Clear Sky Science
Op bewijs gebaseerde, jargonarme uitleg

Clear Sky Science · nl

Een multi-authority attributen-ringhandtekening die dynamische beleidsregels en dubbele anonimiteit ondersteunt voor zero-trust netwerken

· Terug naar het overzicht

Waarom digitale vertrouwen opnieuw moet worden doordacht

Nu steeds meer van ons werk en privéleven naar de cloud verschuift, valt het oude idee van een veilige “binnenkant” en een gevaarlijke “buitenkant” van een bedrijfsnetwerk uiteen. Moderne “zero-trust” beveiliging gaat ervan uit dat elk verzoek, van elk apparaat en elke gebruiker, voortdurend gecontroleerd moet worden. Dit artikel introduceert een nieuwe manier om te bewijzen wie je bent en wat je mag doen—zonder je identiteit of gevoelige gegevens prijs te geven—zodat digitale systemen veilig blijven terwijl ze de privacy beter beschermen.

Van identiteitskaarten naar flexibele digitale badges

Traditionele beveiligingssystemen vertrouwen vaak op vaste referenties, zoals gebruikersnamen, wachtwoorden of statische digitale certificaten. Een nieuwere aanpak gebruikt attributen—feitelijke kenmerken van een persoon, zoals manager zijn, in de financiële afdeling werken of deel uitmaken van het ziekenhuispersoneel—om te beslissen wie toegang krijgt tot wat. Attribuut-gebaseerde handtekeningen laten iemand een digitaal bericht ondertekenen alleen als hun attributen voldoen aan een regel, zoals “Manager EN Finance” of “Arts OF Verpleegkundige.” Bestaande schema’s zijn echter vaak star: wanneer toegangsregels veranderen, hebben gebruikers nieuwe sleutels nodig en het is moeilijk om zowel de ondertekenaar als hun specifieke attributen volledig verborgen te houden.

Waarom decentralisatie en anonimiteit zo moeilijk zijn

Tegelijkertijd verschuiven gedecentraliseerde identiteitssystemen (DID) de controle weg van grote centrale identiteitsaanbieders naar individuele gebruikers. In deze systemen kunnen verschillende organisaties—zoals HR-, gezondheids- of financiële afdelingen—elk hun eigen digitale badges of attributen uitgeven. In een zero-trust wereld kan een gateway van dag tot dag om verschillende combinaties van deze badges vragen. Bestaande tools kunnen hier vaak niet goed mee omgaan: veel kunnen attributen van meerdere autoriteiten niet flexibel combineren, sommige onthullen welke attributen zijn gebruikt, en andere worden te traag of te zwaar voor telefoons en andere beperkte apparaten wanneer sterke privacy vereist is.

Figure 1
Figuur 1.

Een nieuwe manier om te ondertekenen zonder jezelf te verraden

De auteurs stellen een nieuw soort digitale handtekening voor, een multi-authority attributen-ringhandtekening. “Multi-authority” betekent dat vele onafhankelijke organisaties elk attributensleutels kunnen uitgeven, zonder elke keer te hoeven coördineren. “Ringhandtekening” houdt in dat een bericht lijkt te zijn ondertekend door iemand uit een groep, maar dat het voor een buitenstaander onmogelijk is te zeggen wie het precies was. In dit schema kan een gebruiker lokaal de attributensleutels die hij al bezit combineren om op het moment zelf te voldoen aan welke regel een verifier ook kiest—bijvoorbeeld vandaag “medewerker in finance” en morgen “lid van het securityteam OF interne auditor”—zonder terug te moeten naar de uitgevende autoriteiten voor nieuwe sleutels.

Het verbergen van zowel de ondertekenaar als diens attributen

De centrale innovatie noemen de auteurs dubbele anonimiteit. Niet alleen is de echte ondertekenaar verborgen binnen een groep mogelijke ondertekenaars, ook de exacte subset van gebruikte attributen wordt afgeschermd. De verifier weet alleen dat “iemand in deze groep aan het beleid voldeed,” niet wie het was of welke badges zij gebruikten. Dit wordt bereikt door sleutels en cryptografische bewerkingen zorgvuldig te combineren, gebaseerd op de Chinese SM9-standaard, die geoptimaliseerd is voor efficiëntie. De auteurs leveren formele wiskundige bewijzen dat, onder veelgebruikte beveiligingsaannames, aanvallers geen handtekeningen kunnen vervalsen of de identiteit of attributen van de ondertekenaar kunnen achterhalen, zelfs als zij adaptief sleutels en handtekeningen aanvraagdeden tijdens een aanval.

Figure 2
Figuur 2.

Privacy versnellen voor netwerken in de praktijk

Buiten de theorie evalueert het artikel hoe snel het nieuwe schema draait in vergelijking met bekende SM9-gebaseerde ringhandtekeningsystemen. De auteurs analyseren het aantal zware bewerkingen dat de computer moet uitvoeren en implementeren vervolgens alle schema’s met een open-source cryptografische bibliotheek. Hun tests laten zien dat, voor grote groepen mogelijke ondertekenaars, hun methode bepaalde dure bewerkingen tijdens het ondertekenen met ongeveer 30 procent vermindert. In praktische termen, wanneer een ring meer dan duizend gebruikers bevat, is het genereren van een handtekening meer dan drie keer sneller dan een standaard baseline en ongeveer anderhalf keer sneller dan het beste recente alternatief, terwijl de verificatiesnelheid aan de serverzijde vergelijkbaar blijft.

Wat dit betekent voor veiligere digitale systemen

Voor alledaagse gebruikers wijst dit werk op inlogs- en toegangssystemen waarbij je kunt bewijzen dat je iets mag doen zonder te onthullen wie je bent of welke van je rollen of lidmaatschappen je gebruikt. Voor organisaties die zero-trust netwerken en DID-gebaseerde diensten bouwen, biedt het voorgestelde schema een manier waarop meerdere afdelingen of bedrijven hun eigen attributen kunnen uitgeven, terwijl gateways flexibel beleidsregels kunnen definiëren en bijwerken. Hoewel huidige handtekeningen nog steeds groeien met de grootte van de gebruikersgroep, schetsen de auteurs toekomstig werk dat gericht is op het behouden van een vaste handtekeninggrootte, zelfs als netwerken opschalen. Al met al brengt het schema ons dichter bij een secure-by-design digitale infrastructuur waarin sterke privacy en sterke toegangscontrole elkaar versterken in plaats van verdringen.

Bronvermelding: Chen, J., Zhou, X., Fu, W. et al. A multi-authority attribute ring signature supporting dynamic policies and dual anonymity for zero-trust networks. Sci Rep 16, 9441 (2026). https://doi.org/10.1038/s41598-026-40089-2

Trefwoorden: gedecentraliseerde identiteit, zero-trust beveiliging, anonieme authenticatie, ringhandtekeningen, attributengebaseerde cryptografie