Matematyczne podstawy kryptografii

Matematyczne podstawy kryptografii

Stefan Dziembowski

Instytut Informatyki,

Uniwersytet

Warszawski

2

S. Dziembowski "Matematyczne podstawy kryptografii"

Plan

1. Podstawowe pojęcia kryptograficzne.

2. Matematyczna definicja bezpieczeństwa.

3. Kierunki rozwoju kryptografii.

3


Cel kryptografii.

Tradycyjnym celem kryptografii jest umożliwienie bezpiecznego przesyłania danych.

Początki kryptografii: szyfrowanie tekstów.

(Juliusz Cezar I w. p.n.e.)

Obecnie: także szyfrowanie dźwięków i obrazów.

Wszystkie dane będziemy reprezentować za pomocą ciągów bitów.

4


Cel: bezpieczna komunikacja

AlicjaBob

Ewa(przeciwnik Alicji i Boba)

5


Intuicja: bezpieczne koperty

AlicjaBob

Ewa

6


Co to jest szyfr

algorytm

szyfrowania

S

algorytm

odszyfrowywania

D

wiadomość M

klucz K klucz K

wiadomość M=D(K,C)

szyfrogram

C = S(K,M)

7


Scenariusz

1. Alicja i Bob ustalają szyfr (S,D).

2. Alicja i Bob ustalają tajny klucz.

3. Alicja wybiera wiadomość M, oblicza C=S(K,M), wysyła C do Boba.

4. Bob oblicza D(K,C).

5. Ewa otrzymuje C

8


Wymagania wobec szyfru

Oczywiste: Algorytmy S i D powinny być wydajne. Dla dowolnych M i K musi zachodzić:

D(K,S(K,M)) = M.

szyfr powinien być bezpieczny.

Poza tym:

9


Jak zdefiniować bezpieczeństwo?

Tym pytaniem będziemy się zajmować

10


Podstawowa zasada

Zasada Kerckhoffsa:

Jedyna rzecz której Ewa nie zna to klucz K

Zakładamy jak najbardziej pesymistyczny scenariusz.

Szyfr (S,D) musi być bezpieczny nawet jeśli Ewa zna algorytmy S i D.

Auguste Kerckhoffs

1883

11


Podsumujmy:

Ewa na podstawie

szyfru (S,D)kryptogramu C

powinna nie mieć żadnej informacji o wiadomości M

(oprócz, ewentualnie, jej długości).

Pytanie dodatkowe: co z kluczem?

12


Matematyczny model Ewy

Ewę modelujemy jako program

komputerowy.

Dowolny program?

Nie: Z reguły ograniczamy czas

działania programu

(dokładniej: liczbę operacji).

13


Co to znaczy brak informacji ?

Pierwszy (zły) pomysł: Szyfr jest bezpieczny jeśli:

Ewa nie potrafi zgadnąć

na podstawie szyfrogramu

wiadomości M

C=S(K,M)

14


Dokładniej, rozważamy taką grę:

1. Alicja wybiera losowo

wiadomość M, szyfruje

i wysyła Ewie.

C=S(K,M)

2. Ewa musi zgadnąć

wiadomość M.

(Zauważmy: zniknął Bob.)

15


Problem(1)

Problem (1): Ewa zawsze ma niezerowe szanse zgadnięcia wiadomości M (albo klucza K).

Morał: szyfr jest OK nawet jeśli Ewa ma minimalne szanse zgadnięcia M.

16


To rodzi kolejny problem

Załóżmy, że Ewa potrafi zgadnąć pierwszy bit

wiadomości M (a pozostałych 10000 nie potrafi).

Wtedy: Ewa ma minimalne szanse zgadnięcia M.

Ale: czy wiadomość jest bezpieczna?

A jeśli Ewa potrafi zgadnąć 15 pierwszych bitów

(np. z numerem PIN)?

17


Kolejny pomysł:

Wymagajmy, by Ewa nie mogła zgadnąć żadnego

bitu w wiadomości M.

A co jeśli Ewa potrafi zgadnąć wartość jakiejś

funkcji f(M)? Np. funkcja f może podawać liczbę

bitów „1” w wiadomości M.

Wtedy: jeśli Ewa zawczasu znała całą wiadomość

M oprócz jednego bitu, to potrafi obliczyć całą

wiadomość M.

