Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More

Deze paper introduceert de eerste Registered Attribute-Based Encryption-schemata die zowel gecertificeerde verwijdering als eeuwige beveiliging bieden, met zowel privé- als publiek verifieerbare opties die escrow-risico's elimineren en informatie-theoretische privacy garanderen.

De kern

De Digitale "Zelfvernietigende" Kluis: Een Verhaal over Vertrouwen en Vergeten

Stel je voor dat je een heel belangrijk geheim in een digitale kluis stopt. In de normale wereld is dit een probleem: als je de sleutel kwijtraakt of iemand anders hem steelt, kan dat geheim voor altijd worden ontsleuteld, zelfs jaren later. Je kunt digitale bestanden oneindig kopiëren; je kunt ze niet echt "vernietigen" zonder dat er ergens nog een kopie van bestaat.

De auteurs van dit paper, Shayeef Murshid en zijn collega's van het Indiase Statistisch Instituut, hebben een oplossing bedacht die klinkt als sciencefiction, maar gebaseerd is op de wetten van de kwantummechanica. Ze hebben een nieuw soort digitale kluis ontworpen die certificatie van verwijdering mogelijk maakt.

Hier is de uitleg in simpele taal, met een paar creatieve vergelijkingen.

1. Het Probleem: De "Centrale Sleutelhouder"

In de huidige digitale wereld (zoals bij banken of overheidsdiensten) is er vaak één grote "meestersleutelhouder" (een centrale autoriteit). Deze persoon of organisatie kan alle sleutels maken.

• Het risico: Als deze ene persoon wordt gehackt of corrupt wordt, is iedereen in gevaar. Dit noemen ze het key-escrow probleem. Het is alsof één enkele bewaker de sleutels heeft van alle huizen in een stad. Als die bewaker slaapt, zijn alle huizen open.

2. De Oplossing: Een Decentrale Buurtpolitie (RABE)

De auteurs gebruiken een systeem genaamd Registered Attribute-Based Encryption (RABE).

• De Analogie: In plaats van één centrale bewaker, hebben we een decentralisatie. Iedereen maakt zijn eigen sleutel. Je geeft alleen je publieke sleutel (je huisadres) aan een onpartijdige "curator" (een soort digitale notaris).
• Hoe het werkt: De curator maakt een grote, samengevoegde lijst (een "master sleutel") van alle adressen, maar hij weet niets van je privé-sleutels. Als je wilt lezen wat er in een bericht staat, moet je een sleutel hebben die past bij de "kenmerken" (bijvoorbeeld: "is medewerker" én "is manager").
• Het voordeel: Er is geen enkele zwakke schakel meer. Als de curator wordt gehackt, kunnen ze niets doen, want ze hebben geen privé-sleutels.

3. De Magie: De Zelfvernietigende Brief (Certified Deletion)

Nu komt het coolste deel. Stel je voor dat je een brief verstuurt die is geschreven op kwantum-papier.

• De wet van de natuur: In de kwantumwereld geldt de "No-Cloning Theorie": je kunt een kwantumtoestand niet kopiëren. En als je er naar kijkt (meet), verandert het.
• De analogie: Stel je voor dat je een brief verstuurt die is geschreven met onzichtbare inkt die alleen zichtbaar is als je hem onder een specifieke lamp houdt. Als iemand de brief probeert te lezen zonder de juiste lamp, of als ze proberen de brief te kopiëren, verbrandt de brief zichzelf.
• Het certificaat: Als de ontvanger de brief wil "verwijderen", voert hij een speciale handeling uit (meten van de kwantumtoestand). Hierdoor verandert de brief in onleesbare ruis. De ontvanger krijgt een digitaal certificaat (een "bewijs van vernietiging").
• De garantie: Zelfs als de dader later de geheime sleutel van de ontvanger steelt, kan hij de brief niet meer lezen. De informatie is fysiek vernietigd, net als een brief die in het vuur is gegooid.

