Bezpieczeństwo teoretyczne informacji - Information-theoretic security

Bezpieczeństwo teoretyczne informacji to bezpieczeństwo systemu kryptograficznego, które wywodzi się wyłącznie z teorii informacji ; system nie może zostać zniszczony, nawet jeśli przeciwnik ma nieograniczoną moc obliczeniową. Kryptosystem jest uważany za kryptoanalitycznie niemożliwy do złamania, jeśli przeciwnik nie ma wystarczających informacji, aby złamać szyfrowanie.

Przegląd

Skuteczność protokołu szyfrowania z bezpieczeństwem teoretycznym nie zależy od nieudowodnionych założeń dotyczących twardości obliczeniowej. Taki protokół nie jest wrażliwy na przyszłe zmiany w mocy komputerów, takie jak obliczenia kwantowe . Przykładem teoretycznie bezpiecznego kryptosystemu jest jednorazowa podkładka . Pojęcie informacji teoretycznie bezpiecznej komunikacji zostało wprowadzone w 1949 roku przez amerykańskiego matematyka Claude'a Shannona , wynalazcę teorii informacji , który wykorzystał ją do udowodnienia, że ​​system jednorazowych podkładek jest bezpieczny. Teoretycznie bezpieczne kryptosystemy informacyjne były wykorzystywane do najbardziej wrażliwej komunikacji rządowej, takiej jak kable dyplomatyczne i łączność wojskowa wysokiego szczebla, z powodu ogromnych wysiłków, jakie rządy wroga wkładają w ich złamanie.

Istnieje wiele zadań kryptograficznych, dla których teoretyczne bezpieczeństwo informacji jest znaczącym i użytecznym wymaganiem. Oto kilka z nich:

1. Schematy dzielenia się tajemnicą , takie jak Shamir, są teoretycznie bezpieczne (a także całkowicie bezpieczne), ponieważ posiadanie mniejszej niż wymagana liczby udziałów sekretu nie dostarcza informacji o sekrecie.
2. Mówiąc bardziej ogólnie, bezpieczne protokoły obliczeń wielostronnych często mają zabezpieczenia oparte na teorii informacji.
3. Wyszukiwanie informacji prywatnych za pomocą wielu baz danych można osiągnąć z teoretyczną prywatnością zapytania użytkownika.
4. Teoretycznie często można uzyskać redukcje między prymitywami lub zadaniami kryptograficznymi. Takie redukcje są ważne z teoretycznego punktu widzenia, ponieważ ustalają, że prymityw może zostać zrealizowany, jeśli można zrealizować prymityw . ${\ displaystyle \ Pi}$${\ displaystyle \ Pi '}$
5. Szyfrowanie symetryczne można skonstruować w oparciu o teoretyczno-informacyjną koncepcję bezpieczeństwa zwaną bezpieczeństwem entropicznym , która zakłada, że ​​przeciwnik prawie nic nie wie o wysyłanej wiadomości. Celem jest ukrycie wszystkich funkcji tekstu jawnego, a nie wszystkich informacji o nim.
6. Kryptografia kwantowa jest w dużej mierze częścią kryptografii opartej na teorii informacji.

Poziomy bezpieczeństwa

Doskonałe bezpieczeństwo to szczególny przypadek bezpieczeństwa teoretyczno-informacyjnego. W przypadku algorytmu szyfrowania, jeśli utworzono zaszyfrowany tekst, który go używa, żadne informacje o tekście jawnym nie są dostarczane bez znajomości klucza . Jeśli E jest całkowicie bezpieczną funkcją szyfrowania, dla każdej ustalonej wiadomości m , dla każdego szyfrogramu c musi istnieć co najmniej jeden klucz k taki, że . Matematycznie niech m i c będą zmiennymi losowymi reprezentującymi odpowiednio wiadomości w postaci tekstu jawnego i zaszyfrowanego; wtedy mamy to ${\ Displaystyle c = E_ {k} (m)}$

${\ Displaystyle I (m; c) = 0,}$

gdzie jest wzajemna informacja między m i c . Innymi słowy, wiadomość w postaci zwykłego tekstu jest niezależna od przesłanego zaszyfrowanego tekstu, jeśli nie mamy dostępu do klucza. Udowodniono, że każdy szyfr o doskonałej własności tajności musi używać kluczy o takich samych wymaganiach, jak jednorazowe klucze klawiaturowe. ${\ Displaystyle I (m; c)}$

Często zdarza się, że z kryptosystemu dochodzi do wycieku pewnych informacji, ale mimo to zachowuje swoje właściwości bezpieczeństwa nawet w przypadku przeciwnika, który ma nieograniczone zasoby obliczeniowe. Taki kryptosystem miałby teoretyczne informacje, ale nie byłby doskonały. Dokładna definicja bezpieczeństwa zależałaby od danego kryptosystemu, ale zwykle jest definiowana jako ograniczona liczba przecieków:

${\ Displaystyle I (m; c) \ równoważnik \ Delta.}$

Tutaj powinno być mniejsze niż entropia (liczba bitów informacji) m , w przeciwnym razie ograniczenie jest trywialne. ${\ displaystyle \ Delta}$

Bezwarunkowe bezpieczeństwo

Termin „bezpieczeństwo teoretyczne” jest często używany zamiennie z terminem „bezpieczeństwo bezwarunkowe”. Ten ostatni termin może również odnosić się do układów, które nie opierają się na niesprawdzonych założeniach dotyczących twardości obliczeniowej. Obecnie takie systemy są zasadniczo takie same, jak te, które są teoretycznie bezpieczne. Niemniej jednak nie zawsze musi tak być. Pewnego dnia RSA może zostać udowodnione jako bezpieczne, ponieważ opiera się na założeniu, że faktoryzacja dużych liczb jest trudna, przez co staje się bezwarunkowo bezpieczna, ale nigdy nie będzie teoretycznie bezpieczna informacyjnie, ponieważ nawet jeśli nie istnieją wydajne algorytmy do faktoryzacji dużych liczb pierwszych, mogłoby nadal odbywać się w zasadzie z nieograniczoną mocą obliczeniową.

