Kriptografi tanpa asumsi - mencari gambaran umum

25

Misalkan dan algoritma linear-waktu yang cepat untuk SAT muncul besok. Tiba-tiba RSA tidak aman, sebagian besar sistem komunikasi modern kita rusak, dan kita perlu mempertimbangkan kembali cara menjaga rahasia satu sama lain.P=NP

Pertanyaan: Apakah ada referensi tunggal yang baik (atau daftar pendek) untuk mendapatkan gambaran besar tentang apa yang mungkin dilakukan di crypto (dan dalam bidang sekutu "keamanan") tanpa asumsi yang tidak dapat dipraktikkan? Ini bisa menyelamatkan peradaban suatu hari, dan juga menyenangkan untuk membaca sementara.

Diskusi: Sebagian besar tugas kriptografi yang sekarang kita pelajari (OWFs, PRGs, PKE) terbukti mustahil di dunia (dunia yang dijuluki "Algorithmica" dalam esai berpengaruh oleh Impagliazzo), tetapi beberapa hal tetap mungkin: komunikasi dengan a satu kali pad ; pembagian rahasia yang didistribusikan ; pengambilan info pribadi ; dan beberapa hal bagus lainnya. (Jenis mekanisme fisik tertentu seperti kotak yang dikunci , perangkat yang menerapkan transfer yang tidak sadar , dan keadaan kuantum juga bisa berguna. Tentu saja selalu ada semacam asumsi fisik tentang siapa yang dapat melihat informasi apa.)P=NP

Seseorang dapat membedakan antara keamanan informasi-teoretis (yang bekerja melawan musuh yang tidak terikat secara komputasi) dan keamanan "tanpa syarat" (yang mungkin memerlukan musuh yang terikat, tetapi masih menunjukkan keamanan tanpa asumsi yang tidak terbukti). Saya paling tertarik pada kasus info-theoretic.

Sebagai permulaan, berikut ini adalah satu bibliografi keamanan informasi-teoretis (yang, untuk tujuan saya, panjang dan tidak terkendali).

Andy Drucker
sumber
Pertanyaan yang bagus, ini sebenarnya bukan jawaban, tetapi mungkin menarik. Alfred Menezes dan Neal Koblitz memiliki serangkaian makalah "Another Look" yang bagus di mana mereka mengajukan beberapa pertanyaan yang serupa dengan pertanyaan Anda, tetapi juga masuk ke seluruh arah "model keamanan". Saya membahasnya secara singkat dalam jawaban ini , tetapi saya tidak yakin apakah ini terlalu diterapkan untuk suatu pendekatan.
Artem Kaznatcheev
3
Saya menduga bahwa seseorang dapat menggunakan algoritma SAT seperti itu sendiri untuk menemukan alternatif untuk PKC saat ini dan sistem yang aman tanpa syarat.
T ....
Perhatikan bahwa RSA bukan NP-Lengkap, sehingga membutuhkan P = NP untuk faktor mungkin berlebihan.
user834
sebagian besar dari engsel kripto modern pada asumsi kedegilan tidak untuk penyederhanaan / kenyamanan tetapi karena tidak ada hasil yang lebih baik / batas dibuktikan tersedia dari teori kompleksitas (esp rata kompleksitas kasus) ... lihat juga crypto.se
vzn
3
Berikut ini adalah survei yang dilakukan oleh Ueli Maurer yang, meskipun sedikit tanggal, cukup informatif: ftp.inf.ethz.ch/pub/crypto/publications/Maurer99.pdf

Jawaban:

16

Frasa kunci yang mungkin Anda cari adalah "informasi-teoritik kriptografi" dan "kriptografi kuantum". Mencari literatur tentang topik-topik ini akan menghasilkan banyak pekerjaan yang Anda cari. Beberapa contoh sorotan di bawah ini:

  • Untuk kerahasiaan: papan sekali pakai, saluran penyadapan Wyner, berbagi rahasia, pertukaran kunci kuantum, dll.

  • Untuk integritas dan otentikasi: fungsi hash universal.

  • Untuk anonimitas: komunikasi anonim (mis., Jaring DC, skema berbasis bawang merah, jaringan p2p berdasarkan percampuran acak jalan cepat), protokol pembatas jarak.

  • Untuk keamanan yang didasarkan pada asumsi fisik: PUF (fungsi yang tidak dapat diklasifikasi secara fisik), kode integritas (Capkun et al.), Kriptografi kuantum, keamanan menggunakan TPM atau perangkat keras yang mengutak-atik.

Ada banyak makalah tentang topik-topik itu; terlalu banyak untuk merangkum semua hasil dalam literatur.

DW
sumber
Terima kasih DW, saya tahu terlalu sulit untuk meringkas jawaban; Saya berharap menemukan buku atau survei yang bermanfaat.
Andy Drucker
@AndyDrucker, rekomendasi saya adalah untuk membaca makalah seminal atau state-of-the-art pada topik yang menarik bagi Anda. Saya tidak yakin Anda akan menemukan buku yang mencakup semua pekerjaan di bidang ini (beberapa di antaranya telah terjadi dalam 5-10 tahun terakhir). Sekalipun Anda beruntung dan menemukan beberapa buku, buku itu akan mulai tertinggal di belakang literatur penelitian terbaru pada saat buku itu muncul di rak buku.
DW
2
Saya bahkan tidak bercita-cita untuk menjadi yang terdepan. Tidak ada buku teks yang benar-benar terkini untuk area TCS mana pun; namun orang masih dapat mengambil buku Goldreich dan mendapatkan berorientasi pada hasil mendasar dan konsep crypto berbasis kompleksitas. Saya bertanya-tanya apakah ada hal serupa yang muncul untuk sisi info-teori.
Andy Drucker
4