4. Twee Manieren om het Bewijs te Controleren

De auteurs hebben twee versies van dit systeem bedacht:

• Versie A: Privé Verificatie (Alleen de afzender ziet het)

  • Dit werkt als een gesloten gesprek. Alleen de persoon die de brief verstuurt, kan het certificaat van vernietiging controleren.
  • Vergelijking: Je stuurt een brief en vraagt de ontvanger: "Heb je hem verbrand?" De ontvanger laat je een foto van het as. Jij gelooft hem, maar niemand anders kan het zien.

• Versie B: Publieke Verificatie (Iedereen kan het zien)

  • Dit is krachtiger. Hier kan iedereen controleren of de brief echt is vernietigd, zonder dat ze de geheime sleutels nodig hebben.
  • Vergelijking: De ontvanger plaatst het certificaat van vernietiging op een openbaar bord in het dorp. Iedereen kan zien dat de brief is verbrand. Zelfs als de dader de sleutel steelt, kan hij de "as" niet terugdraaien naar een brief.

5. De "Eeuwigheid" (Certified Everlasting Security)

Dit is het meest futuristische deel.

• Normale beveiliging: Vandaag is een sleutel veilig, maar over 50 jaar, met supercomputers, kan hij misschien gekraakt worden.
• Eeuwigheid: Bij dit systeem is de beveiliging wiskundig en fysiek onbreekbaar, zelfs voor een computer die over 1000 jaar bestaat.
• Waarom? Omdat de informatie niet alleen is versleuteld, maar fysiek is vernietigd door de kwantumwetten. Het is alsof je de brief niet alleen verbrandt, maar ook de as in de lucht laat verdwijnen. Zelfs als de dader later een machine heeft die de natuurwetten kan omkeren, kan hij de as niet terugbrengen.

Samenvatting: Wat hebben ze gedaan?

De auteurs hebben voor het eerst een systeem gebouwd dat drie dingen combineert:

1. Geen centrale baas: Iedereen beheert zijn eigen sleutels (veiligheid).
2. Verificatie: Je kunt bewijzen dat data is verwijderd (vertrouwen).
3. Eeuwigheid: Zelfs als de sleutels later gestolen worden, is de data voor altijd weg (onbreekbare beveiliging).

Ze hebben dit gedaan door slimme wiskunde (roosters/Lattices) te combineren met de vreemde regels van de kwantumwereld. Het is een grote stap naar een internet waar je data echt kunt laten verdwijnen, in plaats van dat het voor altijd ergens in de cloud blijft hangen, wachtend op een hack.

Kortom: Ze hebben een digitale "vuilnisbak" ontworpen die je niet alleen leegmaakt, maar ook een onweerlegbaar bewijs geeft dat de vuilnisbak écht leeg is, zelfs voor de slimste hackers van de toekomst.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More" van Murshid, Sarkar en Mandal, geschreven in het Nederlands.

1. Probleemstelling en Context

De uitdaging van Gecertificeerde Verwijdering:
In klassieke cryptografie is het onmogelijk om gegarandeerd te bewijzen dat versleutelde data onherroepelijk is verwijderd. Digitale informatie kan willekeurig worden gekopieerd; zelfs als een gebruiker de data "verwijdert", kan een aanvaller verborgen kopieën bewaren en later de versleutelingstool (sleutels) gebruiken om de data te herstellen.

Quantum Oplossing en de Beperking:
Quantummechanica biedt een oplossing via het no-cloning theorem (geen-kopieerstelling), wat het kopiëren van willekeurige quantumtoestanden verbiedt. Bestaande protocollen voor "Gecertificeerde Verwijdering" (Certified Deletion - CD) maken gebruik van quantumtoestanden om te garanderen dat data na verwijdering onherstelbaar is, zelfs als de decryptiesleutels later worden onthuld.

Het Centrale Probleem: Centralisatie:
De meeste bestaande CD-constructies vertrouwen op een centrale autoriteit (Key Escrow) die alle sleutels beheert. Als deze autoriteit wordt gecompromitteerd, valt het hele beveiligingssysteem. Dit creëert een enkel punt van falen.

