Matematyczne podstawy kryptografii
Download
1 / 31

Matematyczne podstawy kryptografii - PowerPoint PPT Presentation


  • 140 Views
  • Uploaded on

Matematyczne podstawy kryptografii. Stefan Dziembowski. Instytut Informatyki, Uniwersytet Warszawski. Plan. Podstawowe pojęcia kryptograficzne. Matematyczna definicja bezpieczeństwa. Kierunki rozwoju kryptografii. Początki kryptografii : szyfrowanie tekstów. (Juliusz Cezar I w. p.n.e.).

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Matematyczne podstawy kryptografii' - alida


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Matematyczne podstawy kryptografii

Matematyczne podstawy kryptografii

Stefan Dziembowski

Instytut Informatyki,

Uniwersytet

Warszawski


S. Dziembowski "Matematyczne podstawy kryptografii"

Plan

  • Podstawowe pojęcia kryptograficzne.

  • Matematyczna definicja bezpieczeństwa.

  • Kierunki rozwoju kryptografii.


Cel kryptografii

Początki kryptografii: szyfrowanie tekstów.

(Juliusz Cezar I w. p.n.e.)

S. Dziembowski "Matematyczne podstawy kryptografii"

Cel kryptografii.

Tradycyjnym celem kryptografii jest umożliwienie bezpiecznego przesyłania danych.

Obecnie: także szyfrowanie dźwięków i obrazów.

Wszystkie dane będziemy reprezentować za pomocą ciągów bitów.


Cel bezpieczna komunikacja

Alicja

Bob

Ewa

(przeciwnik Alicji i Boba)

S. Dziembowski "Matematyczne podstawy kryptografii"

Cel: bezpieczna komunikacja


Intuicja bezpieczne koperty

Alicja

Bob

Ewa

S. Dziembowski "Matematyczne podstawy kryptografii"

Intuicja: bezpieczne koperty


Co to jest szyfr

klucz K

klucz K

szyfrogram

C = S(K,M)

wiadomość M=D(K,C)

wiadomość M

S. Dziembowski "Matematyczne podstawy kryptografii"

Co to jest szyfr


Scenariusz

S. Dziembowski "Matematyczne podstawy kryptografii"

Scenariusz

  • Alicja i Bob ustalają szyfr (S,D).

  • Alicja i Bob ustalają tajny klucz.

  • Alicja wybiera wiadomość M, oblicza C=S(K,M), wysyła C do Boba.

  • Bob oblicza D(K,C).

  • Ewa otrzymuje C


Wymagania wobec szyfru

Poza tym:

szyfr powinien być bezpieczny.

S. Dziembowski "Matematyczne podstawy kryptografii"

Wymagania wobec szyfru

Oczywiste:

  • Algorytmy S i D powinny być wydajne.

  • Dla dowolnych M i K musi zachodzić: D(K,S(K,M)) = M.


Jak zdefiniowa bezpiecze stwo

S. Dziembowski "Matematyczne podstawy kryptografii"

Jak zdefiniować bezpieczeństwo?


Podstawowa zasada

S. Dziembowski "Matematyczne podstawy kryptografii"

Podstawowa zasada

Zakładamy jak najbardziej pesymistyczny scenariusz.

Zasada Kerckhoffsa:

Szyfr (S,D) musi być bezpieczny nawet jeśli Ewa zna algorytmy S i D.

Auguste Kerckhoffs

1883

Jedyna rzecz której Ewa nie zna to klucz K


Podsumujmy

S. Dziembowski "Matematyczne podstawy kryptografii"

Podsumujmy:

Ewa na podstawie

  • szyfru (S,D)

  • kryptogramu C

powinna nie mieć żadnej informacji o wiadomości M

(oprócz, ewentualnie, jej długości).

Pytanie dodatkowe: co z kluczem?


Matematyczny model ewy

S. Dziembowski "Matematyczne podstawy kryptografii"

Matematyczny model Ewy

Ewę modelujemy jako program

komputerowy.