18


Dochodzimy do kolejnego problemu:

W praktyce Ewa z reguły ma zawczasu

jakąś informację o wiadomości M.

Np.: Ewa wie, że wiadomość jest napisana

w języku polskim.

Albo: Ewa wie, że w grę wchodzą tylko dwie

wiadomości (np.: „kupuj” albo „sprzedawaj”).

19


Nowa gra

1. Ewa wybiera dwie

wiadomości M i N

i wysyła je Alicji2. Alicja wybiera

losowo M albo N,

szyfruje i wysyła Ewie.

M,N

C

3. Ewa musi zgadnąć czy

otrzymała szyfrogram wiadomości

M czy N.

20


Definicja bezpieczeństwa

Będziemy mówić, że szyfr jest

(t,)-bezpieczny jeśli:

nie potrafi zgadnąć czy Alicja wybrała M, czy N

żadna Ewa dysponująca czasem t

z prawdopodobieństwem większym niż 0.5 +

21


Przykład

2. Alicja wybiera

losowo M albo N,

szyfruje i wysyła Ewie.

1. Ewa wybiera dwie

wiadomości M i N

i wysyła je Alicji

M,N

C3. Ewa musi zgadnąć

czy otrzymała szyfrogram wiadomości M czy N.

Przypomnijmy zasady gry:

Fakt: Jeśli:

Ewa potrafi wygrać w tej grze

Ewa potrafi obliczyć pierwszy bit wiadomości na podstawie szyfrogramu

to:

22


Idealny szyfr

Doskonały szyfr powinien być

(,0)- bezpieczny.

Taki szyfr istnieje, jest to:

szyfr Vernama.

Problem: w szyfrze Vernama klucz musi być tej samej długości co wiadomość.

Gilbert Vernam

1917

23


Problemy z szyfrem Vernama

Co gorsza w szyfrze Vernama nie można używać tego samego klucza wielokrotnie.

Nieprzestrzeganie tej zasady przez KBG w latach czterdziestych pozwoliło Amerykanom zdemaskować radzieckich szpiegów.

Sprawa

Rosenbergów

(1951)

24


Twierdzenie Shannona

Wyjątek: korespondencja dyplomatyczna i

i wojskowa.

Claude Shannon (1948)

W każdym doskonałym szyfrze klucz nie może być krótszy niż wiadomość.

Zatem w większości przypadków takie szyfry są niepraktyczne.

25


Szyfry stosowane w praktyce

W większości zastosowań wystarczy (t,)-bezpieczeństwo, dla jakichś „rozsądnych” wartości t i .

(np.: t=100000000000 i =0.0000001)

Powszechnie uważa się, że popularne szyfry (RSA, DES, AES, itp.) należą do tej klasy.

26


Ryzyko

Nie istnieją praktycznie żadne pełne dowody bezpieczeństwa szyfrów stosowanych w praktyce.

Zatem jest możliwe, że jedno genialne odkrycie spowoduje, że wszystkie te szyfry zostaną złamane! (może już są złamane...)

Takim odkryciem może być udowodnienie hipotezy „P=NP”.

27


Kierunek badań (dla ambitnych)

Cel: Dowodzenie bezpieczeństwa przy możliwie najsłabszych założeniach.

W niektórych przypadkach bezpieczeństwa da się dowieść zakładając prawdziwość pewnych nieudowodnionych hipotez.

(im mniej takich założeń tym lepiej)

28


Przykład

można wydajnie rozkładać duże liczby na czynniki pierwsze

Wiemy, że jeśli

to

popularny szyfr RSA nie jest bezpieczny

Problem otwarty: czy zachodzi implikacja odwrotna?

29


Czy znalezienie dowodu bezpieczeństwa zakończy badania?

Niekoniecznie

Zawsze pozostaje pytanie o zgodność modelu z rzeczywistością.

Np. komputery kwantowe...

„Ostateczna” definicja bezpieczeństwa musi brać pod uwagę prawa fizyki...

30


Wniosek

Kryptografia dopiero raczkuje. Istnieje ogromna potrzeba dowodów bezpieczeństwa.

Aby te dowody powstały potrzebne jest najprawdopodobniej stworzenie zupełnie nowych metod (obecne kompletnie zawodzą).

31


Adres internetowy

Slajdy z tego referatu są dostępne na mojej stronie internetowej:

http://mimuw.edu.pl/~std

Documents

Matematyczne podstawy kryptografii