Matematyczne podstawy kryptografii
description
Transcript of Matematyczne podstawy kryptografii
![Page 1: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/1.jpg)
Matematyczne podstawy kryptografii
Stefan Dziembowski
Instytut Informatyki,
Uniwersytet
Warszawski
![Page 2: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/2.jpg)
2
S. Dziembowski "Matematyczne podstawy kryptografii"
Plan
1. Podstawowe pojęcia kryptograficzne.
2. Matematyczna definicja bezpieczeństwa.
3. Kierunki rozwoju kryptografii.
![Page 3: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/3.jpg)
3
S. Dziembowski "Matematyczne podstawy kryptografii"
Cel kryptografii.
Tradycyjnym celem kryptografii jest umożliwienie bezpiecznego przesyłania danych.
Początki kryptografii: szyfrowanie tekstów.
(Juliusz Cezar I w. p.n.e.)
Obecnie: także szyfrowanie dźwięków i obrazów.
Wszystkie dane będziemy reprezentować za pomocą ciągów bitów.
![Page 4: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/4.jpg)
4
S. Dziembowski "Matematyczne podstawy kryptografii"
Cel: bezpieczna komunikacja
AlicjaBob
Ewa(przeciwnik Alicji i Boba)
![Page 5: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/5.jpg)
5
S. Dziembowski "Matematyczne podstawy kryptografii"
Intuicja: bezpieczne koperty
AlicjaBob
Ewa
![Page 6: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/6.jpg)
6
S. Dziembowski "Matematyczne podstawy kryptografii"
Co to jest szyfr
algorytm
szyfrowania
S
algorytm
odszyfrowywania
D
wiadomość M
klucz K klucz K
wiadomość M=D(K,C)
szyfrogram
C = S(K,M)
![Page 7: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/7.jpg)
7
S. Dziembowski "Matematyczne podstawy kryptografii"
Scenariusz
1. Alicja i Bob ustalają szyfr (S,D).
2. Alicja i Bob ustalają tajny klucz.
3. Alicja wybiera wiadomość M, oblicza C=S(K,M), wysyła C do Boba.
4. Bob oblicza D(K,C).
5. Ewa otrzymuje C
![Page 8: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/8.jpg)
8
S. Dziembowski "Matematyczne podstawy kryptografii"
Wymagania wobec szyfru
Oczywiste: Algorytmy S i D powinny być wydajne. Dla dowolnych M i K musi zachodzić:
D(K,S(K,M)) = M.
szyfr powinien być bezpieczny.
Poza tym:
![Page 9: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/9.jpg)
9
S. Dziembowski "Matematyczne podstawy kryptografii"
Jak zdefiniować bezpieczeństwo?
Tym pytaniem będziemy się zajmować
![Page 10: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/10.jpg)
10
S. Dziembowski "Matematyczne podstawy kryptografii"
Podstawowa zasada
Zasada Kerckhoffsa:
Jedyna rzecz której Ewa nie zna to klucz K
Zakładamy jak najbardziej pesymistyczny scenariusz.
Szyfr (S,D) musi być bezpieczny nawet jeśli Ewa zna algorytmy S i D.
Auguste Kerckhoffs
1883
![Page 11: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/11.jpg)
11
S. Dziembowski "Matematyczne podstawy kryptografii"
Podsumujmy:
Ewa na podstawie
szyfru (S,D)kryptogramu C
powinna nie mieć żadnej informacji o wiadomości M
(oprócz, ewentualnie, jej długości).
Pytanie dodatkowe: co z kluczem?
![Page 12: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/12.jpg)
12
S. Dziembowski "Matematyczne podstawy kryptografii"
Matematyczny model Ewy
Ewę modelujemy jako program
komputerowy.
Dowolny program?
Nie: Z reguły ograniczamy czas
działania programu
(dokładniej: liczbę operacji).
![Page 13: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/13.jpg)
13
S. Dziembowski "Matematyczne podstawy kryptografii"
Co to znaczy brak informacji ?