Dowolny program?

Nie: Z reguły ograniczamy czas

działania programu

(dokładniej: liczbę operacji).


Co to znaczy brak informacji

Pierwszy (zły) pomysł: Szyfr jest bezpieczny jeśli:

Ewa nie potrafi zgadnąć

na podstawie szyfrogramu

wiadomości M

C=S(K,M)

S. Dziembowski "Matematyczne podstawy kryptografii"

Co to znaczy brak informacji ?


S. Dziembowski "Matematyczne podstawy kryptografii"

Dokładniej, rozważamy taką grę:

C=S(K,M)

1. Alicja wybiera losowo

wiadomość M, szyfruje

i wysyła Ewie.

2. Ewa musi zgadnąć

wiadomość M.

(Zauważmy: zniknął Bob.)


Problem 1

S. Dziembowski "Matematyczne podstawy kryptografii"

Problem(1)

Problem (1): Ewa zawsze ma niezerowe szanse zgadnięcia wiadomości M (albo klucza K).

Morał: szyfr jest OK nawet jeśli Ewa ma minimalne szanse zgadnięcia M.


To rodzi kolejny problem

S. Dziembowski "Matematyczne podstawy kryptografii"

To rodzi kolejny problem

Załóżmy, że Ewa potrafi zgadnąć pierwszy bit

wiadomości M (a pozostałych 10000 nie potrafi).

Wtedy: Ewa ma minimalne szanse zgadnięcia M.

Ale: czy wiadomość jest bezpieczna?

A jeśli Ewa potrafi zgadnąć 15 pierwszych bitów

(np. z numerem PIN)?


Kolejny pomys

S. Dziembowski "Matematyczne podstawy kryptografii"

Kolejny pomysł:

Wymagajmy, by Ewa nie mogła zgadnąć żadnego

bitu w wiadomości M.

A co jeśli Ewa potrafi zgadnąć wartość jakiejś

funkcji f(M)?Np. funkcja f może podawać liczbę

bitów „1” w wiadomości M.

Wtedy: jeśli Ewa zawczasu znała całą wiadomość

M oprócz jednego bitu, to potrafi obliczyć całą

wiadomość M.


Dochodzimy do kolejnego problemu

S. Dziembowski "Matematyczne podstawy kryptografii"

Dochodzimy do kolejnego problemu:

W praktyce Ewa z reguły ma zawczasu

jakąś informację o wiadomości M.

Np.: Ewa wie, że wiadomość jest napisana

w języku polskim.

Albo: Ewa wie, że w grę wchodzą tylko dwie

wiadomości (np.: „kupuj” albo „sprzedawaj”).


Nowa gra

M,N

1. Ewa

wybiera dwie

wiadomości M i N

i wysyła je Alicji

C

S. Dziembowski "Matematyczne podstawy kryptografii"

Nowa gra

2. Alicja wybiera

losowo M albo N,

szyfruje i wysyła Ewie.

3. Ewa musi zgadnąć czy

otrzymała szyfrogram wiadomości

M czy N.


Definicja bezpiecze stwa

S. Dziembowski "Matematyczne podstawy kryptografii"

Definicja bezpieczeństwa

Będziemy mówić, że szyfr jest

(t,a)-bezpieczny jeśli:

żadna Ewa dysponująca czasem t

nie potrafi zgadnąć czy Alicja wybrała M, czy N

z prawdopodobieństwem większym niż 0.5 +a


Przyk ad

Przypomnijmy zasady gry:

1. Ewa wybiera dwie

wiadomości M i N

i wysyła je Alicji

M,N

2. Alicja wybiera

losowo M albo N,

szyfruje i wysyła Ewie.

C

3. Ewa musi zgadnąć

czy otrzymała szyfrogram wiadomości M czy N.

