Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More

Diese Arbeit stellt die ersten dezentralen Registered Attribute-Based Encryption (RABE)-Schemata vor, die sowohl eine öffentlich verifizierbare zertifizierte Löschung als auch einen zertifizierten ewigen Schutz bieten und damit Escrow-Schwachstellen beseitigen sowie eine informationstheoretische Sicherheit selbst gegen unbegrenzte Angreifer gewährleisten.

Das Wesentliche

Hier ist eine einfache Erklärung der wissenschaftlichen Arbeit, die wie eine Geschichte erzählt wird, mit vielen Bildern aus dem Alltag.

Der große Traum: Daten, die man wirklich löschen kann

Stellen Sie sich vor, Sie haben ein digitales Tagebuch, das nur bestimmte Personen lesen dürfen (z. B. nur Ihre Familie oder nur Ihre Kollegen). Das ist das Prinzip der Attribut-basierten Verschlüsselung (ABE). Es ist wie ein Tresor, der sich nur öffnet, wenn Sie den richtigen Schlüssel haben, der an Ihre Eigenschaften geknüpft ist (z. B. "Mitglied der Familie" oder "Abteilung Marketing").

Das Problem bisher: Wenn Sie dieses Tagebuch löschen wollen, ist es in der digitalen Welt fast unmöglich, sicherzustellen, dass es wirklich weg ist. Ein Hacker könnte eine Kopie im Hintergrund gespeichert haben und warten, bis er morgen einen besseren Computer hat, um den Code zu knacken.

Die Lösung dieser Forscher: Sie haben einen neuen Tresor erfunden, der nicht nur verschlüsselt, sondern auch garantiert löscht. Wenn Sie das "Löschen"-Signal geben, wird der Inhalt so zerstört, dass er selbst mit unendlicher Rechenkraft in der Zukunft nie wiederhergestellt werden kann.

---

Das Hauptproblem: Der "Schlüssel-Hüter"

In den meisten alten Systemen gibt es einen mächtigen "Schlüssel-Hüter" (eine zentrale Behörde). Diese Person erstellt alle Schlüssel. Das ist riskant: Wenn dieser eine Person gehackt wird, sind alle Ihre Daten in Gefahr. Das nennt man "Key Escrow" (Schlüsselverwahrung).

Die Forscher aus Indien wollen das ändern. Sie nutzen ein System namens Registered ABE (RABE).

• Die Analogie: Stellen Sie sich vor, jeder baut sein eigenes Schloss (Schlüssel) selbst. Sie geben nur den Schlüsselbund (den öffentlichen Teil) einem neutralen Kurator. Der Kurator klebt alle Schlüsselbünde zu einem großen Master-Schlüssel zusammen, hat aber keinen Zugriff auf Ihre privaten Schlüssel.
• Der Vorteil: Wenn der Kurator gehackt wird, sind Ihre privaten Schlüssel trotzdem sicher, weil er sie gar nicht hat.

Die neue Erfindung: "Schatten-Tresore" und "Einweg-Signaturen"

Die Forscher haben nun dieses dezentrale System (RABE) mit der Fähigkeit zur garantierten Löschung kombiniert. Das ist technisch extrem schwierig, weil die Löschung oft einen zentralen Autor erfordert.

Hier kommen ihre genialen Tricks ins Spiel:

1. Der "Schatten-Tresor" (Shadow RABE)

Stellen Sie sich vor, Sie wollen beweisen, dass Sie einen Tresor öffnen können, ohne den echten Schlüssel zu zeigen. Dafür bauen die Forscher einen Schatten-Tresor.

• Wie es funktioniert: Es ist wie ein Trick im Zaubertrick. Der System-Administrator (der Kurator) kann simulieren, wie ein Schlüssel aussieht, ohne den echten zu kennen. Das erlaubt es, die Sicherheit mathematisch zu beweisen, ohne dass jemand wirklich gehackt wird.
• Warum wichtig: Ohne diesen "Schatten" wäre es unmöglich zu beweisen, dass das Löschen wirklich funktioniert, wenn niemand den Master-Schlüssel besitzt.

2. Die "Einweg-Signatur" (One-Shot Signature)

Für die öffentlich überprüfbare Löschung (wo jeder sehen kann, dass gelöscht wurde), nutzen sie eine magische Tinte.

