Compte tenu de RSA, pourquoi ne savons-nous pas si la cryptographie à clé publique est possible?

23

J'étais sur wikipedia sur la liste des problèmes informatiques non résolus et j'ai trouvé ceci: la cryptographie à clé publique est-elle possible?

Je pensais que le cryptage RSA était une forme de cryptographie à clé publique? Pourquoi c'est un problème?

cryptography Namster
la source
5
Nous ne savons même pas si la cryptographie symétrique peut être sécurisée, et c'est une conjecture beaucoup plus faible que le cryptage à clé publique sécurisé.
CodesInChaos
@CodesInChaos C'est vrai tant que nous parlons de sécurité basée sur la complexité de calcul. Mais si vous envisagez la sécurité théorique des informations, il existe des constructions sûrement sécurisées telles que le tampon à usage unique pour le chiffrement et Wegman-Carter pour l'authentification des messages.
kasperd du

Réponses:

31

Nous ne savons pas avec certitude que RSA est sûr. Il se peut que RSA puisse être rompu en temps polynomial, par exemple si l'affacturage peut être effectué efficacement. Ce qui est ouvert, c'est l'existence d'un cryptosystème à clé publique dont la sécurité est prouvée. Nous ne savons pas avec certitude qu'un tel cryptosystème existe du tout; pour tout ce que nous savons, chaque cryptosystème pourrait être brisé efficacement.

Un autre problème sans rapport avec RSA est qu'il peut être brisé par des ordinateurs quantiques. Il s'agit d'un problème sans rapport puisque la définition d'un cryptosystème à clé publique sécurisée nécessite uniquement que le cryptosystème ne soit pas cassable par les ordinateurs classiques (non quantiques).

En pratique, cependant, RSA semble sécurisé, et il est utilisé tout le temps. Cela est dû à l'écart entre la théorie et la pratique. Bien que théoriquement, nous ne sachions pas avec certitude que RSA est sécurisé, pratiquement nous devons utiliser un cryptosystème à clé publique, et RSA est un bon choix car les gens ont essayé de le casser et ont échoué. De manière générale, un cryptosystème connu dont les gens se soucient est plus sûr qu'un obscur, car il a résisté aux tentatives des cryptographes. Cela ne constitue pas une preuve de sa sécurité - ce n'est peut-être pas le cas - mais c'est le mieux que nous puissions faire.

Yuval Filmus
la source
4
En quelques mots: Safe-ish jusqu'à cassé.
Ismael Miguel
2
Très bonne réponse. J'ajouterais également que toute cryptographie n'est fournie qu'avec un délai de faible probabilité de rupture. Personne ne fournit un système de chiffrement et déclare qu'il est sécurisé. Ils disent toujours qu'il est peu probable qu'il soit brisé dans les 5 prochaines années environ. C'est un peu un problème pour les ventes, car, assez souvent, les clients non techniques y voient une faiblesse déclarée.
RSinohara
Il s'agit en fait d'une lacune générale en informatique: CS est très bon pour prouver combien de temps un algorithme prendra, mais très faible pour pouvoir prouver qu'il n'y a pas d' algorithmes plus rapides .
RBarryYoung
3

Voici quelques autres angles / détails sur cette question, plus spécifiques et plus généralement. Comme l'écrit YF dans un commentaire, malgré les apparences, RSA n'est pas avéré au moins aussi difficile que l'affacturage. Rompre RSA implique le problème de journal discret qui est bien sûr étroitement lié à la prise en compte de la complexité, mais qui ne s'est pas avéré être la même complexité. Mais (comme souligné), même l'affacturage n'a pas été difficile.

YF mentionne également le calcul quantique. Comme les initiés le savent bien, RSA n'est pas protégé contre le calcul quantique qui s'est avéré capable de prendre en compte le temps P en utilisant l' algorithme de Shors . L'algorithme Shors était considéré comme une percée à l'époque. Et une autre percée à mentionner dans une zone "proche" est l' algorithme de primalité AKS qui a prouvé que le test de primalité est en P. Les percées théoriques dans la théorie de la complexité sont rares mais pas inconnues.

YF ne mentionne pas, mais se cache toujours à l'arrière-plan de ces questions, la "grande question" de P =? NP est toujours ouverte. On pense généralement que "la cryptographie algorithmique pourrait être impossible" (sauf pour les blocs ponctuels) si P = NP, ce qui est généralement méconnu par les experts.

Un excellent moyen de conceptualiser scientifiquement cela est Impagliazzos 5 mondes , aperçu par Kabanets . remarquablement, les théoriciens de la complexité ne savent pas "dans lequel des 5 mondes nous vivons", bien qu'il existe des preuves circonstancielles qui penchent en quelque sorte. Le monde dans lequel nous vivons dépend des conjectures de la théorie de la complexité ouverte. Ils concernent également des problèmes ouverts sur l'existence de fonctions de trappe et de fonctions à sens unique . (RSA est supposé être les deux.) Il y a eu une conférence de recherche 2009 sur les mondes Impagliazzos avec les dernières réflexions rapportées.

vzn
la source
1
voir aussi le statut des mondes Impagliazzos / Informatique théorique . en bref, grosso modo, le RSA est considéré par les experts comme étant plausible ou probable, mais pas prouvé, et cet écart résout bon nombre des plus grandes questions ouvertes dans le domaine.
vzn
2

Une chose qui doit être définie ici est la définition du possible. Il y a deux façons de répondre à cela. La première est la suivante: un cryptosystème à clé publique peut-il être considéré comme théoriquement sécurisé? Dans le sens le plus large, cela nécessite que l'algorithme soit sécurisé même lorsqu'il est soumis à une attaque impliquant une puissance de calcul infinie. Il existe un système connu qui a atteint cet objectif, le tampon unique, mais ce n'est qu'en théorie car nous ne pouvons pas créer les nombres vraiment aléatoires requis, et c'est une clé privée. La deuxième façon de voir la question est la suivante: un cryptosystème à clé publique peut-il être considéré comme inconditionnellement sécurisé?. Cette deuxième définition est plus lâche. Dans le cas du RSA, si quelqu'un devait prouver que la factorisation entière était aussi difficile que nous le pensons actuellement, et prouver qu'il n'y avait pas d'autres hypothèses ou défauts dans le système, RSA serait alors inconditionnellement sécurisé. La sécurité inconditionnelle supprime l'exigence d'une puissance de calcul infinie et la rend impossible dans l'univers physique. Étant donné que nos algorithmes à clé publique reposent tous sur des hypothèses massives de calculabilité, ils ne répondent pas à la deuxième définition.

lPlant
la source
La rupture du RSA n'est pas équivalente à l'affacturage; c'est potentiellement plus facile.
Yuval Filmus
Cette réponse est confuse. Le tampon à usage unique n'est pas un cryptosystème à clé publique, il n'est donc pas correct que le tampon à usage unique y soit parvenu. La réponse à "un cryptosystème à clé publique peut-il être considéré comme théoriquement sécurisé?" est "Non". En outre, il n'existe aucune preuve connue que «l'affacturage est difficile» implique que «RSA est sécurisé»; en effet, il y a des raisons de soupçonner qu'il n'y aura pas de réduction de cette forme.
DW