De Research Vraag:
Kunnen we gecertificeerde verwijdering implementeren in een gedecentraliseerd kader, specifiek binnen Registered Attribute-Based Encryption (RABE)? RABE combineert fijnmazige toegangscontrole (gebaseerd op attributen) met een model waarbij gebruikers hun eigen sleutels genereren en slechts hun publieke sleutels registreren bij een "curator" (die geen geheime informatie bezit). De uitdaging is om de onherroepelijke verwijdering van data te verenigen met dit gedecentraliseerde, sleutel-onafhankelijke beheer.

2. Methodologie en Technische Aanpak

De auteurs presenteren een reeks constructies die RABE combineren met gecertificeerde verwijdering (CD) en gecertificeerde eeuwige beveiliging (Certified Everlasting Deletion - CED). De aanpak is modulair en bouwt voort op een nieuw primitief.

Kernprimitief: Shadow Registered ABE (Shad-RABE)

De basis van alle constructies is een nieuw concept genaamd Shadow Registered Attribute-Based Encryption (Shad-RABE).

• Doel: Dit primitief lost het probleem op dat de curator in RABE geen geheime sleutels heeft, terwijl beveiligingsbewijzen voor CD vaak simulatie-algoritmen vereisen die een "master secret key" nodig hebben.
• Werking: Shad-RABE introduceert simulatie-algoritmen (zoals SimKeyGen, SimRegPK, SimCT, Reveal) die alleen door de uitdager in een beveiligingsexperiment worden gebruikt. Hierdoor kan de beveiliging worden bewezen zonder dat de curator daadwerkelijke geheime informatie hoeft te bezitten.
• Implementatie: Het wordt geconstrueerd door bestaande RABE te combineren met Indistinguishability Obfuscation (iO) en Zero-Knowledge Arguments (ZKA).

Constructies voor Gecertificeerde Verwijdering (CD)

De auteurs presenteren twee varianten voor CD, afhankelijk van wie de verwijdering kan verifiëren:

1. Privé Verifieerbare RABE-CD (RABE-PriVCD):

   • Methode: Een hybride encryptie-aanpak. De boodschap wordt versleuteld met een symmetrische sleutel (SKE-CD). Deze symmetrische sleutel wordt vervolgens versleuteld met Shad-RABE onder de attributen van de ontvanger.
   • Verwijdering: De ontvanger genereert een verwijderingscertificaat voor de symmetrische sleutel. Alleen de zender (die de verificatiesleutel bezit) kan verifiëren of de verwijdering geldig is.
   • Aannames: Gebaseerd op Lattice-baseringen (LWE) voor Shad-RABE en onvoorwaardelijk veilige SKE-CD.

2. Openbaar Verifieerbare RABE-CD (RABE-PubVCD):

   • Methode: Om openbare verificatie mogelijk te maken zonder de symmetrische sleutel te onthullen, gebruiken ze Witness Encryption (WE) en One-Shot Signatures (OSS).
   • Werking: De boodschap wordt versleuteld via Witness Encryption, waarbij de "witness" een geldige handtekening op een specifiek bericht (bijv. '0') is. De verwijdering gebeurt door een handtekening op een ander bericht (bijv. '1') te genereren. Vanwege de "one-shot" eigenschap kan men niet beide handtekeningen hebben; zodra de verwijderingshandtekening ('1') wordt gepubliceerd, is de decryptie (die '0' vereist) onmogelijk.
   • Verificatie: Iedereen kan de handtekening ('1') verifiëren met de publieke sleutel, zonder geheime informatie.

Constructies voor Gecertificeerde Eeuwige Beveiliging (CED)

CED is een sterkere vorm van beveiliging: na verwijdering is de privacy informatietheoretisch gegarandeerd, zelfs tegen aanvallen met oneindige rekenkracht.

1. Privé Verifieerbare RABE-CED (RABE-PriVCED):

   • Methode: Gebruik van BB84 quantum states (quantum one-time pad). De boodschap wordt gemaskeerd met bits van een quantumtoestand $|x\rangle_\theta$. De basis $\theta$ en de gemaskeerde boodschap worden klassiek versleuteld met RABE.
   • Verwijdering: De gebruiker meet de quantumtoestand in de verkeerde basis (Hadamard), wat de informatie over $x$ onherroepelijk vernietigt.
   • Beveiliging: Gebaseerd op het Certified Everlasting Lemma, wat garandeert dat na verkeerde meting de oorspronkelijke boodschap onmogelijk te onderscheiden is.

