Информационно-теоретическая безопасность - Information-theoretic security

Теоретико-информационная безопасность - это безопасность криптосистемы, основанная исключительно на теории информации ; система не может быть взломана, даже если противник имеет неограниченные вычислительные мощности. Криптосистема считается криптоаналитически не взломанной, если у злоумышленника недостаточно информации для взлома шифрования.

Обзор

Эффективность протокола шифрования с теоретико-информационной безопасностью не зависит от недоказанных предположений о вычислительной сложности. Такой протокол неуязвим для будущих разработок в области вычислительной мощности, таких как квантовые вычисления . Примером теоретически защищенной криптосистемы является одноразовый блокнот . Концепция теоретически защищенной связи была введена в 1949 году американским математиком Клодом Шенноном , изобретателем теории информации , который использовал ее, чтобы доказать безопасность системы одноразовых блокнотов. Теоретически безопасные криптосистемы использовались для наиболее конфиденциальных правительственных коммуникаций, таких как дипломатические телеграммы и высокоуровневые военные коммуникации, из-за огромных усилий вражеских правительств, направленных на их взлом.

Существует множество криптографических задач, для которых теоретико-информационная безопасность является значимым и полезным требованием. Вот некоторые из них:

1. Схемы совместного использования секретов, такие как схема Шамира, теоретически безопасны (а также совершенно безопасны) в том смысле, что наличие менее необходимого количества долей секрета не дает информации о секрете.
2. В более общем смысле, безопасные протоколы многосторонних вычислений часто обладают информационной безопасностью.
3. Получение частной информации из нескольких баз данных может быть достигнуто с теоретико-информационной конфиденциальностью запроса пользователя.
4. Редукции между криптографическими примитивами или задачами часто можно достичь теоретически. Такие сокращения важны с теоретической точки зрения, потому что они устанавливают, что примитив может быть реализован, если примитив может быть реализован. ${\ displaystyle \ Pi}$${\ displaystyle \ Pi '}$
5. Симметричное шифрование может быть построено на основе теоретико-информационной концепции безопасности, называемой энтропийной безопасностью , которая предполагает, что противник почти ничего не знает об отправляемом сообщении. Цель здесь - скрыть все функции открытого текста, а не всю информацию о нем.
6. Квантовая криптография в значительной степени является частью теоретико-информационной криптографии.

Уровни безопасности

Совершенная безопасность - это частный случай теоретико-информационной безопасности. Для алгоритма шифрования, если создается зашифрованный текст, который его использует, информация об открытом тексте не предоставляется без знания ключа . Если E - это совершенно безопасная функция шифрования, для любого фиксированного сообщения m должен быть для каждого зашифрованного текста c по крайней мере один ключ k такой, что . Математически пусть m и c будут случайными величинами, представляющими сообщения с открытым текстом и зашифрованным текстом, соответственно; тогда у нас есть это ${\ displaystyle c = E_ {k} (м)}$

${\ displaystyle I (m; c) = 0,}$

где - взаимная информация между m и c . Другими словами, сообщение с открытым текстом не зависит от переданного зашифрованного текста, если у нас нет доступа к ключу. Было доказано, что любой шифр с идеальным свойством секретности должен использовать ключи с теми же требованиями, что и ключи одноразового блокнота. ${\ Displaystyle I (м; с)}$

Криптосистема часто допускает утечку некоторой информации, но тем не менее сохраняет свои свойства безопасности даже против злоумышленника, который имеет неограниченные вычислительные ресурсы. Такая криптосистема будет иметь теоретико-информационную, но не идеальную защиту. Точное определение безопасности будет зависеть от рассматриваемой криптосистемы, но обычно определяется как ограниченное количество утечек битов:

${\ Displaystyle I (м; с) \ leq \ Delta.}$

Здесь должно быть меньше энтропии (количества бит информации) m , в противном случае граница тривиальна. ${\ displaystyle \ Delta}$

Безусловная безопасность

Термин "теоретико-информационная безопасность" часто используется взаимозаменяемо с термином "безусловная безопасность". Последний термин может также относиться к системам, которые не полагаются на недоказанные предположения о вычислительной сложности. Сегодня такие системы практически ничем не отличаются от систем, которые теоретически безопасны. Тем не менее, так быть не всегда. Однажды RSA может оказаться безопасным, поскольку он основан на утверждении, что разложение больших чисел на множители сложно и, таким образом, становится безоговорочно безопасным, но он никогда не будет безопасным с теоретической точки зрения, потому что даже при отсутствии эффективных алгоритмов разложения больших чисел на множители он может в принципе, все еще можно делать с неограниченной вычислительной мощностью.

