Yet another insecure group key distribution scheme using secret sharing

Each language version is independently generated for its own context, not a direct translation.

De Kernboodschap: Een Nieuwe Sleutelkast die Niet Werkt

Stel je voor dat een groep vrienden een geheim wil bewaren (een "sleutel") dat ze allemaal nodig hebben. Ze hebben een vertrouwde beheerder (de KGC) die deze sleutels moet verdelen.

De auteurs van het artikel bespreken een nieuw voorstel (genaamd UMKESS) van drie onderzoekers (Hsu, Harn en Zeng) om dit te doen. Ze gebruiken een slimme wiskundige truc genaamd "geheimdeling" (secret sharing). Het idee is dat de beheerder een complexe puzzel maakt; als je genoeg stukjes van de puzzel hebt, kun je de sleutel reconstrueren.

Het oordeel van de auteur (Chris Mitchell) is echter hard: Dit nieuwe systeem is niet veilig, werkt niet altijd, en de reden waarom het zo is ontworpen is onlogisch. Het is slechts de nieuwste in een lange reeks van mislukte pogingen om dit probleem op te lossen.

Waarom het niet werkt: De "Puzzel" die niet past

1. De Wiskundige Fout (De Dubbele Adres)
Stel je voor dat de beheerder een lijst maakt met groepen vrienden. Voor elke groep berekent hij een "adres" op basis van de nummers van de mensen in de groep.

Groep A heeft leden 1 en 5. Som = 6.
Groep B heeft leden 1, 2 en 3. Som = 6.

Het systeem probeert een wiskundige lijn (een polynoom) te tekenen die door deze adressen gaat. Maar als twee verschillende groepen hetzelfde adres (6) hebben, maar een ander geheim, is het onmogelijk om één lijn te tekenen die door twee verschillende punten op hetzelfde verticale punt gaat.
Kortom: Als de groepen toevallig dezelfde som opleveren, crasht het hele systeem. Het werkt gewoon niet.

2. De Grote Lek (De Valsche Speler)
Dit is het gevaarlijkste deel. Stel je voor dat er een vriend is (Lijster) die een beetje gemeen is, maar wel deelneemt aan het systeem.

Lijster ziet dat een ander vriend (Slachtoffer) een lijst met willekeurige getallen naar de beheerder stuurt.
Lijster pikt deze lijst op, verandert één getal, en stuurt hem door alsof het van Slachtoffer komt.
Omdat Lijster zelf ook in dezelfde groepen zit als Slachtoffer, krijgt hij van de beheerder de "puzzelstukjes" voor die groepen.

Door de kleine verandering die Lijster heeft gemaakt, kan hij nu een wiskundig raadsel oplossen. Hij kan de lange-termijn geheime code van Slachtoffer berekenen.
Het gevolg: Lijster kan nu niet alleen de groepssleutels zien, maar ook de persoonlijke geheime sleutel van Slachtoffer stelen. Hij kan zich voordoen als Slachtoffer en alles doen wat die persoon mag doen. Het hele systeem is hierdoor volledig kapot.

3. Het Verkeerde Vertrouwen
Het systeem gaat er van uit dat bepaalde lijsten (wie zit in welke groep) niet kunnen worden aangepast. Maar in de echte wereld kunnen hackers deze lijsten wel manipuleren.

Als een hacker de lijst aanpast, kan hij Slachtoffer laten denken dat hij een sleutel deelt met Vriend X, terwijl hij eigenlijk een sleutel deelt met Vriend Y.
Of hij kan de lijst met "gecontroleerde" codes aanpassen zodat Slachtoffer een valse sleutel accepteert.

Waarom de Ontwerpers het Fout hebben

De auteurs van het artikel vinden het ook erg jammer dat de ontwerpers van UMKESS de geschiedenis hebben genegeerd.

