Теоретико-информационная безопасность

Теоретико-информационная безопасность - это криптосистема, безопасность которой определяется исключительно из теории информации ; система не может быть взломана, даже если злоумышленник имеет неограниченные вычислительные мощности. Криптосистема считается криптоаналитически небезопасной, если злоумышленник не имеет информации для взлома шифрования.

• 1 Обзор
  • 1.1 Уровни безопасности
  • 1.2 Безусловная безопасность
• 2 Шифрование на физическом уровне
• 3 Соглашение о секретном ключе
• 4 См. Также
• 5 Ссылки

Эффективность протокола шифрования с теоретико-информационной безопасностью не зависит от недоказанных предположений о вычислительной сложности. Такой протокол неуязвим для будущих разработок в области вычислительной мощности, таких как квантовые вычисления. Примером теоретически защищенной криптосистемы является одноразовый блокнот . Концепция теоретически безопасной коммуникации была введена в 1949 году американским математиком Клодом Шенноном, изобретателем теории информации, который использовал ее, чтобы доказать, что система одноразовых блокнотов была безопасной.. Теоретически безопасные криптосистемы использовались для наиболее конфиденциальных правительственных коммуникаций, таких как дипломатические телеграммы и высокоуровневые военные коммуникации, из-за огромных усилий вражеских правительств, направленных на их взлом.

Существует множество криптографических задач, для которых теоретико-информационная безопасность является значимым и полезным требованием. Вот некоторые из них:

1. Схемы совместного использования секретов, такие как Шамир, теоретически безопасны (а также совершенно безопасны) в том смысле, что у них меньше необходимого количества долей в secret не предоставляет информации о секрете.
2. В более общем смысле, протоколы безопасных многосторонних вычислений часто имеют теоретико-информационную безопасность.
3. Получение частной информации с несколькими базами данных может быть достигнута с помощью теоретико-информационной конфиденциальности для запроса пользователя.
4. Сокращение между криптографическими примитивами или задачами часто может быть достигнуто теоретически информации. Такие сокращения важны с теоретической точки зрения, поскольку они устанавливают, что примитив $\Pi \; \{\backslash \; displaystyle\; \backslash \; Pi\}$может быть реализован, если примитив $\Pi \; \prime \; \{\backslash \; displaystyle\; \backslash \; Pi\; \text{'}\}$.
5. Симметричное шифрование может быть построено в соответствии с теоретико-информационным понятием безопасности, называемым энтропийной безопасностью, которое предполагает, что противник почти ничего не знает об отправляемом сообщении. Цель здесь - скрыть все функции открытого текста, а не всю информацию о нем.
6. Квантовая криптография в значительной степени является частью теоретико-информационной криптографии.

Уровни безопасности

Идеальная безопасность - это частный случай теоретико-информационной безопасности. Для алгоритма шифрования, если существует зашифрованный текст, который его использует, информация о открытом тексте не предоставляется без знания ключа . Если E - совершенно безопасная функция шифрования, для любого фиксированного сообщения m должен быть, для каждого зашифрованного текста c, по крайней мере, один ключ k такой, что $c\; =\; E\; k\; (m)\; \{\backslash \; displaystyle\; c\; =\; E\_\; \{k\}\; (м)\}$. Математически пусть m и c будут случайными величинами, представляющими сообщения с открытым текстом и зашифрованным текстом, соответственно; тогда у нас есть

$I\; (m;\; c)\; =\; 0,\; \{\backslash \; displaystyle\; I\; (m;\; c)\; =\; 0,\}$

где $I\; (m;\; c)\; \{\backslash \; displaystyle\; I\; (m;\; c)\}$- это взаимная информация между m и c. Другими словами, сообщение с открытым текстом не зависит от переданного зашифрованного текста, если у нас нет доступа к ключу. Было доказано, что любой шифр с идеальным свойством секретности должен использовать ключи с теми же требованиями, что и ключи одноразового блокнота.

В криптосистеме часто происходит утечка некоторой информации, но, тем не менее, даже сохраняются свои свойства безопасности. против противника, который имеет неограниченные вычислительные ресурсы. Такая криптосистема будет иметь теоретико-информационную, но не идеальную защиту. Точное определение безопасности будет зависеть от рассматриваемой криптосистемы, но обычно определяется как ограниченное количество утечек битов:

$I\; (m;\; c)\; \le \; \Delta .\; \{\backslash \; displaystyle\; I\; (m;\; c)\; \backslash \; leq\; \backslash \; Delta.\}$

Здесь $\Delta \; \{\backslash \; displaystyle\; \backslash \; Delta\}$должно быть меньше энтропии (количества битов информации) m, иначе оценка тривиальна.

