Matematyczne podstawy kryptografii

1. Matematyczne podstawy kryptografii Stefan Dziembowski Instytut Informatyki, Uniwersytet Warszawski

2. S. Dziembowski "Matematyczne podstawy kryptografii" Plan • Podstawowe pojęcia kryptograficzne. • Matematyczna definicja bezpieczeństwa. • Kierunki rozwoju kryptografii.

3. Początki kryptografii: szyfrowanie tekstów. (Juliusz Cezar I w. p.n.e.) S. Dziembowski "Matematyczne podstawy kryptografii" Cel kryptografii. Tradycyjnym celem kryptografii jest umożliwienie bezpiecznego przesyłania danych. Obecnie: także szyfrowanie dźwięków i obrazów. Wszystkie dane będziemy reprezentować za pomocą ciągów bitów.

4. Alicja Bob Ewa (przeciwnik Alicji i Boba) S. Dziembowski "Matematyczne podstawy kryptografii" Cel: bezpieczna komunikacja

5. Alicja Bob Ewa S. Dziembowski "Matematyczne podstawy kryptografii" Intuicja: bezpieczne koperty

6. klucz K klucz K szyfrogram C = S(K,M) wiadomość M=D(K,C) wiadomość M S. Dziembowski "Matematyczne podstawy kryptografii" Co to jest szyfr

7. S. Dziembowski "Matematyczne podstawy kryptografii" Scenariusz • Alicja i Bob ustalają szyfr (S,D). • Alicja i Bob ustalają tajny klucz. • Alicja wybiera wiadomość M, oblicza C=S(K,M), wysyła C do Boba. • Bob oblicza D(K,C). • Ewa otrzymuje C

8. Poza tym: szyfr powinien być bezpieczny. S. Dziembowski "Matematyczne podstawy kryptografii" Wymagania wobec szyfru Oczywiste: • Algorytmy S i D powinny być wydajne. • Dla dowolnych M i K musi zachodzić: D(K,S(K,M)) = M.

9. S. Dziembowski "Matematyczne podstawy kryptografii" Jak zdefiniować bezpieczeństwo?

10. S. Dziembowski "Matematyczne podstawy kryptografii" Podstawowa zasada Zakładamy jak najbardziej pesymistyczny scenariusz. Zasada Kerckhoffsa: Szyfr (S,D) musi być bezpieczny nawet jeśli Ewa zna algorytmy S i D. Auguste Kerckhoffs 1883 Jedyna rzecz której Ewa nie zna to klucz K

11. S. Dziembowski "Matematyczne podstawy kryptografii" Podsumujmy: Ewa na podstawie • szyfru (S,D) • kryptogramu C powinna nie mieć żadnej informacji o wiadomości M (oprócz, ewentualnie, jej długości). Pytanie dodatkowe: co z kluczem?

12. S. Dziembowski "Matematyczne podstawy kryptografii" Matematyczny model Ewy Ewę modelujemy jako program komputerowy. Dowolny program? Nie: Z reguły ograniczamy czas działania programu (dokładniej: liczbę operacji).

13. Pierwszy (zły) pomysł: Szyfr jest bezpieczny jeśli: Ewa nie potrafi zgadnąć na podstawie szyfrogramu wiadomości M C=S(K,M) S. Dziembowski "Matematyczne podstawy kryptografii" Co to znaczy brak informacji ?

14. S. Dziembowski "Matematyczne podstawy kryptografii" Dokładniej, rozważamy taką grę: C=S(K,M) 1. Alicja wybiera losowo wiadomość M, szyfruje i wysyła Ewie. 2. Ewa musi zgadnąć wiadomość M. (Zauważmy: zniknął Bob.)

15. S. Dziembowski "Matematyczne podstawy kryptografii" Problem(1) Problem (1): Ewa zawsze ma niezerowe szanse zgadnięcia wiadomości M (albo klucza K). Morał: szyfr jest OK nawet jeśli Ewa ma minimalne szanse zgadnięcia M.

16. S. Dziembowski "Matematyczne podstawy kryptografii" To rodzi kolejny problem Załóżmy, że Ewa potrafi zgadnąć pierwszy bit wiadomości M (a pozostałych 10000 nie potrafi). Wtedy: Ewa ma minimalne szanse zgadnięcia M. Ale: czy wiadomość jest bezpieczna? A jeśli Ewa potrafi zgadnąć 15 pierwszych bitów (np. z numerem PIN)?

17. S. Dziembowski "Matematyczne podstawy kryptografii" Kolejny pomysł: Wymagajmy, by Ewa nie mogła zgadnąć żadnego bitu w wiadomości M. A co jeśli Ewa potrafi zgadnąć wartość jakiejś funkcji f(M)?Np. funkcja f może podawać liczbę bitów „1” w wiadomości M. Wtedy: jeśli Ewa zawczasu znała całą wiadomość M oprócz jednego bitu, to potrafi obliczyć całą wiadomość M.