Pierwszy (zły) pomysł: Szyfr jest bezpieczny jeśli:
Ewa nie potrafi zgadnąć
na podstawie szyfrogramu
wiadomości M
C=S(K,M)
![Page 14: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/14.jpg)
14
S. Dziembowski "Matematyczne podstawy kryptografii"
Dokładniej, rozważamy taką grę:
1. Alicja wybiera losowo
wiadomość M, szyfruje
i wysyła Ewie.
C=S(K,M)
2. Ewa musi zgadnąć
wiadomość M.
(Zauważmy: zniknął Bob.)
![Page 15: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/15.jpg)
15
S. Dziembowski "Matematyczne podstawy kryptografii"
Problem(1)
Problem (1): Ewa zawsze ma niezerowe szanse zgadnięcia wiadomości M (albo klucza K).
Morał: szyfr jest OK nawet jeśli Ewa ma minimalne szanse zgadnięcia M.
![Page 16: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/16.jpg)
16
S. Dziembowski "Matematyczne podstawy kryptografii"
To rodzi kolejny problem
Załóżmy, że Ewa potrafi zgadnąć pierwszy bit
wiadomości M (a pozostałych 10000 nie potrafi).
Wtedy: Ewa ma minimalne szanse zgadnięcia M.
Ale: czy wiadomość jest bezpieczna?
A jeśli Ewa potrafi zgadnąć 15 pierwszych bitów
(np. z numerem PIN)?
![Page 17: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/17.jpg)
17
S. Dziembowski "Matematyczne podstawy kryptografii"
Kolejny pomysł:
Wymagajmy, by Ewa nie mogła zgadnąć żadnego
bitu w wiadomości M.
A co jeśli Ewa potrafi zgadnąć wartość jakiejś
funkcji f(M)? Np. funkcja f może podawać liczbę
bitów „1” w wiadomości M.
Wtedy: jeśli Ewa zawczasu znała całą wiadomość
M oprócz jednego bitu, to potrafi obliczyć całą
wiadomość M.
![Page 18: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/18.jpg)
18
S. Dziembowski "Matematyczne podstawy kryptografii"
Dochodzimy do kolejnego problemu:
W praktyce Ewa z reguły ma zawczasu
jakąś informację o wiadomości M.
Np.: Ewa wie, że wiadomość jest napisana
w języku polskim.
Albo: Ewa wie, że w grę wchodzą tylko dwie
wiadomości (np.: „kupuj” albo „sprzedawaj”).
![Page 19: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/19.jpg)
19
S. Dziembowski "Matematyczne podstawy kryptografii"
Nowa gra
1. Ewa wybiera dwie
wiadomości M i N
i wysyła je Alicji2. Alicja wybiera
losowo M albo N,
szyfruje i wysyła Ewie.
M,N
C
3. Ewa musi zgadnąć czy
otrzymała szyfrogram wiadomości
M czy N.
![Page 20: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/20.jpg)
20
S. Dziembowski "Matematyczne podstawy kryptografii"
Definicja bezpieczeństwa
Będziemy mówić, że szyfr jest
(t,)-bezpieczny jeśli:
nie potrafi zgadnąć czy Alicja wybrała M, czy N
żadna Ewa dysponująca czasem t
z prawdopodobieństwem większym niż 0.5 +
![Page 21: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/21.jpg)
21
S. Dziembowski "Matematyczne podstawy kryptografii"
Przykład
2. Alicja wybiera
losowo M albo N,
szyfruje i wysyła Ewie.
1. Ewa wybiera dwie
wiadomości M i N
i wysyła je Alicji
M,N
C3. Ewa musi zgadnąć
czy otrzymała szyfrogram wiadomości M czy N.
Przypomnijmy zasady gry:
Fakt: Jeśli:
Ewa potrafi wygrać w tej grze
Ewa potrafi obliczyć pierwszy bit wiadomości na podstawie szyfrogramu
to:
![Page 22: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/22.jpg)
22
S. Dziembowski "Matematyczne podstawy kryptografii"
Idealny szyfr
Doskonały szyfr powinien być
(,0)- bezpieczny.
