Криптографія без припущень - пошук огляду

Припустимо, а завтра з'явиться швидкий алгоритм лінійного часу для SAT. Раптом RSA не є небезпечним, значна частина нашої сучасної системи зв'язку порушена, і нам потрібно переглянути, як зберігати таємниці один від одного.$P = NP$

Запитання: Чи є хороший єдиний довідник (або короткий список), щоб отримати уявлення про велику картину того, що можливо в криптовалюті (і в суміжному полі "безпеки") без припущень про інтерактивність? Це може врятувати цивілізацію одного дня, а також було б приємно заздалегідь ознайомитися.

Обговорення: Більшість криптографічних завдань, які ми зараз вивчаємо (OWFs, PRGs, PKE), неможливо неможливі у світі (світ, який називається "Algorithmica" у впливовому нарисі Impagliazzo), але деякі речі залишаються можливими: спілкування з одноразовий блокнот ; розподілений таємний обмін ; приватне пошуку інформації ; та деякі інші приємні речі. (Певні види фізичних механізмів, такі як заблоковані скриньки , пристрої, що реалізують непримітну передачу , і квантові стани, також можуть стати в нагоді. Звичайно, завжди є якесь фізичне припущення щодо того, хто може побачити, яку інформацію.)$P = NP$

Можна розрізнити інформаційно-теоретичну безпеку (яка працює проти обчислювально необмеженого супротивника) та "безумовну" безпеку (яка може вимагати обмеженого супротивника, але все-таки демонструє безпеку за жодних недоведених припущень). Мене найбільше цікавить інфо-теоретичний випадок.

Для початку, ось одна бібліографія інформаційно-теоретичної безпеки (яка, на мої цілі, неминуче довга і розрізнена).

Ключові фрази, які ви, мабуть, шукаєте, - це "інформаційно-теоретична криптографія" та "квантова криптографія". Пошук літератури з цих тем призведе до великої кількості роботи, яку ви шукаєте. Нижче наведено кілька прикладів:

• Для конфіденційності: одноразова прокладка, канал прослуховування Вайнера, обмін секретами, обмін квантовими ключами тощо.

• Для цілісності та автентичності: універсальні хеш-функції.

• Для анонімності: анонімне спілкування (наприклад, мережі постійного струму, схеми на основі цибулі, мережі p2p, засновані на швидкому змішуванні випадкових прогулянок), протоколи, що обмежують відстань.

• Для безпеки, заснованої на фізичних припущеннях: PUF (фізично неблоковані функції), коди цілісності (Capkun та ін.), Квантова криптографія, захист за допомогою TPM або стійкого до фальсифікації обладнання.

На ці теми є багато робіт; занадто багато, щоб узагальнити всі результати в літературі.

Це досить складне питання, оскільки ми справді не маємо гарного огляду місцевості. Частково це пов'язано з тим, що теорія інформації та криптовалюта працювали над подібними темами, не реально взаємодіючи один з одним. Вище було дано багато хороших балів. Я хотів би додати кілька додаткових спостережень:

• У нас був великий обсяг робіт, що займаються проблемою узгодження секретного ключа (та безпечного спілкування) із заданою установкою. Тут налаштування означає, наприклад, що учасники системи (скажімо, Аліса, Боб та противник Єви) діляться деякою корельованою інформацією, що надходить з тристороннього розподілу ймовірностей. Альтернативна установка може складатися з галасливих каналів (наприклад, Аліса може надсилати інформацію Бобу та Єві через галасливі канали). Крім того, Аліса та Боб з'єднані через канал зв'язку (який може бути, а може і не бути автентифікованим). Цей напрямок роботи розпочався з Аарона Вінера в 70-х, який представив модель каналу Wiretap, і далі був очищений Маурером та іншими в 90-х. Також багато методик у цій галузі (посилення конфіденційності, узгодження інформації), в кінцевому рахунку, використовується в налаштуваннях квантового розподілу ключів (QKD). Тут проводиться досить велика робота навіть на сьогоднішній день, наприклад, в суміжних областях, таких як витяжних котлів і т.д. цілі.

• Крім простого таємного обміну, ви знайдете велику кількість робіт з інформаційно-теоретичного захисту багатопартійних обчислень (MPC). Зокрема, лінія робіт, ініційована протоколом BGW, є цілком інформаційно теоретичною.

• Крім того, я не впевнений, наскільки йде питання: якщо, наприклад, P = NP справді утримується, але ми можемо якось виправдати наявність на небі випадкового оракула, то симетрична криптографія все ж можлива. Іноді такі моделі справді використовуються для доказу безпеки певних криптографічних конструкцій (наприклад, хеш-функцій або блокових шифрів), а методи цілком інформаційно-теоретичні.

• Інформаційно-теоретичні прийоми в криптографії також часто виступають як проміжний інструмент в теоретично-теоретичних результатах, але я думаю, що це виходить за межі питання. (Дивіться роботу Маурера про випадкові системи та про посилення нерозрізнення як приклад цього типу робіт.)

Деякі дослідницькі групи в Європі проводили цю лінію досліджень; Більш конкретно, через мій інтерес до теорії інформації я зіткнувся з роботою Уелі Маурера та його школи, яка є суттєвою з чисто теоретичної теоретичної точки зору (яка мені більше знайома), а також пропонує деякі практичні підходи до інформації теоретична безпека.

Що стосується вищезазначеного напряму роботи, деякі місця, які ви можете розглянути, - це кандидатська дисертація Крістіана Качіна, а також Ренато Реннера (більш квантовий).

Звичайно, існує зовсім інший підхід із ключовими словами, включаючи BB84, Preskill-Shor, Artur Ekert тощо.

Сказане, звичайно, лише відображає мій обмежений досвід, і, безумовно, є ще багато підходів та цікавих напрямків роботи.