18. S. Dziembowski "Matematyczne podstawy kryptografii" Dochodzimy do kolejnego problemu: W praktyce Ewa z reguły ma zawczasu jakąś informację o wiadomości M. Np.: Ewa wie, że wiadomość jest napisana w języku polskim. Albo: Ewa wie, że w grę wchodzą tylko dwie wiadomości (np.: „kupuj” albo „sprzedawaj”).

19. M,N 1. Ewa wybiera dwie wiadomości M i N i wysyła je Alicji C S. Dziembowski "Matematyczne podstawy kryptografii" Nowa gra 2. Alicja wybiera losowo M albo N, szyfruje i wysyła Ewie. 3. Ewa musi zgadnąć czy otrzymała szyfrogram wiadomości M czy N.

20. S. Dziembowski "Matematyczne podstawy kryptografii" Definicja bezpieczeństwa Będziemy mówić, że szyfr jest (t,a)-bezpieczny jeśli: żadna Ewa dysponująca czasem t nie potrafi zgadnąć czy Alicja wybrała M, czy N z prawdopodobieństwem większym niż 0.5 +a

21. Przypomnijmy zasady gry: 1. Ewa wybiera dwie wiadomości M i N i wysyła je Alicji M,N 2. Alicja wybiera losowo M albo N, szyfruje i wysyła Ewie. C 3. Ewa musi zgadnąć czy otrzymała szyfrogram wiadomości M czy N. Fakt: Jeśli: Ewa potrafi obliczyć pierwszy bit wiadomości na podstawie szyfrogramu to: Ewa potrafi wygrać w tej grze S. Dziembowski "Matematyczne podstawy kryptografii" Przykład

22. Gilbert Vernam 1917 S. Dziembowski "Matematyczne podstawy kryptografii" Idealny szyfr Doskonały szyfr powinien być (,0)- bezpieczny. Taki szyfr istnieje, jest to: szyfr Vernama. Problem: w szyfrze Vernama klucz musi być tej samej długości co wiadomość.

23. S. Dziembowski "Matematyczne podstawy kryptografii" Problemy z szyfrem Vernama Co gorsza w szyfrze Vernama nie można używać tego samego klucza wielokrotnie. Nieprzestrzeganie tej zasady przez KBG w latach czterdziestych pozwoliło Amerykanom zdemaskować radzieckich szpiegów. Sprawa Rosenbergów (1951)

24. W każdym doskonałymszyfrze klucz nie może być krótszy niż wiadomość. Claude Shannon (1948) Zatem w większości przypadków takie szyfry są niepraktyczne. S. Dziembowski "Matematyczne podstawy kryptografii" Twierdzenie Shannona Wyjątek: korespondencja dyplomatyczna i i wojskowa.

25. S. Dziembowski "Matematyczne podstawy kryptografii" Szyfry stosowane w praktyce W większości zastosowań wystarczy (t,a)-bezpieczeństwo, dla jakichś „rozsądnych” wartości ti a. (np.: t=100000000000i a=0.0000001) Powszechnie uważa się, że popularne szyfry (RSA, DES, AES, itp.) należą do tej klasy.

26. S. Dziembowski "Matematyczne podstawy kryptografii" Ryzyko Nie istnieją praktycznie żadne pełne dowody bezpieczeństwa szyfrów stosowanych w praktyce. Zatem jest możliwe, że jedno genialne odkrycie spowoduje, że wszystkie te szyfry zostaną złamane! (może już są złamane...) Takim odkryciem może być udowodnienie hipotezy „P=NP”.

27. S. Dziembowski "Matematyczne podstawy kryptografii" Kierunek badań (dla ambitnych) W niektórych przypadkach bezpieczeństwa da się dowieść zakładając prawdziwość pewnych nieudowodnionych hipotez. (im mniej takich założeń tym lepiej) Cel: Dowodzenie bezpieczeństwa przy możliwie najsłabszych założeniach.

28. S. Dziembowski "Matematyczne podstawy kryptografii" Przykład Wiemy, że jeśli można wydajnie rozkładać duże liczby na czynniki pierwsze to popularny szyfr RSA nie jest bezpieczny Problem otwarty: czy zachodzi implikacja odwrotna?

29. S. Dziembowski "Matematyczne podstawy kryptografii" Czy znalezienie dowodu bezpieczeństwa zakończy badania? Niekoniecznie Zawsze pozostaje pytanie o zgodność modelu z rzeczywistością. Np. komputery kwantowe... „Ostateczna” definicja bezpieczeństwa musi brać pod uwagę prawa fizyki...

30. S. Dziembowski "Matematyczne podstawy kryptografii" Wniosek Kryptografia dopiero raczkuje. Istnieje ogromna potrzeba dowodów bezpieczeństwa. Aby te dowody powstały potrzebne jest najprawdopodobniej stworzenie zupełnie nowych metod (obecne kompletnie zawodzą).

31. S. Dziembowski "Matematyczne podstawy kryptografii" Adres internetowy Slajdy z tego referatu są dostępne na mojej stronie internetowej: http://mimuw.edu.pl/~std