De "Herhaling van de Fout": Er is al 30 jaar een lange lijst van vergelijkbare systemen die stuk voor stuk zijn gefaald. Elke keer wordt er een nieuw systeem bedacht, dat weer wordt gebroken, en dan wordt er een "fix" bedacht die weer wordt gebroken.
Het Vergeetachtige Ontwerp: De nieuwe ontwerpers lijken te denken dat ze iets nieuws hebben bedacht, terwijl ze eigenlijk dezelfde fouten maken als hun voorgangers. Ze negeren de waarschuwingen van eerdere experts.
De "Fix" die geen Fix is: Soms proberen mensen een systeem te redden door er digitale handtekeningen aan toe te voegen. Maar dit maakt het systeem zo zwaar en traag, dat het net zo goed een bestaand, veilig systeem had kunnen gebruiken. Het is als het proberen te repareren van een fiets met een raketmotor: het werkt misschien, maar het is onnodig complex en kostbaar.

Conclusie: Stop met het uitvinden van het wiel

De boodschap van dit artikel is duidelijk:

Stop met publiceren van onveilige systemen: Als er geen strikt wiskundig bewijs is dat een systeem veilig is, moet het niet worden gepubliceerd als een oplossing.
Stop met zinloze "fixes": Het is nutteloos om oude, gebroken systemen te proberen te repareren als je niet kunt bewijzen dat ze werken, of als de reparatie het systeem onbruikbaar maakt.

Er bestaan al bewezen, veilige methoden om groepssleutels te verdelen. Het is tijd om die te gebruiken in plaats van telkens opnieuw te proberen het wiel uit te vinden, en dit keer weer te falen.

Each language version is independently generated for its own context, not a direct translation.

Titel

Nog een onveilig groepsleutelverdelingschema gebaseerd op geheimdeling (Secret Sharing).

1. Het Probleem

Het artikel adresseert een langdurig en terugkerend probleem in de cryptografie: het ontwerpen van onveilige groepsleutelverdelingschema's (Group Key Distribution Schemes) die gebaseerd zijn op geheimdeling (secret sharing), specifiek het Shamir-schema.

Achtergrond: Sinds 1989 zijn er talloze varianten van deze schema's voorgesteld, maar bijna allemaal bleken ze kwetsbaar voor binnen- en buitenstaander-aanvallen, ontbeerden ze formele beveiligingsbewijzen, en misten ze forward secrecy.
Specifiek doel: De auteur analyseert een recent voorgesteld schema genaamd UMKESS (proposed door Hsu, Harn en Zeng, 2020). Het doel van UMKESS is om een Trusted Authority (Key Generation Centre - KGC) in staat te stellen om gelijktijdig meerdere groepsleutels te distribueren naar verschillende groepen gebruikers, waarbij elke gebruiker een vooraf gedeeld geheim met de KGC heeft.

2. Methodologie

De auteur hanteert een kritische analyse van het UMKESS-schema door de volgende stappen te doorlopen:

Beschrijving van het schema: Het protocol wordt stap voor stap ontleed. Het gebruikt Shamir's secret sharing over een eindig veld $GF(p)$ . De KGC genereert polynomen die door specifieke punten gaan, gebaseerd op de gebruikersidentiteiten, hun gedeelde geheimen en willekeurige waarden die door de gebruikers worden ingediend.
Functionele analyse: Er wordt gekeken of het protocol überhaupt correct werkt (d.w.z. of de polynomen altijd uniek en oplosbaar zijn).
Beveiligingsanalyse: Er wordt gezocht naar kwetsbaarheden, zowel in de logica van het protocol als in de aannames over communicatiekanalen. De auteur simuleert aanvallen waarbij een insider (een geldige gebruiker) probeert de lange-termijn geheimen van een ander te achterhalen of de distributie te manipuleren.
Vergelijking met de staat van de kunst: Het schema wordt vergeleken met bestaande, bewezen veilige protocollen en standaarden (zoals ISO/IEC 11770-5).