Szyfrowanie warstwy fizycznej

Słabsze pojęcie bezpieczeństwa, zdefiniowane przez Aarona D. Wynera , ustanowiło obecnie kwitnący obszar badań znany jako szyfrowanie warstwy fizycznej. Wykorzystuje fizyczny kanał bezprzewodowy do swojego bezpieczeństwa za pomocą technik komunikacji, przetwarzania sygnałów i kodowania. Zabezpieczenie jest możliwe do udowodnienia , niezniszczalne i policzalne (w bitach / sekundę / herc).

Początkowa praca Wynera w szyfrowaniu warstwy fizycznej w latach siedemdziesiątych XX wieku stworzyła problem Alice – Bob – Eve, w którym Alice chce wysłać wiadomość do Boba bez jej dekodowania przez Eve. Jeśli kanał od Alicji do Boba jest statystycznie lepszy niż kanał od Alicji do Ewy, wykazano, że bezpieczna komunikacja jest możliwa. Jest to intuicyjne, ale Wyner mierzył tajemnicę w terminach teoretycznych informacji definiujących zdolność do zachowania tajemnicy, która jest w istocie szybkością, z jaką Alice może przekazywać tajne informacje Bobowi. Wkrótce potem Imre Csiszár i Körner wykazali, że tajna komunikacja jest możliwa, nawet jeśli Ewa miała statystycznie lepszy kanał do Alice niż Bob. Podstawową ideą teoretycznego podejścia do bezpiecznego przesyłania poufnych wiadomości (bez użycia klucza szyfrującego) do uprawnionego odbiorcy jest wykorzystanie naturalnej losowości nośnika fizycznego (w tym szumów i fluktuacji kanału spowodowanych zanikaniem) i wykorzystanie różnicy między kanał do uprawnionego odbiornika i kanał do podsłuchującego, aby skorzystać z legalnego odbiorcy. Nowsze wyniki teoretyczne dotyczą określenia pojemności poufności i optymalnej alokacji mocy w zanikających kanałach nadawczych. Istnieją zastrzeżenia, ponieważ wielu pojemności nie można obliczyć, chyba że założono, że Alicja zna kanał do Ewy. Gdyby to było znane, Alice mogłaby po prostu umieścić zero w kierunku Ewy. Możliwość zachowania tajemnicy przez MIMO i wielu podsłuchujących w zmowie to nowsza i trwająca praca, a takie wyniki nadal nie są przydatne w założeniu, że informacje o stanie kanału podsłuchującego są nadal dostępne.

Jeszcze inna praca jest mniej teoretyczna, próbując porównać możliwe do wdrożenia schematy. Jednym ze schematów szyfrowania warstwy fizycznej jest nadawanie sztucznego szumu we wszystkich kierunkach z wyjątkiem kanału Boba, który w zasadzie zagłusza Eve. W jednym artykule Negi i Goel szczegółowo opisano jego implementację, a Khisti i Wornell obliczyli zdolność do zachowania tajemnicy, gdy znane są tylko statystyki dotyczące kanału Eve.

Równolegle do tej pracy w społeczności teorii informacji jest praca w społeczności anten, którą nazwano bezpośrednią modulacją anteny bliskiego pola lub modulacją kierunkową. Wykazano, że przy użyciu macierzy pasożytniczej można niezależnie sterować przesyłaną modulacją w różnych kierunkach. Utajnienie można osiągnąć, utrudniając dekodowanie modulacji w niepożądanych kierunkach. Transmisję danych z modulacją kierunkową zademonstrowano eksperymentalnie przy użyciu macierzy fazowej . Inni zademonstrowali modulację kierunkową za pomocą przełączanych macierzy i soczewek sprzężonych fazowo .

Ten rodzaj modulacji kierunkowej jest w rzeczywistości podzbiorem schematu dodatkowego szyfrowania sztucznego szumu firmy Negi and Goel. Inny schemat wykorzystujący anteny nadawcze z możliwością rekonfiguracji wzorca dla Alice, zwany rekonfigurowalnym szumem multiplikatywnym (RMN), uzupełnia addytywny sztuczny szum. Oba te elementy dobrze ze sobą współpracują w symulacjach kanałów, w których Alice ani Bob nie mają żadnych informacji na temat podsłuchiwaczy.

Umowa dotycząca tajnego klucza

Różne prace wspomniane w poprzedniej części wykorzystują w taki czy inny sposób losowość obecną w kanale bezprzewodowym do przesyłania informacji - teoretycznie bezpiecznych wiadomości. I odwrotnie, moglibyśmy przeanalizować, ile tajemnicy można wydobyć z samej przypadkowości w postaci tajnego klucza . Taki jest cel uzgodnienia tajnego klucza .

W tej linii pracy, zapoczątkowanej przez Maurera, Ahlswede i Csiszára, podstawowy model systemu usuwa wszelkie ograniczenia w schematach komunikacyjnych i zakłada, że ​​uprawnieni użytkownicy mogą komunikować się za pośrednictwem dwukierunkowego, publicznego, bezgłośnego i uwierzytelnionego kanału bez żadnych kosztów. Model ten został następnie rozszerzony w celu uwzględnienia między innymi wielu użytkowników i hałaśliwego kanału.

Zobacz też

• Pozostały haszysz (wzmocnienie prywatności)
• Bezpieczeństwo semantyczne

Bibliografia