2. Openbaar Verifieerbare RABE-CED (RABE-PubVCED):

   • Methode: Uitbreiding van de bovenstaande methode met coherente handtekeningen op BB84-toestanden. De quantumtoestand wordt "ondertekend" met een klassieke publieke sleutel.
   • Verwijdering: Het meten van de toestand in de computatiebasis levert een string en een klassieke handtekening op die als certificaat dient.
   • Verificatie: Derden kunnen de handtekening verifiëren zonder de basis $\theta$ te kennen, wat openbare verificatie mogelijk maakt terwijl de eeuwige beveiliging behouden blijft.

3. Belangrijkste Bijdragen

1. Eerste Implementatie: Dit is het eerste werk dat Registered Attribute-Based Encryption (RABE) combineert met Gecertificeerde Verwijdering en Gecertificeerde Eeuwige Beveiliging.
2. Shadow RABE (Shad-RABE): Introductie van een nieuw cryptografisch primitief dat simulatie-mogelijkheden biedt binnen een gedecentraliseerd RABE-systeem, essentieel voor beveiligingsbewijzen zonder centrale autoriteit.
3. Openbare Verifieerbaarheid: Ontwerp van schema's waarbij verwijdering door iedereen kan worden geverifieerd (niet alleen door de zender), wat cruciaal is voor compliance en auditing in gedecentraliseerde systemen.
4. Post-Quantum Veiligheid: Alle constructies zijn geïmplementeerd op Lattice-baseringen (LWE, equivocal LWE, $\ell$-succinct LWE), waardoor ze bestand zijn tegen aanvallen met quantumcomputers.
5. Eeuwige Beveiliging: Het bereiken van informatie-theoretische beveiliging na verwijdering, wat betekent dat toekomstige technologische doorbraken (inclusief quantumcomputers) de beveiliging niet kunnen breken.

4. Resultaten

• De auteurs hebben vier specifieke schema's gerealiseerd:
  1. RABE-PriVCD (Privé verifieerbaar, computationeel veilig).
  2. RABE-PubVCD (Openbaar verifieerbaar, computationeel veilig).
  3. RABE-PriVCED (Privé verifieerbaar, eeuwige beveiliging).
  4. RABE-PubVCED (Openbaar verifieerbaar, eeuwige beveiliging).
• De beveiliging is formeel bewezen via een reeks hybride experimenten, waarbij de overgang van realiteit naar simulatie wordt onderbouwd door de veiligheid van onderliggende primitives (iO, ZKA, LWE, One-Shot Signatures).
• De schema's behouden de efficiëntie van RABE (sublineaire updatekosten voor de curator) terwijl ze de extra functionaliteit van verwijdering toevoegen.

5. Betekenis en Impact

Dit paper is een doorbraak in de cryptografie omdat het twee fundamenteel verschillende paradigma's succesvol integreert:

1. Gedecentralisatie: Het elimineert het "Key Escrow"-probleem van traditionele ABE en gecertificeerde verwijdering.
2. Onherroepelijke Privacy: Het biedt de eerste garantie dat data in een gedecentraliseerd, attributen-gestuurd systeem daadwerkelijk en permanent kan worden vernietigd, zelfs tegen aanvallen met onbeperkte rekenkracht (via CED).

Praktische Toepassingen:
Deze technologie is essentieel voor:

• Cloud Opslag: Gebruikers kunnen bewijzen dat hun data is verwijderd, wat voldoet aan strenge privacywetten (zoals GDPR "Recht op Vergetelheid").
• Gevoelige Data: Voor medische of financiële data waar toekomstige cryptografische doorbraken een risico vormen; CED garandeert dat data veilig blijft zelfs als de huidige encryptie in de toekomst wordt gebroken.
• Gedecentraliseerde Netwerken: Het maakt veilige data-deling mogelijk zonder dat er een centrale trust-entiteit nodig is die alle sleutels beheert.

Samenvattend biedt dit werk een robuust, post-kwantum veilig raamwerk voor de toekomst van privacy en data-integriteit in een wereld waar data vaak verspreid en gedeeld wordt.