• Die Analogie: Stellen Sie sich einen Brief vor, der nur einmal unterschrieben werden kann. Wenn Sie ihn mit "Löschen" unterschreiben, kann er niemals mehr mit "Lesen" unterschrieben werden.
• Der Effekt: Sobald Sie das Löschen bestätigen (die Signatur setzen), ist der Weg zurück zur Verschlüsselung für immer versperrt. Jeder kann die Signatur sehen und sagen: "Ja, der Brief wurde offiziell vernichtet."

3. Der "Quanten-Feuerlöscher" (Certified Everlasting Security)

Das ist die stärkste Version. Normalerweise hoffen wir, dass unsere Verschlüsselung heute sicher ist. Aber in 50 Jahren könnten Computer so stark sein, dass sie alles knacken.

• Die Lösung: Die Forscher nutzen Quanten-Physik (das No-Cloning-Theorem).
• Die Analogie: Stellen Sie sich vor, Ihre Daten sind wie ein Eiswürfel in einem Glas Wasser. Solange das Eis da ist, können Sie es sehen. Wenn Sie aber das Glas umdrehen (Löschen), schmilzt das Eis sofort und vermischt sich mit dem Wasser.
• Das Wunder: Selbst wenn ein Angreifer in 100 Jahren einen Supercomputer hat, kann er das Wasser nicht wieder in Eis verwandeln. Die Information ist physikalisch zerstört. Das nennt man "ewige Sicherheit" (Everlasting Security).

Zusammenfassung der vier großen Erfolge

Die Forscher haben vier verschiedene Versionen dieses Systems gebaut:

1. Privat überprüfbare Löschung: Nur der Absender kann sehen, ob gelöscht wurde. (Wie ein privates Tagebuch).
2. Öffentlich überprüfbare Löschung: Jeder kann sehen, ob gelöscht wurde. (Wie ein öffentliches Amt, das einen Stempel auf "Gelöscht" setzt).
3. Privat überprüfbare ewige Löschung: Der Absender sieht, dass es gelöscht ist, und es ist physikalisch unmöglich, es wiederherzustellen – selbst für Aliens mit Supercomputern.
4. Öffentlich überprüfbare ewige Löschung: Das Beste aus beiden Welten. Jeder kann es sehen, und es ist physikalisch garantiert weg.

Warum ist das wichtig?

In einer Welt, in der Daten oft Jahre lang gespeichert werden (z. B. medizinische Daten, Bankgeheimnisse), ist die Angst groß, dass diese Daten in der Zukunft geknackt werden.

Dieses Papier zeigt, dass wir dezentrale Systeme bauen können, bei denen:

• Niemand alle Schlüssel hat (keine zentrale Gefahr).
• Wir Daten so löschen können, dass sie wirklich weg sind.
• Diese Sicherheit auch dann noch gilt, wenn die Computer der Zukunft unvorstellbar stark sind.

Es ist wie der Bau eines Hauses, das nicht nur gegen Einbrecher geschützt ist, sondern dessen Fundament sich selbst auflöst, sobald Sie den Schlüssel drehen – und zwar so, dass niemand es je wieder aufbauen kann.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More" von Murshid, Sarkar und Mandal.

1. Problemstellung und Motivation

Das Papier adressiert ein fundamentales Problem an der Schnittstelle von klassischer Kryptographie und Quanteninformation: die zertifizierte Löschung (Certified Deletion) von verschlüsselten Daten in dezentralen Umgebungen.

• Das Problem der klassischen Löschung: In rein klassischen Systemen ist eine irreversible Löschung von Daten unmöglich, da digitale Informationen beliebig kopiert werden können. Selbst wenn Daten „gelöscht" werden, können Angreifer versteckte Kopien behalten und diese später entschlüsseln, sobald Schlüssel kompromittiert werden oder Rechenleistung steigt.
• Das Problem der Zentralisierung: Bestehende Lösungen für zertifizierte Löschung (basierend auf Quanten-„No-Cloning"-Theorem) verlassen sich fast ausschließlich auf zentrale Vertrauensstellen (Authorities), die Master-Geheim keys halten. Dies führt zu Key-Escrow-Schwachstellen: Wenn diese Autorität kompromittiert wird, bricht die Sicherheit des gesamten Systems zusammen.
• Die Lücke: Es fehlte bisher ein Framework, das Attribute-Based Encryption (ABE) (feingranulare Zugriffskontrolle) mit dezentraler Schlüsselverwaltung (Registered Encryption) und zertifizierter Löschung kombiniert.
• Ziel: Die Autoren wollen zeigen, ob zertifizierte Löschung und sogar zertifizierte ewige Sicherheit (Certified Everlasting Security) – bei der die Sicherheit auch gegen unendlich leistungsfähige Angreifer nach der Löschung garantiert ist – in einem dezentralen RABE-Rahmen (Registered Attribute-Based Encryption) realisierbar sind.

