Криптографія без припущень - пошук огляду


25

Припустимо, а завтра з'явиться швидкий алгоритм лінійного часу для SAT. Раптом RSA не є небезпечним, значна частина нашої сучасної системи зв'язку порушена, і нам потрібно переглянути, як зберігати таємниці один від одного.P=NP

Запитання: Чи є хороший єдиний довідник (або короткий список), щоб отримати уявлення про велику картину того, що можливо в криптовалюті (і в суміжному полі "безпеки") без припущень про інтерактивність? Це може врятувати цивілізацію одного дня, а також було б приємно заздалегідь ознайомитися.

Обговорення: Більшість криптографічних завдань, які ми зараз вивчаємо (OWFs, PRGs, PKE), неможливо неможливі у світі (світ, який називається "Algorithmica" у впливовому нарисі Impagliazzo), але деякі речі залишаються можливими: спілкування з одноразовий блокнот ; розподілений таємний обмін ; приватне пошуку інформації ; та деякі інші приємні речі. (Певні види фізичних механізмів, такі як заблоковані скриньки , пристрої, що реалізують непримітну передачу , і квантові стани, також можуть стати в нагоді. Звичайно, завжди є якесь фізичне припущення щодо того, хто може побачити, яку інформацію.)P=NP

Можна розрізнити інформаційно-теоретичну безпеку (яка працює проти обчислювально необмеженого супротивника) та "безумовну" безпеку (яка може вимагати обмеженого супротивника, але все-таки демонструє безпеку за жодних недоведених припущень). Мене найбільше цікавить інфо-теоретичний випадок.

Для початку, ось одна бібліографія інформаційно-теоретичної безпеки (яка, на мої цілі, неминуче довга і розрізнена).


Приємне запитання, це насправді не відповідь, але це може зацікавити. У Альфреда Менезеса та Ніла Кобліца є приємна серія паперів "Інший погляд", де вони задають деякі питання, подібні до вашого, але також входять у цілі напрямки "моделей безпеки". Я коротко обговорив це у цій відповіді , але не впевнений, чи це занадто застосовано підхід.
Артем Казнатчеєв

3
Я б підозрював, що можна використовувати такий алгоритм SAT, щоб знайти альтернативи поточним ПКК та безумовно захищеним системам.
Т ....

Зауважте, що RSA не є NP-Complete, тому вимагати P = NP для коефіцієнта може бути надмірним.
user834

значна частина сучасних криптовалют розраховує на припущення про внутрішню здатність не для спрощення / зручності, а тому, що кращі результати / доказові межі не доступні з теорії складності (особливо середня складність випадку) ... див. також crypto.se
vzn

3
Ось огляд по Улі Маурер , який, хоча і трохи застаріли, є вельми інформативним: ftp.inf.ethz.ch/pub/crypto/publications/Maurer99.pdf

Відповіді:


16

Ключові фрази, які ви, мабуть, шукаєте, - це "інформаційно-теоретична криптографія" та "квантова криптографія". Пошук літератури з цих тем призведе до великої кількості роботи, яку ви шукаєте. Нижче наведено кілька прикладів:

  • Для конфіденційності: одноразова прокладка, канал прослуховування Вайнера, обмін секретами, обмін квантовими ключами тощо.

  • Для цілісності та автентичності: універсальні хеш-функції.

  • Для анонімності: анонімне спілкування (наприклад, мережі постійного струму, схеми на основі цибулі, мережі p2p, засновані на швидкому змішуванні випадкових прогулянок), протоколи, що обмежують відстань.

  • Для безпеки, заснованої на фізичних припущеннях: PUF (фізично неблоковані функції), коди цілісності (Capkun та ін.), Квантова криптографія, захист за допомогою TPM або стійкого до фальсифікації обладнання.

На ці теми є багато робіт; занадто багато, щоб узагальнити всі результати в літературі.


Дякую DW, я знаю, що це занадто багато підсумків, щоб підсумувати відповідь; Я сподіваюся знайти корисні книги чи опитування.
Енді Друкер

@AndyDrucker, моя рекомендація полягає в тому, щоб прочитати семінарські або найсучасніші статті на цікаві для вас теми. Я не впевнений, що ви збираєтесь знайти книгу, яка висвітлює всю роботу в цій галузі (деякі з них траплялися за останні 5-10 років). Навіть якщо вам пощастить і відкриєте якусь книгу, вона вже почне відставати від останньої дослідницької літератури до того часу, як з’явиться на книжкових полицях.
DW

2
Я навіть не прагну до найсучаснішого. Не існує справді сучасного підручника для будь-якої області TCS; все ж можна взяти книги Голдріха і орієнтуватися на основні результати та концепції криптовалюти. Мені було цікаво, чи з’явилось щось подібне для інформаційно-теоретичної сторони.
Енді Друкер

