Upload
alida
View
69
Download
0
Embed Size (px)
DESCRIPTION
Matematyczne podstawy kryptografii. Stefan Dziembowski. Instytut Informatyki, Uniwersytet Warszawski. Plan. Podstawowe pojęcia kryptograficzne. Matematyczna definicja bezpieczeństwa. Kierunki rozwoju kryptografii. Początki kryptografii : szyfrowanie tekstów. (Juliusz Cezar I w. p.n.e.). - PowerPoint PPT Presentation
Citation preview
Matematyczne podstawy kryptografii
Stefan Dziembowski
Instytut Informatyki,
Uniwersytet
Warszawski
2
S. Dziembowski "Matematyczne podstawy kryptografii"
Plan
1. Podstawowe pojęcia kryptograficzne.
2. Matematyczna definicja bezpieczeństwa.
3. Kierunki rozwoju kryptografii.
3
S. Dziembowski "Matematyczne podstawy kryptografii"
Cel kryptografii.
Tradycyjnym celem kryptografii jest umożliwienie bezpiecznego przesyłania danych.
Początki kryptografii: szyfrowanie tekstów.
(Juliusz Cezar I w. p.n.e.)
Obecnie: także szyfrowanie dźwięków i obrazów.
Wszystkie dane będziemy reprezentować za pomocą ciągów bitów.
4
S. Dziembowski "Matematyczne podstawy kryptografii"
Cel: bezpieczna komunikacja
AlicjaBob
Ewa(przeciwnik Alicji i Boba)
5
S. Dziembowski "Matematyczne podstawy kryptografii"
Intuicja: bezpieczne koperty
AlicjaBob
Ewa
6
S. Dziembowski "Matematyczne podstawy kryptografii"
Co to jest szyfr
algorytm
szyfrowania
S
algorytm
odszyfrowywania
D
wiadomość M
klucz K klucz K
wiadomość M=D(K,C)
szyfrogram
C = S(K,M)
7
S. Dziembowski "Matematyczne podstawy kryptografii"
Scenariusz
1. Alicja i Bob ustalają szyfr (S,D).
2. Alicja i Bob ustalają tajny klucz.
3. Alicja wybiera wiadomość M, oblicza C=S(K,M), wysyła C do Boba.
4. Bob oblicza D(K,C).
5. Ewa otrzymuje C
8
S. Dziembowski "Matematyczne podstawy kryptografii"
Wymagania wobec szyfru
Oczywiste: Algorytmy S i D powinny być wydajne. Dla dowolnych M i K musi zachodzić:
D(K,S(K,M)) = M.
szyfr powinien być bezpieczny.
Poza tym:
9
S. Dziembowski "Matematyczne podstawy kryptografii"
Jak zdefiniować bezpieczeństwo?
Tym pytaniem będziemy się zajmować
10
S. Dziembowski "Matematyczne podstawy kryptografii"
Podstawowa zasada
Zasada Kerckhoffsa:
Jedyna rzecz której Ewa nie zna to klucz K
Zakładamy jak najbardziej pesymistyczny scenariusz.
Szyfr (S,D) musi być bezpieczny nawet jeśli Ewa zna algorytmy S i D.
Auguste Kerckhoffs
1883
11
S. Dziembowski "Matematyczne podstawy kryptografii"
Podsumujmy:
Ewa na podstawie
szyfru (S,D)kryptogramu C
powinna nie mieć żadnej informacji o wiadomości M
(oprócz, ewentualnie, jej długości).
Pytanie dodatkowe: co z kluczem?
12
S. Dziembowski "Matematyczne podstawy kryptografii"
Matematyczny model Ewy
Ewę modelujemy jako program
komputerowy.
Dowolny program?
Nie: Z reguły ograniczamy czas
działania programu
(dokładniej: liczbę operacji).
13
S. Dziembowski "Matematyczne podstawy kryptografii"
Co to znaczy brak informacji ?
Pierwszy (zły) pomysł: Szyfr jest bezpieczny jeśli:
Ewa nie potrafi zgadnąć
na podstawie szyfrogramu
wiadomości M
C=S(K,M)
14
S. Dziembowski "Matematyczne podstawy kryptografii"
Dokładniej, rozważamy taką grę:
1. Alicja wybiera losowo
wiadomość M, szyfruje
i wysyła Ewie.
C=S(K,M)
2. Ewa musi zgadnąć
wiadomość M.
(Zauważmy: zniknął Bob.)
15
S. Dziembowski "Matematyczne podstawy kryptografii"
Problem(1)
Problem (1): Ewa zawsze ma niezerowe szanse zgadnięcia wiadomości M (albo klucza K).
Morał: szyfr jest OK nawet jeśli Ewa ma minimalne szanse zgadnięcia M.
16
S. Dziembowski "Matematyczne podstawy kryptografii"
To rodzi kolejny problem
Załóżmy, że Ewa potrafi zgadnąć pierwszy bit
wiadomości M (a pozostałych 10000 nie potrafi).
Wtedy: Ewa ma minimalne szanse zgadnięcia M.
Ale: czy wiadomość jest bezpieczna?
A jeśli Ewa potrafi zgadnąć 15 pierwszych bitów
(np. z numerem PIN)?
17
S. Dziembowski "Matematyczne podstawy kryptografii"
Kolejny pomysł:
Wymagajmy, by Ewa nie mogła zgadnąć żadnego
bitu w wiadomości M.
A co jeśli Ewa potrafi zgadnąć wartość jakiejś
funkcji f(M)? Np. funkcja f może podawać liczbę
bitów „1” w wiadomości M.