Безусловная безопасность

Термин «теоретико-информационная безопасность» часто используется взаимозаменяемо с термином «безусловная безопасность». Последний термин может также относиться к системам, которые не полагаются на недоказанные предположения о вычислительной сложности. Сегодня такие системы по сути ничем не отличаются от тех, которые теоретически безопасны. Тем не менее, так быть не всегда. Однажды RSA может оказаться безопасным, поскольку он основан на утверждении, что факторинг больших чисел сложен, и, таким образом, становится безусловно безопасным, но он никогда не будет безопасным с теоретической точки зрения, потому что даже если нет эффективных алгоритмов факторинга существуют большие простые числа, но в принципе это можно сделать с неограниченной вычислительной мощностью.

Более слабое понятие безопасности, определенное Аароном Д. Винером, положило начало процветающей области исследований, известной как шифрование физического уровня. Он использует физический беспроводной канал для своей безопасности с помощью методов связи, обработки сигналов и кодирования. Безопасность: доказуемая, небьющаяся и поддающаяся количественной оценке (в битах / секундах / герцах).

Первоначальная работа Винера по шифрованию физического уровня в 1970-х годах поставила проблему Алисы – Боба – Евы, в которой Алиса хочет отправить сообщение Бобу без его декодирования Евой. Если канал от Алисы к Бобу статистически лучше, чем канал от Алисы к Еве, было показано, что безопасная связь возможна. Это интуитивно понятно, но Винер измерил секретность в терминах теории информации, определяющих секретность, которая, по сути, является скоростью, с которой Алиса может передавать секретную информацию Бобу. Вскоре после этого Имре Чисар и Кёрнер показали, что секретное общение возможно, даже если у Евы был статистически лучший канал связи с Алисой, чем у Боба. Основная идея теоретико-информационного подхода к безопасной передаче конфиденциальных сообщений (без использования ключа шифрования) законному получателю состоит в использовании присущей физической среде случайности (включая шумы и флуктуации канала из-за замирания) и использования разницы между канал к законному получателю и канал к перехватчику в интересах законного получателя. Более поздние теоретические результаты касаются определения секретности и оптимального распределения мощности в широковещательных каналах с замираниями. Есть предостережения, так как многие возможности невозможно вычислить, если не предполагается, что Алиса знает канал для Евы. Если бы это было известно, Алиса могла бы просто поставить ноль в направлении Евы. Обеспечение секретности для MIMO и нескольких сговорившихся перехватчиков - это более новая и продолжающаяся работа, и такие результаты по-прежнему делают бесполезное предположение о знании информации о состоянии канала перехватчика.

Еще одна работа менее теоретическая, поскольку пытается сравнить реализуемые схемы. Одна из схем шифрования на физическом уровне заключается в передаче искусственного шума во всех направлениях, кроме канала Боба, который в основном глушит Еву. В одной статье Неги и Гоэля подробно описывается его реализация, а Хисти и Уорнелл вычислили секретность, когда известны только статистические данные о канале Евы.

Параллельно с этой работой в сообществе теории информации ведется работа в сообществе антенн, которое называется прямой антенной модуляцией ближнего поля или направленной модуляцией. Было показано, что с помощью a передаваемая модуляция в разных направлениях может управляться независимо. Секретность может быть реализована путем затруднения декодирования модуляции в нежелательных направлениях. Передача данных направленной модуляции была экспериментально продемонстрирована с использованием фазированной решетки . Другие продемонстрировали направленную модуляцию с помощью и.

Этот тип направленной модуляции на самом деле является подмножеством схемы аддитивного искусственного шума Неги и Гоэля. Другая схема, использующая передающие антенны с реконфигурируемой диаграммой направленности для Алисы, называемая реконфигурируемым мультипликативным шумом (RMN), дополняет аддитивный искусственный шум. Они хорошо работают вместе при моделировании канала, в котором предполагается, что Алисе или Бобу ничего не известно о перехватчиках.

В различных работах, упомянутых в предыдущей части, так или иначе используется случайность, присутствующая в беспроводном канале, для передачи теоретически защищенных сообщений. И наоборот, мы могли бы проанализировать, сколько секретности можно извлечь из самой случайности в форме секретного ключа. Это цель соглашения секретного ключа.

В этом направлении работы, начатом Маурером, Алсведе и Чисаром, базовая модель системы снимает любые ограничения на схемы связи и предполагает, что легитимные пользователи могут общаться по двустороннему, общедоступному, бесшумному и канал с аутентификацией бесплатно. Впоследствии эта модель была расширена для учета нескольких пользователей и, в частности, шумного канала.

• Лемма об оставшемся хэше (усиление конфиденциальности)
• Семантическая безопасность