Crittografia senza ipotesi: ricerca di una panoramica


25

Supponiamo che e un algoritmo a tempo lineare veloce per SAT compaiano domani. All'improvviso RSA è insicuro, gran parte del nostro moderno sistema di comunicazione si rompe e dobbiamo riconsiderare come mantenere segreti gli uni dagli altri.P=NP

Domanda: esiste un buon riferimento singolo (o un breve elenco) per ottenere una visione d'insieme di ciò che è possibile in cripto (e nel campo alleato della "sicurezza") senza ipotesi di intrattabilità? Questo potrebbe salvare la civiltà un giorno e sarebbe anche bello esaminare nel frattempo.

Discussione: la maggior parte dei compiti crittografici che ora studiamo (OWF, PRG, PKE) sono dimostrabili impossibili nel mondo (un mondo soprannominato "Algorithmica" in un saggio influente di Impagliazzo), ma alcune cose rimangono possibili: la comunicazione con un pad una tantum ; condivisione segreta distribuita ; recupero di informazioni private ; e alcune altre cose carine. (Alcuni tipi di meccanismi fisici come scatole bloccate , dispositivi che implementano il trasferimento ignaro e stati quantici possono anche tornare utili. Naturalmente c'è sempre qualche tipo di ipotesi fisica su chi può vedere quali informazioni.)P=NP

Si può distinguere tra sicurezza teorica delle informazioni (che lavora contro un avversario non limitato dal punto di vista computazionale) e sicurezza "incondizionata" (che può richiedere un avversario limitato, ma mostra ancora sicurezza senza ipotesi non dimostrate). Sono molto interessato al caso teorico delle informazioni.

Per cominciare, ecco una bibliografia della sicurezza teorica dell'informazione (che, per i miei scopi, è ingestibilmente lunga e disparata).


Bella domanda, questa non è davvero una risposta, ma potrebbe essere di interesse. Alfred Menezes e Neal Koblitz hanno una bella serie di articoli "Another Look" in cui fanno alcune domande simili alle tue, ma vanno anche nella direzione di "modelli di sicurezza". Ne ho discusso brevemente in questa risposta , ma non sono sicuro che questo approccio sia troppo applicato.
Artem Kaznatcheev

3
Sospetterei che si possa usare un tale algoritmo SAT per trovare alternative agli attuali PKC e sistemi incondizionatamente sicuri.
T .... il

Si noti che RSA non è NP-completo, quindi richiedere P = NP al fattore potrebbe essere eccessivo.
user834

gran parte delle moderne criptovalute
vzn

3
Ecco un sondaggio da Ueli Maurer, che, anche se un po 'datato, è abbastanza informativo: ftp.inf.ethz.ch/pub/crypto/publications/Maurer99.pdf

Risposte:


16

Le frasi chiave che probabilmente stai cercando sono "crittografia teorica dell'informazione" e "crittografia quantistica". La ricerca della letteratura su questi argomenti porterà a un sacco di lavoro del tipo che stai cercando. Alcuni esempi evidenziano di seguito:

  • Per riservatezza: il pad una tantum, il canale di intercettazioni telefoniche Wyner, la condivisione segreta, lo scambio di chiavi quantistiche, ecc.

  • Per integrità e autenticazione: funzioni hash universali.

  • Per l'anonimato: comunicazione anonima (ad es. Reti DC, schemi a base di cipolla, reti p2p basate sulla miscelazione rapida di percorsi casuali), protocolli di limitazione della distanza.

  • Per la sicurezza basata su presupposti fisici: PUF (funzioni fisicamente non clonabili), codici di integrità (Capkun et al.), Crittografia quantistica, sicurezza mediante TPM o hardware a prova di manomissione.

Ci sono molti articoli su questi argomenti; troppi per riassumere tutti i risultati in letteratura.


Grazie DW, so che è troppo terreno per riassumere in una risposta; Spero di trovare libri o sondaggi utili.
Andy Drucker,

@AndyDrucker, la mia raccomandazione sarebbe quella di leggere i seminari o articoli all'avanguardia sugli argomenti che ti interessano. Non sono sicuro che troverai un libro che copre tutto il lavoro in quest'area (alcuni dei quali sono accaduti negli ultimi 5-10 anni). Anche se sei fortunato e scopri qualche libro, comincerà a rimanere indietro rispetto all'ultima letteratura di ricerca quando apparirà sugli scaffali dei libri.
DW

2
Non aspiro nemmeno allo stato dell'arte. Non esiste un libro di testo veramente aggiornato per nessuna area di TCS; tuttavia è ancora possibile raccogliere i libri di Goldreich e orientarsi verso i risultati e i concetti fondamentali della crittografia basata sulla complessità. Mi chiesi se fosse comparso qualcosa di simile per il lato teorico dell'informazione.
Andy Drucker,

4

Questa è una domanda abbastanza complessa, dato che in realtà non abbiamo una buona panoramica dell'area. In parte ciò è dovuto al fatto che la teoria dell'informazione e la comunità crittografica hanno lavorato su argomenti simili senza interagire abbastanza tra loro. Molti punti positivi sono stati dati sopra. Vorrei solo aggiungere alcune osservazioni extra:

  • Abbiamo avuto un gran numero di lavori che si occupano del problema dell'accordo di chiave segreta (e della comunicazione sicura) con una determinata configurazione. Qui, una configurazione significa, ad esempio, che le parti nel sistema (ad esempio Alice, Bob e l'avversario Eve) condividono alcune informazioni correlate provenienti da una distribuzione di probabilità tripartita. Una configurazione alternativa potrebbe consistere in canali rumorosi (ad esempio, Alice può inviare informazioni a Bob ed Eva attraverso canali rumorosi). Inoltre, Alice e Bob sono collegati tramite un canale di comunicazione (che può essere autenticato o meno). Questa linea di lavoro iniziò con Aaron Wyner negli anni '70, che introdusse il modello di canale Wiretap, e fu ulteriormente ripulito da Maurer e altri negli anni '90. Inoltre, molte tecniche in questo settore (amplificazione della privacy, la riconciliazione delle informazioni) è stata utilizzata nell'impostazione QKD (Quantum Key-Distribution). Fino ad oggi qui viene svolto un discreto lavoro, ad esempio in settori correlati come estrattori non malleabili, ecc. Anche il modello di stoccaggio limitato è un'impostazione diversa da quella precedente, ma utilizza tecniche simili e ha caratteristiche simili obiettivi.

  • Oltre alla condivisione segreta, troverai una vasta gamma di lavori sul calcolo multipartitico (MPC) teoricamente sicuro. In particolare, la linea di lavoro avviata dal protocollo BGW è completamente teorica dell'informazione.

  • Inoltre, non sono sicuro di quanto si estenda la portata della domanda: se per esempio P = NP vale davvero, ma possiamo in qualche modo giustificare la presenza di un oracolo casuale nel cielo, allora la crittografia simmetrica è ancora possibile. A volte, tali modelli sono effettivamente utilizzati per dimostrare la sicurezza di alcune costruzioni crittografiche (come funzioni hash o cifrature a blocchi) e le tecniche sono completamente teoriche.

  • Anche le tecniche di teoria dell'informazione nella crittografia spesso emergono come uno strumento intermedio nei risultati teorici della complessità, ma penso che questo esuli dall'ambito della questione. (Vedi il lavoro di Maurer sui sistemi casuali e sull'amplificazione dell'indistinguibilità come esempio di questo tipo di lavoro.)


"possiamo in qualche modo giustificare la presenza di un oracolo casuale nel cielo" di cosa stai parlando esattamente qui? Come è possibile la cripta simmetrica della chiave "pubblica" qui?
T .... il

1
@JA Credo che intenda il modello di oracolo casuale di Bellare e Rogaway, vedi ad esempio cseweb.ucsd.edu/~mihir/papers/ro.html . Questo modello è euristico, spesso utile, ma ci sono buoni motivi per essere scettici: arxiv.org/abs/cs/0010019
Nikolov,

ic .. cosa succede esattamente qui? hai un'idea a livello concreto? Tutti gli schemi teorici simmetrici di chiave che ho visto sono basati sull'estrazione di informazioni comuni da quelle correlate e quindi probabilmente non possono essere trasformati in una versione di chiave pubblica. C'è un'idea fondamentale qui che consente una soluzione crittografica di chiave pubblica fattibile che sia teoricamente sicura?
T .... il

2
Consentitemi di elaborare: nel modello di oracolo casuale, in cui tutte le parti hanno accesso a un RO di oracolo casuale, le parti oneste in possesso di una chiave segreta SK possono crittografare un messaggio M in modo sicuro come (R, M + RO (SK || R)), dove R è la casualità della crittografia (ed è appena generata su ogni crittografia), + indica xor bit-saggio (qui si assume che la lunghezza dell'output di RO sia uguale alla lunghezza del messaggio). La sicurezza di questo schema si basa solo sul fatto che l'oracolo casuale sia casuale. Al contrario, è noto dall'opera di Impagliazzo e Rudich che la crittografia a chiave pubblica non è realizzabile nel modello a caso casuale.
Stefano Tessaro,

3

Alcuni gruppi di ricerca in Europa hanno perseguito questa linea di ricerca; più specificamente, a causa del mio interesse per la teoria dell'informazione, mi sono imbattuto nel lavoro di Ueli Maurer e della sua scuola, che è significativo sia dal punto di vista puramente teorico dell'informazione (che ho più familiarità), sia offre alcuni approcci pratici all'informazione sicurezza teorica.

Relativamente alla linea di lavoro sopra citata, alcuni posti che potresti prendere in considerazione sono la tesi di dottorato di Christian Cachin e anche Renato Renner (più quantistico).

Naturalmente, esiste un approccio completamente diverso con parole chiave tra cui BB84, Preskill-Shor, Artur Ekert, ecc.

Quanto sopra ovviamente riflette solo la mia esperienza limitata, e sicuramente ci sono molti più approcci e linee di lavoro interessanti.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.