Wtedy: jeśli Ewa zawczasu znała całą wiadomość
M oprócz jednego bitu, to potrafi obliczyć całą
wiadomość M.
18
S. Dziembowski "Matematyczne podstawy kryptografii"
Dochodzimy do kolejnego problemu:
W praktyce Ewa z reguły ma zawczasu
jakąś informację o wiadomości M.
Np.: Ewa wie, że wiadomość jest napisana
w języku polskim.
Albo: Ewa wie, że w grę wchodzą tylko dwie
wiadomości (np.: „kupuj” albo „sprzedawaj”).
19
S. Dziembowski "Matematyczne podstawy kryptografii"
Nowa gra
1. Ewa wybiera dwie
wiadomości M i N
i wysyła je Alicji2. Alicja wybiera
losowo M albo N,
szyfruje i wysyła Ewie.
M,N
C
3. Ewa musi zgadnąć czy
otrzymała szyfrogram wiadomości
M czy N.
20
S. Dziembowski "Matematyczne podstawy kryptografii"
Definicja bezpieczeństwa
Będziemy mówić, że szyfr jest
(t,)-bezpieczny jeśli:
nie potrafi zgadnąć czy Alicja wybrała M, czy N
żadna Ewa dysponująca czasem t
z prawdopodobieństwem większym niż 0.5 +
21
S. Dziembowski "Matematyczne podstawy kryptografii"
Przykład
2. Alicja wybiera
losowo M albo N,
szyfruje i wysyła Ewie.
1. Ewa wybiera dwie
wiadomości M i N
i wysyła je Alicji
M,N
C3. Ewa musi zgadnąć
czy otrzymała szyfrogram wiadomości M czy N.
Przypomnijmy zasady gry:
Fakt: Jeśli:
Ewa potrafi wygrać w tej grze
Ewa potrafi obliczyć pierwszy bit wiadomości na podstawie szyfrogramu
to:
22
S. Dziembowski "Matematyczne podstawy kryptografii"
Idealny szyfr
Doskonały szyfr powinien być
(,0)- bezpieczny.
Taki szyfr istnieje, jest to:
szyfr Vernama.
Problem: w szyfrze Vernama klucz musi być tej samej długości co wiadomość.
Gilbert Vernam
1917
23
S. Dziembowski "Matematyczne podstawy kryptografii"
Problemy z szyfrem Vernama
Co gorsza w szyfrze Vernama nie można używać tego samego klucza wielokrotnie.
Nieprzestrzeganie tej zasady przez KBG w latach czterdziestych pozwoliło Amerykanom zdemaskować radzieckich szpiegów.
Sprawa
Rosenbergów
(1951)
24
S. Dziembowski "Matematyczne podstawy kryptografii"
Twierdzenie Shannona
Wyjątek: korespondencja dyplomatyczna i
i wojskowa.
Claude Shannon (1948)
W każdym doskonałym szyfrze klucz nie może być krótszy niż wiadomość.
Zatem w większości przypadków takie szyfry są niepraktyczne.
25
S. Dziembowski "Matematyczne podstawy kryptografii"
Szyfry stosowane w praktyce
W większości zastosowań wystarczy (t,)-bezpieczeństwo, dla jakichś „rozsądnych” wartości t i .
(np.: t=100000000000 i =0.0000001)
Powszechnie uważa się, że popularne szyfry (RSA, DES, AES, itp.) należą do tej klasy.
26
S. Dziembowski "Matematyczne podstawy kryptografii"
Ryzyko
Nie istnieją praktycznie żadne pełne dowody bezpieczeństwa szyfrów stosowanych w praktyce.
Zatem jest możliwe, że jedno genialne odkrycie spowoduje, że wszystkie te szyfry zostaną złamane! (może już są złamane...)
Takim odkryciem może być udowodnienie hipotezy „P=NP”.
27
S. Dziembowski "Matematyczne podstawy kryptografii"
Kierunek badań (dla ambitnych)
Cel: Dowodzenie bezpieczeństwa przy możliwie najsłabszych założeniach.
W niektórych przypadkach bezpieczeństwa da się dowieść zakładając prawdziwość pewnych nieudowodnionych hipotez.
(im mniej takich założeń tym lepiej)
28
S. Dziembowski "Matematyczne podstawy kryptografii"
Przykład
można wydajnie rozkładać duże liczby na czynniki pierwsze
Wiemy, że jeśli
to
popularny szyfr RSA nie jest bezpieczny
Problem otwarty: czy zachodzi implikacja odwrotna?
29
S. Dziembowski "Matematyczne podstawy kryptografii"
Czy znalezienie dowodu bezpieczeństwa zakończy badania?
Niekoniecznie
Zawsze pozostaje pytanie o zgodność modelu z rzeczywistością.
Np. komputery kwantowe...
„Ostateczna” definicja bezpieczeństwa musi brać pod uwagę prawa fizyki...
30
S. Dziembowski "Matematyczne podstawy kryptografii"
Wniosek
Kryptografia dopiero raczkuje. Istnieje ogromna potrzeba dowodów bezpieczeństwa.
Aby te dowody powstały potrzebne jest najprawdopodobniej stworzenie zupełnie nowych metod (obecne kompletnie zawodzą).
31
S. Dziembowski "Matematyczne podstawy kryptografii"
Adres internetowy
Slajdy z tego referatu są dostępne na mojej stronie internetowej:
http://mimuw.edu.pl/~std