2. Methodik und Technische Architektur

Die Autoren entwickeln eine modulare Architektur, die auf mehreren kryptographischen Primitive aufbaut und zwischen privat verifizierbaren und öffentlich verifizierbaren Schemata unterscheidet.

Kernkomponente: Shadow Registered ABE (Shad-RABE)

Das fundamentale Baustein ist ein neues primitives Schema namens Shadow Registered ABE (Shad-RABE).

• Konzept: Es erweitert das Standard-RABE um Simulationseigenschaften, die für Sicherheitsbeweise bei Löschungsanforderungen notwendig sind.
• Funktionsweise: Es nutzt Indistinguishability Obfuscation (iO), Zero-Knowledge Arguments (ZKA) und ein Standard-RABE-Schema.
• Ziel: Es ermöglicht dem Herausforderer (Challenger) in Sicherheitsexperimenten, Schlüssel und Chiffretexte zu simulieren, ohne die echten Geheimnisse zu kennen, was für den Nachweis der Ununterscheidbarkeit nach einer Löschung essenziell ist.
• Implementierung: Die Autoren bieten eine lattice-basierte Instantiierung an, die auf Annahmen wie $\ell$-succinct LWE, plain LWE und equivocal LWE basiert.

Hybrid-Ansätze für die Löschung

Die eigentlichen RABE-Schemata mit zertifizierter Löschung werden durch eine Hybrid-Verschlüsselung realisiert:

1. Schicht 1 (Zugriffskontrolle): Ein Shad-RABE-Schema verschlüsselt einen symmetrischen Schlüssel oder eine andere Komponente basierend auf Attributen.
2. Schicht 2 (Löschungsmechanismus): Die eigentliche Nachricht wird mit einem Mechanismus verschlüsselt, der die Quanten-Eigenschaften zur Löschung nutzt.

Unterscheidung der Verifizierungsmodelle

Das Papier unterscheidet zwei Hauptkategorien für die Verifizierung der Löschung:

• Privat verifizierbar (Private Verifiability): Nur der Sender (oder eine autorisierte Partei) kann die Gültigkeit des Löschungs-Zertifikats prüfen.
  • Methode: Kombination von Shad-RABE mit One-Time Symmetric Key Encryption with Certified Deletion (OTSKE-CD). Der symmetrische Schlüssel dient als Verifizierungsschlüssel.
• Öffentlich verifizierbar (Public Verifiability): Jeder kann prüfen, ob die Daten gelöscht wurden, ohne geheime Schlüssel zu besitzen.
  • Methode: Nutzung von Witness Encryption (WE) und One-Shot Signatures (OSS).
  • Logik: Die Nachricht wird so verschlüsselt, dass sie nur entschlüsselt werden kann, wenn eine gültige Signatur für eine bestimmte Nachricht (z.B. „0") existiert. Das Lösch-Zertifikat ist eine Signatur für die alternative Nachricht (z.B. „1"). Da One-Shot Signatures nur einmal signieren können, macht das Erstellen des Lösch-Zertifikats die Entschlüsselung der ursprünglichen Nachricht unmöglich.