Taki szyfr istnieje, jest to:
szyfr Vernama.
Problem: w szyfrze Vernama klucz musi być tej samej długości co wiadomość.
Gilbert Vernam
1917
![Page 23: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/23.jpg)
23
S. Dziembowski "Matematyczne podstawy kryptografii"
Problemy z szyfrem Vernama
Co gorsza w szyfrze Vernama nie można używać tego samego klucza wielokrotnie.
Nieprzestrzeganie tej zasady przez KBG w latach czterdziestych pozwoliło Amerykanom zdemaskować radzieckich szpiegów.
Sprawa
Rosenbergów
(1951)
![Page 24: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/24.jpg)
24
S. Dziembowski "Matematyczne podstawy kryptografii"
Twierdzenie Shannona
Wyjątek: korespondencja dyplomatyczna i
i wojskowa.
Claude Shannon (1948)
W każdym doskonałym szyfrze klucz nie może być krótszy niż wiadomość.
Zatem w większości przypadków takie szyfry są niepraktyczne.
![Page 25: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/25.jpg)
25
S. Dziembowski "Matematyczne podstawy kryptografii"
Szyfry stosowane w praktyce
W większości zastosowań wystarczy (t,)-bezpieczeństwo, dla jakichś „rozsądnych” wartości t i .
(np.: t=100000000000 i =0.0000001)
Powszechnie uważa się, że popularne szyfry (RSA, DES, AES, itp.) należą do tej klasy.
![Page 26: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/26.jpg)
26
S. Dziembowski "Matematyczne podstawy kryptografii"
Ryzyko
Nie istnieją praktycznie żadne pełne dowody bezpieczeństwa szyfrów stosowanych w praktyce.
Zatem jest możliwe, że jedno genialne odkrycie spowoduje, że wszystkie te szyfry zostaną złamane! (może już są złamane...)
Takim odkryciem może być udowodnienie hipotezy „P=NP”.
![Page 27: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/27.jpg)
27
S. Dziembowski "Matematyczne podstawy kryptografii"
Kierunek badań (dla ambitnych)
Cel: Dowodzenie bezpieczeństwa przy możliwie najsłabszych założeniach.
W niektórych przypadkach bezpieczeństwa da się dowieść zakładając prawdziwość pewnych nieudowodnionych hipotez.
(im mniej takich założeń tym lepiej)
![Page 28: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/28.jpg)
28
S. Dziembowski "Matematyczne podstawy kryptografii"
Przykład
można wydajnie rozkładać duże liczby na czynniki pierwsze
Wiemy, że jeśli
to
popularny szyfr RSA nie jest bezpieczny
Problem otwarty: czy zachodzi implikacja odwrotna?
![Page 29: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/29.jpg)
29
S. Dziembowski "Matematyczne podstawy kryptografii"
Czy znalezienie dowodu bezpieczeństwa zakończy badania?
Niekoniecznie
Zawsze pozostaje pytanie o zgodność modelu z rzeczywistością.
Np. komputery kwantowe...
„Ostateczna” definicja bezpieczeństwa musi brać pod uwagę prawa fizyki...
![Page 30: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/30.jpg)
30
S. Dziembowski "Matematyczne podstawy kryptografii"
Wniosek
Kryptografia dopiero raczkuje. Istnieje ogromna potrzeba dowodów bezpieczeństwa.
Aby te dowody powstały potrzebne jest najprawdopodobniej stworzenie zupełnie nowych metod (obecne kompletnie zawodzą).
![Page 31: Matematyczne podstawy kryptografii](https://reader034.fdocument.pub/reader034/viewer/2022051117/56815907550346895dc63a29/html5/thumbnails/31.jpg)
31
S. Dziembowski "Matematyczne podstawy kryptografii"
Adres internetowy
Slajdy z tego referatu są dostępne na mojej stronie internetowej:
http://mimuw.edu.pl/~std