Шифрование физического уровня

Более слабое понятие безопасности, определенное Аароном Д. Винером , положило начало процветающей сейчас области исследований, известной как шифрование физического уровня. Он использует физический беспроводной канал для своей безопасности с помощью методов связи, обработки сигналов и кодирования. Безопасность можно доказать , взломать и измерить (в битах / секундах / герцах).

Первоначальная работа Винера по шифрованию физического уровня в 1970-х годах поставила проблему Алисы-Боба-Евы, в которой Алиса хочет отправить сообщение Бобу без его декодирования Евой. Если канал от Алисы к Бобу статистически лучше, чем канал от Алисы к Еве, было показано, что безопасная связь возможна. Это интуитивно понятно, но Винер измерил секретность в терминах теории информации, определяющих секретность, которая, по сути, является скоростью, с которой Алиса может передавать секретную информацию Бобу. Вскоре после этого Имре Чисар и Кёрнер показали, что секретное общение возможно, даже если у Евы был статистически лучший канал связи с Алисой, чем у Боба. Основная идея теоретико-информационного подхода к безопасной передаче конфиденциальных сообщений (без использования ключа шифрования) законному получателю состоит в использовании присущей физической среде случайности (включая шумы и флуктуации канала из-за замирания) и использования разницы между канал к законному получателю и канал к перехватчику в интересах законного получателя. Более поздние теоретические результаты касаются определения секретности и оптимального распределения мощности в широковещательных каналах с замираниями. Есть предостережения, так как многие возможности невозможно вычислить, если не предполагается, что Алиса знает канал для Евы. Если бы это было известно, Алиса могла бы просто поместить нуль в направлении Евы. Обеспечение секретности для MIMO и нескольких сговорившихся подслушивателей является более новой и продолжающейся работой, и такие результаты все еще делают бесполезное предположение о знании информации о состоянии канала перехватчика.

Еще одна работа менее теоретическая, поскольку пытается сравнить реализуемые схемы. Одна из схем шифрования на физическом уровне заключается в передаче искусственного шума во всех направлениях, кроме канала Боба, который в основном глушит Еву. В одной статье Неги и Гоэля подробно описана его реализация, а Хисти и Уорнелл вычислили секретность, когда известны только статистические данные о канале Евы.

Параллельно с этой работой в сообществе теории информации ведется работа в сообществе антенн, которую называют прямой антенной модуляцией ближнего поля или направленной модуляцией. Было показано, что, используя паразитную решетку , можно независимо управлять передаваемой модуляцией в разных направлениях. Секретность может быть реализована путем затруднения декодирования модуляции в нежелательных направлениях. Передача данных с направленной модуляцией была экспериментально продемонстрирована с использованием фазированной решетки . Другие продемонстрировали направленную модуляцию с помощью переключаемых решеток и фазовращающих линз .

Этот тип направленной модуляции на самом деле является подмножеством схемы аддитивного искусственного шума Неги и Гоэля. Другая схема, использующая передающие антенны с реконфигурируемой диаграммой направленности для Алисы, называемая реконфигурируемым мультипликативным шумом (RMN), дополняет аддитивный искусственный шум. Они хорошо работают вместе при моделировании каналов, при котором Алиса или Боб ничего не знают о подслушивающих устройствах.

Соглашение о секретном ключе

Различные работы, упомянутые в предыдущей части, так или иначе используют случайность, присутствующую в беспроводном канале, для передачи теоретически защищенных сообщений. И наоборот, мы могли бы проанализировать, какую степень секретности можно извлечь из самой случайности в форме секретного ключа . Это цель соглашения секретного ключа .

В этом направлении работы, начатом Маурером, Алсведе и Цисаром, базовая модель системы снимает любые ограничения на схемы связи и предполагает, что легитимные пользователи могут общаться по двустороннему, общедоступному, бесшумному и аутентифицированному каналу бесплатно. Впоследствии эта модель была расширена для учета нескольких пользователей и, в частности, шумного канала.

Смотрите также

• Лемма о оставшихся хэшах (усиление конфиденциальности)
• Семантическая безопасность

использованная литература