4

Це досить складне питання, оскільки ми справді не маємо гарного огляду місцевості. Частково це пов'язано з тим, що теорія інформації та криптовалюта працювали над подібними темами, не реально взаємодіючи один з одним. Вище було дано багато хороших балів. Я хотів би додати кілька додаткових спостережень:

  • У нас був великий обсяг робіт, що займаються проблемою узгодження секретного ключа (та безпечного спілкування) із заданою установкою. Тут налаштування означає, наприклад, що учасники системи (скажімо, Аліса, Боб та противник Єви) діляться деякою корельованою інформацією, що надходить з тристороннього розподілу ймовірностей. Альтернативна установка може складатися з галасливих каналів (наприклад, Аліса може надсилати інформацію Бобу та Єві через галасливі канали). Крім того, Аліса та Боб з'єднані через канал зв'язку (який може бути, а може і не бути автентифікованим). Цей напрямок роботи розпочався з Аарона Вінера в 70-х, який представив модель каналу Wiretap, і далі був очищений Маурером та іншими в 90-х. Також багато методик у цій галузі (посилення конфіденційності, узгодження інформації), в кінцевому рахунку, використовується в налаштуваннях квантового розподілу ключів (QKD). Тут проводиться досить велика робота навіть на сьогоднішній день, наприклад, в суміжних областях, таких як витяжних котлів і т.д. цілі.

  • Крім простого таємного обміну, ви знайдете велику кількість робіт з інформаційно-теоретичного захисту багатопартійних обчислень (MPC). Зокрема, лінія робіт, ініційована протоколом BGW, є цілком інформаційно теоретичною.

  • Крім того, я не впевнений, наскільки йде питання: якщо, наприклад, P = NP справді утримується, але ми можемо якось виправдати наявність на небі випадкового оракула, то симетрична криптографія все ж можлива. Іноді такі моделі справді використовуються для доказу безпеки певних криптографічних конструкцій (наприклад, хеш-функцій або блокових шифрів), а методи цілком інформаційно-теоретичні.

  • Інформаційно-теоретичні прийоми в криптографії також часто виступають як проміжний інструмент в теоретично-теоретичних результатах, але я думаю, що це виходить за межі питання. (Дивіться роботу Маурера про випадкові системи та про посилення нерозрізнення як приклад цього типу робіт.)


"ми можемо якось виправдати присутність на небі випадкового оракула", що ви тут саме говорите? Як тут можлива симетрична склепа "відкритого" ключа?
Т ....

1
@JA Я вважаю, що він має на увазі випадкову модель оракул Bellare та Rogaway, див. Наприклад, cseweb.ucsd.edu/~mihir/papers/ro.html . Ця модель є евристичною, часто корисною, але є вагомі причини бути скептичними: arxiv.org/abs/cs/0010019
Сашо Ніколов

ic .. що саме тут відбувається? у вас ідея на конкретному рівні? Усі теоретичні симетричні ключові схеми інформації, які я бачив, засновані на вилученні загальної інформації з співвіднесених і, отже, можливо, не можуть бути перетворені у версію відкритого ключа. Чи є тут фундаментальна ідея, яка дає можливість здійснити крипто-рішення відкритим ключем, теоретично захищене інформацією?
Т ....

2
Дозвольте мені пояснити: У випадковій моделі оракула, коли всі сторони мають доступ до випадкового RO-оракула, чесні сторони, що мають секретний ключ SK, можуть зашифрувати повідомлення M надійно як (R, M + RO (SK || R)), де R - випадковість шифрування (і щойно генерується при кожному шифруванні), + позначає біт-розумний xor (тут припускаємо, що вихідна довжина RO дорівнює довжині повідомлення). Захищеність цієї схеми покладається лише на те, що випадковий оракул є випадковим. Навпаки, за роботами Імпальяццо та Рудича відомо, що в моделі випадкового оракулу шифрування відкритим ключем недосяжно.
Стефано Тессаро

3

Деякі дослідницькі групи в Європі проводили цю лінію досліджень; Більш конкретно, через мій інтерес до теорії інформації я зіткнувся з роботою Уелі Маурера та його школи, яка є суттєвою з чисто теоретичної теоретичної точки зору (яка мені більше знайома), а також пропонує деякі практичні підходи до інформації теоретична безпека.

Що стосується вищезазначеного напряму роботи, деякі місця, які ви можете розглянути, - це кандидатська дисертація Крістіана Качіна, а також Ренато Реннера (більш квантовий).

Звичайно, існує зовсім інший підхід із ключовими словами, включаючи BB84, Preskill-Shor, Artur Ekert тощо.

Сказане, звичайно, лише відображає мій обмежений досвід, і, безумовно, є ще багато підходів та цікавих напрямків роботи.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.