Ini adalah pertanyaan yang cukup rumit, karena kami benar-benar tidak memiliki tinjauan yang baik tentang area tersebut. Sebagian ini disebabkan oleh fakta-teori informasi dan komunitas kripto telah bekerja pada topik yang sama tanpa benar-benar cukup berinteraksi satu sama lain. Banyak poin bagus telah diberikan di atas. Saya hanya ingin menambahkan beberapa pengamatan tambahan:

  • Kami telah memiliki sejumlah besar pekerjaan yang berurusan dengan masalah perjanjian kunci-rahasia (dan komunikasi aman) dengan pengaturan yang diberikan. Di sini, pengaturan berarti misalnya bahwa pihak-pihak dalam sistem (katakanlah Alice, Bob, dan Hawa musuh) berbagi beberapa informasi berkorelasi yang berasal dari distribusi probabilitas tripartit. Pengaturan alternatif dapat terdiri dari saluran bising (mis., Alice dapat mengirim informasi ke Bob dan Hawa melalui saluran bising). Selain itu, Alice dan Bob terhubung melalui saluran komunikasi (yang mungkin atau mungkin tidak diautentikasi). Lini kerja ini dimulai dengan Aaron Wyner di tahun 70-an, yang memperkenalkan model saluran Wiretap, dan selanjutnya dibersihkan oleh Maurer dan yang lainnya di tahun 90-an. Juga, banyak teknik di bidang ini (amplifikasi privasi, rekonsiliasi informasi) akhirnya digunakan dalam pengaturan Quantum Key-Distribution (QKD). Sejumlah pekerjaan sedang dilakukan di sini bahkan sampai saat ini, misalnya di bidang terkait seperti ekstraktor yang tidak dapat ditempa, dll. Model penyimpanan terikat juga merupakan pengaturan yang berbeda dari yang di atas, tetapi menggunakan teknik yang serupa dan memiliki kesamaan tujuan.

  • Di luar sekadar berbagi rahasia, Anda akan menemukan banyak karya tentang komputasi multi-partai yang aman secara informasi (MPC). Secara khusus, garis pekerjaan yang diprakarsai oleh protokol BGW sepenuhnya informasi teoritis.

  • Juga, saya tidak yakin sejauh mana ruang lingkup pertanyaan: Jika misalnya P = NP memang berlaku, tetapi kita entah bagaimana dapat membenarkan keberadaan oracle acak di langit, maka kriptografi simetris masih dimungkinkan. Kadang-kadang, model semacam itu memang digunakan untuk membuktikan keamanan konstruksi kriptografi tertentu (seperti fungsi hash atau blok cipher), dan tekniknya sepenuhnya informasi-teoretis.

  • Teknik informasi-teori dalam kriptografi juga sering muncul sebagai alat perantara dalam kompleksitas-teori hasil, tapi saya pikir ini di luar ruang lingkup pertanyaan. (Lihat karya Maurer pada sistem acak dan pada amplifikasi indistinguishability sebagai contoh dari jenis pekerjaan ini.)

Stefano Tessaro
sumber
"Kami entah bagaimana bisa membenarkan kehadiran oracle acak di langit" apa yang sebenarnya Anda bicarakan di sini? Bagaimana kunci crypt 'publik' simetris dimungkinkan di sini?
T ....
1
@ JA Saya percaya maksudnya adalah model oracle acak Bellare dan Rogaway, lihat misalnya cseweb.ucsd.edu/~mihir/papers/ro.html . Model ini heuristik, sering kali berguna, tetapi ada alasan bagus untuk bersikap skeptis: arxiv.org/abs/cs/0010019
Sasho Nikolov
ic .. apa yang sebenarnya terjadi di sini? apakah Anda memiliki ide pada tingkat yang nyata? Semua skema kunci teoretis simetris info yang saya lihat didasarkan pada penggalian informasi umum dari yang berkorelasi dan karenanya mungkin tidak dapat dibuat menjadi versi kunci publik. Apakah ada ide mendasar di sini yang memungkinkan solusi kripto kunci publik yang layak yang info secara teoritis aman?
T ....
2
Biarkan saya menguraikan: Dalam model oracle acak, di mana semua pihak memiliki akses ke RO oracle acak, pihak jujur ​​yang memiliki kunci rahasia SK dapat mengenkripsi pesan M dengan aman sebagai (R, M + RO (SK || R)), di mana R adalah keacakan enkripsi (dan baru dihasilkan pada setiap enkripsi), + menunjukkan bit-wise xor (di sini diasumsikan bahwa panjang output RO sama dengan panjang pesan). Keamanan skema ini hanya bergantung pada random-oracle yang acak. Sebaliknya, diketahui oleh karya Impagliazzo dan Rudich bahwa enkripsi kunci publik tidak dapat dicapai dalam model acak-oracle.
Stefano Tessaro
3

Beberapa kelompok penelitian di Eropa telah mengejar jalur penelitian ini; lebih khusus, karena minat saya pada teori informasi saya telah berlari ke dalam karya Ueli Maurer dan sekolahnya, yang keduanya signifikan dari sudut pandang teori informasi murni (yang saya lebih akrab dengan) dan juga menawarkan beberapa pendekatan praktis untuk informasi keamanan teoretis.

Terkait dengan pekerjaan di atas, beberapa tempat yang mungkin ingin Anda pertimbangkan adalah tesis PhD Christian Cachin dan juga Renato Renner (lebih banyak kuantum).

Tentu saja, ada pendekatan yang berbeda dengan kata kunci termasuk BB84, Preskill-Shor, Artur Ekert, dll.

Hal di atas tentu saja hanya mencerminkan pengalaman saya yang terbatas, dan tentu saja ada lebih banyak pendekatan dan garis pekerjaan yang menarik.

Mohammad Bavarian
sumber