Zertifizierte ewige Sicherheit (Certified Everlasting Security)

Für diesen stärkeren Sicherheitsbegriff (Informationstheoretische Sicherheit nach Löschung) nutzen die Autoren:

• BB84-Zustände: Quantenzustände, die in zufälligen Basen kodiert sind.
• Quanten-One-Time-Pad: Die Nachricht wird mit Bits maskiert, die aus der Messung der Quantenzustände in der richtigen Basis gewonnen werden.
• Löschungsprozess: Der Empfänger misst die Quantenzustände in der falschen Basis (Hadamard-Basis), um ein Zertifikat zu erzeugen. Dies zerstört die Information über die ursprünglichen Bits irreversibel (Quanten-Unschärferelation).
• Öffentliche Verifizierbarkeit: Durch die Verwendung von kohärent signierten BB84-Zuständen (Signaturen auf Quantenzuständen) kann jeder Dritte die Gültigkeit des Zertifikats prüfen, ohne die Basis-Informationen zu kennen.

3. Hauptbeiträge (Key Contributions)

Die Autoren präsentieren die ersten bekannten Schemata, die folgende Kombinationen erreichen:

1. Shad-RABE Primitive: Einführung und Konstruktion von Shadow Registered ABE als fundamentale Bausteine, die Simulationseigenschaften für Sicherheitsbeweise in dezentralen Umgebungen bieten.
2. RABE mit zertifizierter Löschung (RABE-CD):
   • Ein privat verifizierbares Schema (RABE-PriVCD), das auf Shad-RABE und OTSKE-CD basiert.
   • Ein öffentlich verifizierbares Schema (RABE-PubVCD), das Shad-RABE, Witness Encryption und One-Shot Signatures kombiniert.
3. RABE mit zertifizierter ewiger Sicherheit (RABE-CED):
   • Ein privat verifizierbares Schema (RABE-PriVCED), das Quanten-Zustände und das Certified Everlasting Lemma nutzt.
   • Ein öffentlich verifizierbares Schema (RABE-PubVCED), das kohärent signierte BB84-Zustände verwendet, um universelle Verifizierbarkeit zu gewährleisten.
4. Post-Quantum-Sicherheit: Alle Schemata werden auf Gitter-basierten Annahmen (Lattice-based) instantiiert (LWE, NTRU, etc.), was sie gegen Angriffe durch Quantencomputer resistent macht.

4. Ergebnisse und Sicherheitsgarantien

• Dezentralisierung: Die Schemata eliminieren das Key-Escrow-Problem, da keine zentrale Autorität Geheimnisse hält. Nutzer generieren ihre eigenen Schlüssel und registrieren nur öffentliche Schlüssel bei einem Kurator.
• Irreversible Löschung: Nach Erzeugung eines gültigen Löschungs-Zertifikats ist es unmöglich, die Nachricht wiederherzustellen, selbst wenn alle Geheimnisse (inklusive Master-Schlüssel, falls vorhanden) später bekannt werden.
• Everlasting Security: Im RABE-CED-Modell ist die Sicherheit nach der Löschung informationstheoretisch. Selbst ein Angreifer mit unendlicher Rechenleistung (unbounded adversary) kann die Nachricht nicht entschlüsseln, da die Quanteninformation physikalisch zerstört wurde.
• Effizienz: Die Schemata nutzen kompakte Master-Public-Keys und unterstützen dynamische Nutzerregistrierung und Schlüssel-Updates.

5. Bedeutung und Fazit

Dieses Paper ist ein Meilenstein in der Quantenkryptographie und dezentralen Sicherheit:

• Paradigmenwechsel: Es überwindet die Abhängigkeit von zentralen Vertrauensstellen für zertifizierte Löschung, was für den Einsatz in großen, verteilten Systemen (z.B. Cloud-Computing, Blockchain) entscheidend ist.
• Regulatorische Compliance: Die öffentlich verifizierbaren Schemata ermöglichen es Dritten (z.B. Aufsichtsbehörden), die Einhaltung von Datenschutzrichtlinien (wie „Right to be Forgotten") ohne Zugriff auf sensible Daten zu überprüfen.
• Zukunftssicherheit: Durch die Kombination von RABE, zertifizierter Löschung und post-quantum Kryptographie bieten die vorgeschlagenen Schemata einen robusten Schutz für sensible Daten in einer Ära, in der sowohl Quantencomputer als auch unbegrenzte Rechenkapazitäten eine Bedrohung darstellen könnten.

Zusammenfassend beweisen die Autoren, dass es möglich ist, feingranulare Zugriffskontrolle, dezentrales Vertrauen und physikalisch fundierte, irreversible Datenlöschung in einem einzigen, effizienten und post-quantum-sicheren Kryptosystem zu vereinen.