Fakt: Jeśli:

Ewa potrafi obliczyć pierwszy bit wiadomości na podstawie szyfrogramu

to:

Ewa potrafi wygrać w tej grze

S. Dziembowski "Matematyczne podstawy kryptografii"

Przykład


Idealny szyfr

Gilbert Vernam

1917

S. Dziembowski "Matematyczne podstawy kryptografii"

Idealny szyfr

Doskonały szyfr powinien być

(,0)- bezpieczny.

Taki szyfr istnieje, jest to:

szyfr Vernama.

Problem: w szyfrze Vernama klucz musi być tej samej długości co wiadomość.


Problemy z szyfrem vernama

S. Dziembowski "Matematyczne podstawy kryptografii"

Problemy z szyfrem Vernama

Co gorsza w szyfrze Vernama nie można używać tego samego klucza wielokrotnie.

Nieprzestrzeganie tej zasady przez KBG w latach czterdziestych pozwoliło Amerykanom zdemaskować radzieckich szpiegów.

Sprawa

Rosenbergów

(1951)


Twierdzenie shannona

W każdym doskonałymszyfrze klucz nie może być krótszy niż wiadomość.

Claude Shannon (1948)

Zatem w większości przypadków takie szyfry są niepraktyczne.

S. Dziembowski "Matematyczne podstawy kryptografii"

Twierdzenie Shannona

Wyjątek: korespondencja dyplomatyczna i

i wojskowa.


Szyfry stosowane w praktyce

S. Dziembowski "Matematyczne podstawy kryptografii"

Szyfry stosowane w praktyce

W większości zastosowań wystarczy (t,a)-bezpieczeństwo, dla jakichś „rozsądnych” wartości ti a.

(np.: t=100000000000i a=0.0000001)

Powszechnie uważa się, że popularne szyfry (RSA, DES, AES, itp.) należą do tej klasy.


Ryzyko

S. Dziembowski "Matematyczne podstawy kryptografii"

Ryzyko

Nie istnieją praktycznie żadne pełne dowody bezpieczeństwa szyfrów stosowanych w praktyce.

Zatem jest możliwe, że jedno genialne odkrycie spowoduje, że wszystkie te szyfry zostaną złamane! (może już są złamane...)

Takim odkryciem może być udowodnienie hipotezy „P=NP”.


Kierunek bada dla ambitnych

S. Dziembowski "Matematyczne podstawy kryptografii"

Kierunek badań (dla ambitnych)

W niektórych przypadkach bezpieczeństwa da się dowieść zakładając prawdziwość pewnych nieudowodnionych hipotez.

(im mniej takich założeń tym lepiej)

Cel: Dowodzenie bezpieczeństwa przy możliwie najsłabszych założeniach.


Przyk ad1

S. Dziembowski "Matematyczne podstawy kryptografii"

Przykład

Wiemy, że jeśli

można wydajnie rozkładać duże liczby na czynniki pierwsze

to

popularny szyfr RSA nie jest bezpieczny

Problem otwarty: czy zachodzi implikacja odwrotna?


Czy znalezienie dowodu bezpiecze stwa zako czy badania

S. Dziembowski "Matematyczne podstawy kryptografii"

Czy znalezienie dowodu bezpieczeństwa zakończy badania?

Niekoniecznie

Zawsze pozostaje pytanie o zgodność modelu z rzeczywistością.

Np. komputery kwantowe...

„Ostateczna” definicja bezpieczeństwa musi brać pod uwagę prawa fizyki...


Wniosek

S. Dziembowski "Matematyczne podstawy kryptografii"

Wniosek

Kryptografia dopiero raczkuje. Istnieje ogromna potrzeba dowodów bezpieczeństwa.

Aby te dowody powstały potrzebne jest najprawdopodobniej stworzenie zupełnie nowych metod (obecne kompletnie zawodzą).


Adres internetowy

S. Dziembowski "Matematyczne podstawy kryptografii"

Adres internetowy

Slajdy z tego referatu są dostępne na mojej stronie internetowej:

http://mimuw.edu.pl/~std


ad