベースの暗号化
4.2.  Key-Policy Attribute-Based Encryption 4.2.  鍵ポリシー属性ベース暗号化
5.  ABE System Considerations 5.  ABE システムに関する考察
5.1.  Security 5.1.  セキュリティ
5.1.1.  Key Management 5.1.1.  鍵管理
5.1.2.  Threats and Attacks 5.1.2.  脅威と攻撃
5.2.  Performance 5.2.  性能
5.2.1.  Computational Complexity 5.2.1.  計算の複雑さ
5.2.2.  Keys and Ciphertext Size 5.2.2.  鍵と暗号文のサイズ
5.2.3.  Physical Limitations 5.2.3.  物理的制限
5.3.  Access Control Policies and Model Supports 5.3.  アクセス・コントロール・ポリシーとサポート・モデル
6.  Conclusion 6.  結論
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  要旨 
Traditional public-key encryption (PKE) requires different data to have different keys that can be distributed to users who satisfy access control policies along with the encrypted version of the data. With user-specific keys, communication complexity is linear to the number of users, and pre-distributed keys are neither bound to the attributes of users and data nor to the respective access control policy. If access policies or attributes change dynamically (especially in real time), keys need to change as well, which could cause inefficient performance in the system. Combining cryptography with access control mechanisms can avoid the PKE’s all-or-nothing limitation of keys and improve performance. Encryption technology that is typically used for key exchange, digital signature, and certification can be incorporated into access control mechanisms based on user identities, user attributes, and resource attributes.  従来の公開鍵暗号化(PKE)では、異なるデータに異なる鍵を持たせ、暗号化されたデータとともにアクセス制御ポリシーを満たすユーザーに配布する必要があった。ユーザー固有の鍵では、コミュニケーションの複雑さはユーザー数に比例し、事前に配布された鍵はユーザーやデータの属性にもアクセス制御ポリシーにも拘束されない。アクセス・ポリシーや属性が(特にリアルタイムで)動的に変更される場合、鍵も同様に変更する必要があり、システムのパフォーマンスが非効率になる可能性がある。暗号技術とアクセス制御メカニズムを組み合わせることで、PKEの鍵のオール・オア・ナッシングの制限を回避し、性能を改善することができる。鍵交換、電子署名、認証に通常使用される暗号化技術を、ユーザーID、ユーザー属性、リソース属性に基づくアクセス制御メカニズムに組み込むことができる。
Attribute-based encryption (ABE) incorporates access control policies and attributes into encryption and decryption functions for public-key cryptography protocols through broadcasting. Fewer keys are used for ABE than for traditional PKE, which allows it to be an efficient and flexible attribute-based access control method.   属性ベースの暗号化(ABE)は、ブロードキャストを通じて、公開鍵暗号プロトコルの暗号化・復号化機能にアクセス制御ポリシーと属性を組み込む。ABEでは、従来のPKEに比べて使用する鍵が少ないため、効率的で柔軟な属性ベースのアクセス制御が可能である。 
The main features of ABE access control include:  ABEのアクセス制御の主な特徴は以下の通りである: 
•       A one-to-many authorization scheme  ・一対多の認証スキーム
•       Fine-grained access control based on user (i.e., subject) or resource (i.e., object) attributes  ・ユーザー(=サブジェクト)またはリソース(=オブジェクト)の属性に基づくきめ細かなアクセス制御 
•       Message sending without obtaining public-key certificates from public-key infrastructure   ・公開鍵インフラストラクチャから公開鍵証明書を取得することなくメッセージを送信できる。
•       Data decryption without evaluating permissions from access control policy  ・アクセス制御ポリシーの許可を評価することなく,データを復号化できる。
•       Collusion-resistance so that a user who holds multiple keys cannot combine different keys to access a resource that is only allowed by one key   ・複数の鍵を保持するユーザが,異なる鍵を組み合わせて,ある鍵でのみ許可されるリソースにアクセスできないようにする。
The fine-grained and collusion-resistant features of ABE support the physical resources and performance demands of systems like the cloud, Internet of Things (IoT), disrupt-tolerant networks, wireless sensor networks, mobile ad hoc networks, and public search service systems.  ABEのきめ細かく耐共解性の高い機能は、クラウド、モノのインターネット(IoT)、ディスラプト・トレラント・ネットワーク、ワイヤレス・センサー・ネットワーク、モバイル・アドホック・ネットワーク、公共検索サービス・システムなどの物理的リソースと性能の要求をサポートする。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.13 米国 NIST 意見募集 NISTIR 8450(ドラフト) 属性暗号に基づくアクセス制御の概要と留意点

|

« NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解 | Main | 米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解 | Main | 米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス »