（警告：前面有数学。但最后有一个总结。）

由 Voltage 实现的 IBE 使用配对. 已知的有效配对适用于特制的椭圆曲线（两个主要配对是 Weil 配对和 Tate 配对，后者的一些变体在某些情况下可以提高性能）。这些配对是在 1950 年代由数学家发现的。Miller 在 1980 年代首次暗示将配对应用于密码学。

最初，配对被认为是攻击椭圆曲线系统的方法——通过将椭圆曲线上的离散对数减少为离散对数到一个更“简单”的领域。关键参数是“嵌入度”，我会记下k。对于正常的n位椭圆曲线，离散对数很难进行2 ^{n/2 次}操作，因此 256 位曲线足以满足标准的“128 位安全性”。对于给定的曲线，可以定义一个pairing，用来将曲线上的离散对数问题转化为kn比特域的乘法子群中的离散对数问题。ķ _参数取决于所使用的曲线。例如，如果您有一个 256 位曲线，其嵌入度非常低，则该曲线上的离散对数并不比 512 位字段的乘法子组中的离散对数难，这要容易得多（530位离散对数是在 2007 年进行的）。

幸运的是，一条“正常”的曲线会有很高的嵌入度；典型的 256 位椭圆曲线的嵌入度约为 2 ²⁵⁵，即远大于 2 或 3。根据相关标准 (ANSI X9.62-2005) 选择椭圆曲线涉及验证k不低于100，无论如何，对于随机选择的曲线，这总是具有压倒性的概率。这称为“MOV 条件”。

一个有效的配对要求kn不太大，因为配对结果是一个kn位的值，我们希望用这些值做一些相对繁重的计算（模幂运算......）。因此，IBE（不是攻击）的配对需要一个嵌入度非常低的“弱化”曲线。Boneh-Franklin 文章 (2003) 中描述的方案使用具有“超奇异”特性的 512 位椭圆曲线，这意味着（这里）嵌入度k=2（因此得到的安全性是离散对数的安全性）在 1024 位字段中，大致类似于 1024 位 RSA）。

总结：上面的数学细节旨在显示 IBE 的立场：

• 第一个实际实现在 2003 年的一篇文章中进行了描述。
• 该实现适用于具有特殊结构的椭圆曲线，最初被认为是一个弱点。
• 椭圆曲线用于密码学的历史可以追溯到 1980 年代。椭圆曲线被认为是安全的，因为没有人能找到任何可以用来加速椭圆曲线上离散对数的内部结构——幸运的是，配对除外，它不适用于“正常”曲线。但对于 IBE，我们需要一条“弱”曲线。

因此，在实践中，IBE 安全性是基于在椭圆曲线中注入的谨慎剂量的弱点，并且细节是在不到十年前定义的。这不是很多时间。相比之下，整数因式分解的研究可以吹嘘（至少）长达 2500 年的历史，所以当我们声称因式分解一定是一个难题时，我们有一些事实来支持这一断言。累积的研究时间是估计密码风险的主要指标，也是唯一的指标。

因此，在我看来，IBE 对于未经检查的一般部署来说有点年轻。然而，你可以比遵循 Dan Boneh 的步骤做得更糟，而且如果（何时）你会被黑客入侵，这不会是由于配对中的任何数学问题。此外，配对很有趣（对于数学家来说，就是这样）。

关于配对的好读物是Ben Lynn 的博士论文（顺便说一下，他的导师是 Boneh）。

我从来没有从密码学的角度看待过电压安全邮件（如果我有的话，实际上我无法向任何权威发表评论），但是看到电压安全邮件在行动中，有几个实现细节让我非常担心.

首先，当用户收到加密消息时，如果他们以前从未收到过加密消息，他们会被要求注册，根据该注册（一封要求您单击链接以确认您已收到的电子邮件），您可以访问消息。不需要进一步的身份验证，因此发件人打错了邮件，尽管收件人不是预期的收件人，但他们仍可以访问邮件（据我所知，如果您尝试将邮件发送到您以前从未与之安全通信的用户）。

其次，如果您已经是注册用户并且忘记了密码，您可以通过单击无处不在的忘记密码链接来重置它（如果您没有安装 Voltage SecureMail 客户端，它默认使用基于 Web 的阅读器），并且拥有一封发送给您的邮件，其中包含允许您重置密码的链接，但是由于此密码重置消息是通过与加密消息相同的渠道（电子邮件）发送的，因此拦截原始密文的任何人肯定很有可能可以拦截重置消息，重置用户密码，然后访问原始消息的明文。

基于 ID 的密码学基础的密码学与任何其他主要密码系统一样可靠。它基于椭圆曲线密码学的数学基础上的一项相对较新的突破，其中许多基石协议是由共同创立 Voltage 的 Dan Boneh 贡献的。你从 ID-crypto 获得的属性有很大的不同，它可以独特地提供执行某些任务的能力（但通常需要不同的架构、信任假设等——请参阅 pepe 关于密钥托管的说明）。所以它不是蛇油。BF 和 BB1 等协议发表在前两个加密会议上。

我不知道加密货币被过滤到产品中的程度（以及实现的安全性）。所以我不能直接评论电压 API、库、产品等。

我怀疑有很多竞争对手——开源与否。椭圆曲线密码学本身在 Certicom 之外的采用率很慢（考虑到它是在 80 年代开发的）。我希望基于配对的密码学（仅在 00 年代开发）在电压之外面临类似的速率。

我不熟悉产品或特定协议，但请注意，许多基于 ID 的加密方案都存在“密钥托管”问题，这意味着密钥分发中心知道您的秘密。提出了多项建议来缓解或改变这个问题，但我不确定是否找到了通用解决方案。它们很可能基于仅在封闭环境或特殊硬件或其他模糊事物中实用的其他假设。

一般来说，IBE 用的不多。看到您引用 RFC，我感到很惊讶。所以是的，你肯定有一些供应商锁定在那里。使用的是众所周知的系统，如 S/MIME 或 PGP/GPG。除非您正在考虑非常特殊的环境，否则 IBE 与这些传统解决方案相比并没有什么强大的优势。对于您公司的安全电子邮件，您可以（并且应该，因为许多 CA 并不完全值得信赖，并且只需在电子邮件确认后分发证书）使用任何一种方法设置您自己的 PKI。

您需要有关系统的背景信息：我建议您查看 RFC。底层的加密系统通常在那里被引用。但如前所述，IBE 并不是这里的关键。IBE 为您提供了供应商锁定和一些几乎不相关的功能，这些功能可以通过受信任的方轻松实现（无论如何 IBE 都需要这些功能......）。对于企业解决方案，您应该真正了解该软件如何支持您的工作流程和需求。您可以使用 PGP/SMIME 构建完全相同的东西。但问题是您的公司是否有好的产品可供购买，或者 Voltage SecureMail 是否为您提供了您想要的所有功能。