3. Belangrijkste Bijdragen en Resultaten

De auteur onthult drie fundamentele tekortkomingen in het UMKESS-schema:

A. Functionele Fout (Het schema werkt niet altijd)

Het probleem: In stap 4(b) van het protocol gebruikt de KGC de som van de indexen van de groepsleden ( $S(G_i)$ ) als de $x$ -coördinaat voor punten op een polynoom.
De fout: Het is mogelijk dat twee verschillende groepen dezelfde som van indexen hebben (bijvoorbeeld groep $\{U_1, U_5\}$ en groep $\{U_1, U_2, U_3\}$ hebben beide een som van 6).
Gevolg: Als een gebruiker lid is van twee groepen met dezelfde $S(G_i)$ , moet de polynoom door twee punten met dezelfde $x$ -coördinaat maar verschillende $y$ -coördinaten gaan. Dit is wiskundig onmogelijk voor een functie/polynoom. Het schema faalt dus in deze scenario's.

B. Serieuze Beveiligingskwetsbaarheid (Insider-aanval)

Het scenario: Een kwaadaardige gebruiker ( $U_a$ ) is lid van dezelfde groepen als een slachtoffer ( $U_v$ ).
De aanval:
1. $U_a$ onderschept de willekeurige waarden ( $r$ ) die $U_v$ naar de KGC stuurt en verandert één waarde ( $r_2$ ) zodat deze gelijk is aan een andere waarde ( $r_1$ ).
2. De KGC berekent een polynoom $f_v$ voor $U_v$ op basis van deze gewijzigde data.
3. Omdat $U_a$ lid is van de betrokken groepen, ontvangt hij ook de punten van de KGC en kan hij de groepsleutels van $U_v$ berekenen.
4. Door de kennis van de groepsleutels en de gewijzigde $r$ -waarden, kan $U_a$ een stelsel lineaire vergelijkingen opstellen om de coëfficiënten van de polynoom $f_v$ te achterhalen.
5. Zodra $f_v$ bekend is, kan $U_a$ de waarde $f_v(v)$ berekenen, wat resulteert in $x_v + r_0$ . Omdat $r_0$ publiek is, lekt hieruit het lange-termijn geheim ( $x_v$ ) van het slachtoffer.
Conclusie: Een insider kan de identiteit en alle toekomstige sleutels van een andere gebruiker compromitteren.

C. Onzorgvuldige Aannames over Communicatie

Het protocol maakt impliciete aannames over de integriteit van broadcast-kanalen (groepslijsten en gehashte sleutels).
De auteur toont aan dat als deze kanalen niet beveiligd zijn (wat in het protocol niet expliciet wordt vereist), zowel buitenstaanders als insiders de distributie kunnen manipuleren. Bijvoorbeeld: een insider kan de lijst van gehashte sleutels manipuleren zodat een slachtoffer een verkeerde sleutel accepteert die door de aanvalspersoon is gekozen.

D. Questionable Rationale (Twijfelachtige Redenering)

De auteurs van UMKESS vergelijken hun schema met andere onveilige schema's of inefficiënte publieke-sleutelmethoden.
De auteur stelt dat er al lang bestaan bewezen veilige protocollen voor groepsleutelverdeling met vergelijkbare computatiekosten, die geen publiek verifieerbare lijsten van sleutelhashes vereisen. Het introduceren van een nieuw, onbewezen schema is dus overbodig.

4. Significance en Conclusie

De paper concludeert dat UMKESS niet alleen onveilig is, maar ook functioneel gebrekkig en theoretisch onderbouwd is met onjuiste redeneringen.

Historische context: Dit is weer een voorbeeld van een langdurige cyclus van "voorstel -> breken -> 'fix' -> breken" in de wereld van secret-sharing gebaseerde groepsleutels.
Aanbevelingen:
1. De academische wereld moet stoppen met het publiceren van beveiligingsschema's die geen robuust, formeel beveiligingsbewijs hebben.
2. Het publiceren van "oplossingen" (fixes) voor dergelijke schema's is zinloos, tenzij ze formeel bewezen zijn. Vaak maken deze fixes het protocol zo zwaar (bijv. door digitale handtekeningen toe te voegen) dat het oorspronkelijke doel (efficiëntie) teniet wordt gedaan, terwijl er al betere alternatieven bestaan.

Kortom, het artikel waarschuwt voor het voortzetten van onderzoek in deze specifieke richting zonder strikte formele methodologie, en pleit voor het gebruik van bestaande, gestandaardiseerde en bewezen veilige protocollen.