Cryptographie sans hypothèses - recherche d'un aperçu

25

Supposons que et qu'un algorithme de temps linéaire rapide pour SAT apparaisse demain. Soudainement, RSA n'est pas sûr, une grande partie de notre système de communication moderne est cassé et nous devons reconsidérer comment garder les secrets les uns des autres.P=NP

Question: Existe - t-il une bonne référence unique (ou une liste restreinte) pour obtenir une vue d'ensemble de ce qui est possible en crypto (et dans le domaine connexe de la "sécurité") sans hypothèses d'intractabilité? Cela pourrait sauver la civilisation un jour et serait également agréable à parcourir entre-temps.

Discussion: La plupart des tâches cryptographiques que nous étudions maintenant (OWF, PRG, PKE) sont prouvablement impossibles dans le monde (un monde surnommé "Algorithmica" dans un essai influent d'Impagliazzo), mais certaines choses restent possibles: communication avec un tampon à usage unique ; partage secret distribué ; récupération d'informations privées ; et quelques autres belles choses. (Certains types de mécanismes physiques tels que les boîtes verrouillées , les dispositifs implémentant le transfert inconscient et les états quantiques peuvent également être utiles. Bien sûr, il existe toujours une sorte d'hypothèse physique sur qui peut voir quelles informations.)P=NP

On peut distinguer la sécurité théorique de l'information (qui fonctionne contre un adversaire sans limite de calcul) et la sécurité "inconditionnelle" (qui peut nécessiter un adversaire borné, mais qui montre toujours la sécurité sous aucune hypothèse non prouvée). Je m'intéresse surtout au cas de l'info-théorie.

Pour commencer, voici une bibliographie de la sécurité de la théorie de l'information (qui, pour mes besoins, est indiscutablement longue et disparate).

cr.crypto-security Andy Drucker
la source
Belle question, ce n'est pas vraiment une réponse, mais cela pourrait être intéressant. Alfred Menezes et Neal Koblitz ont une belle série d' articles "Another Look" où ils posent des questions similaires aux vôtres, mais vont également dans le sens des "modèles de sécurité". J'en ai discuté brièvement dans cette réponse , mais je ne suis pas sûr que ce soit trop appliqué d'une approche.
Artem Kaznatcheev
3
Je soupçonne que l'on peut utiliser un tel algorithme SAT lui-même pour trouver des alternatives aux PKC actuels et aux systèmes sécurisés sans condition.
T ....
Notez que RSA n'est pas NP-Complete, donc exiger P = NP pour factoriser peut être exagéré.
user834
une grande partie de la cryptographie moderne repose sur des hypothèses d'intractabilité non pas pour simplification / commodité mais parce qu'aucun meilleur résultat / limite prouvable n'est disponible à partir de la théorie de la complexité (en particulier la complexité du cas moyen) ... voir aussi crypto.se
vzn
3
Voici une enquête réalisée par Ueli Maurer qui, bien qu'un peu daté, est très instructif: ftp.inf.ethz.ch/pub/crypto/publications/Maurer99.pdf

Réponses:

16

Les phrases clés que vous recherchez probablement sont "cryptographie théorique de l'information" et "cryptographie quantique". La recherche de la littérature sur ces sujets se révélera beaucoup de travail du type que vous recherchez. Quelques exemples de faits saillants ci-dessous:

  • Pour la confidentialité: le bloc unique, le canal d'écoute électronique Wyner, le partage secret, l'échange de clés quantiques, etc.

  • Pour l'intégrité et l'authentification: fonctions de hachage universelles.

  • Pour l'anonymat: communication anonyme (par exemple, réseaux DC, schémas à base d'oignons, réseaux p2p basés sur un mélange rapide de marches aléatoires), protocoles de délimitation de distance.

  • Pour la sécurité basée sur des hypothèses physiques: PUF (fonctions physiquement non clonables), codes d'intégrité (Capkun et al.), Cryptographie quantique, sécurité utilisant des TPM ou du matériel inviolable.

Il existe de nombreux articles sur ces sujets; trop nombreux pour résumer tous les résultats de la littérature.

DW
la source
Merci DW, je sais que c'est trop de terrain pour résumer dans une réponse; J'espère trouver des livres ou des sondages utiles.
Andy Drucker
@AndyDrucker, ma recommandation serait de lire les articles fondateurs ou de pointe sur les sujets qui vous intéressent. Je ne suis pas sûr que vous allez trouver un livre qui couvre tout le travail dans ce domaine (dont certains se sont produits au cours des 5 à 10 dernières années). Même si vous avez de la chance et que vous découvrez un livre, il commencera déjà à prendre du retard par rapport à la dernière littérature de recherche au moment où il apparaîtra sur les étagères.
DW
2
Je n'aspire même pas à l'état de l'art. Il n'y a pas de manuel vraiment à jour pour aucun domaine du TCS; Pourtant, on peut toujours prendre les livres de Goldreich et s'orienter vers les résultats et les concepts fondamentaux de la cryptographie basée sur la complexité. Je me suis demandé si quelque chose de similaire était apparu pour le côté info-théorique.
Andy Drucker
4

C'est une question assez complexe, car nous n'avons vraiment pas une bonne vue d'ensemble de la région. Cela est dû en partie au fait que la théorie de l'information et la communauté cryptographique ont travaillé sur des sujets similaires sans vraiment interagir suffisamment. De nombreux bons points ont été mentionnés ci-dessus. Je voudrais juste ajouter quelques observations supplémentaires:

  • Nous avons eu un grand nombre d'ouvrages traitant du problème de l'accord à clé secrète (et de la communication sécurisée) avec une configuration donnée. Ici, une configuration signifie par exemple que les parties du système (disons Alice, Bob et l'adversaire Eve) partagent des informations corrélées provenant d'une distribution de probabilité tripartite. Une configuration alternative pourrait consister en des canaux bruyants (par exemple, Alice peut envoyer des informations à Bob et Eve via des canaux bruyants). De plus, Alice et Bob sont connectés via un canal de communication (qui peut ou non être authentifié). Cette ligne de travail a commencé avec Aaron Wyner dans les années 70, qui a introduit le modèle de canal d'écoute électronique, et a été nettoyé par Maurer et d'autres dans les années 90. En outre, de nombreuses techniques dans ce domaine (amplification de la confidentialité, rapprochement des informations) a finalement été utilisé dans le paramètre Quantum Key-Distribution (QKD). À ce jour, une quantité considérable de travail est en cours, par exemple dans des domaines connexes tels que les extracteurs non malléables, etc. buts.

  • Au-delà du partage secret, vous trouverez un grand nombre d'ouvrages sur le calcul multipartite (MPC) théoriquement sécurisé. En particulier, la ligne de travaux initiée par le protocole BGW est tout à fait théorique.

  • De plus, je ne sais pas jusqu'où va la portée de la question: si, par exemple, P = NP est vrai, mais que nous pouvons en quelque sorte justifier la présence d'un oracle aléatoire dans le ciel, alors la cryptographie symétrique est toujours possible. Parfois, de tels modèles sont en effet utilisés pour prouver la sécurité de certaines constructions cryptographiques (comme les fonctions de hachage ou les chiffrements de blocs), et les techniques sont complètement théoriques de l'information.

  • Les techniques théoriques de l'information en cryptographie apparaissent également souvent comme un outil intermédiaire dans les résultats théoriques de la complexité, mais je pense que cela dépasse le cadre de la question. (Voir les travaux de Maurer sur les systèmes aléatoires et sur l'amplification indiscernable comme exemple de ce type de travail.)

Stefano Tessaro
la source
"nous pouvons en quelque sorte justifier la présence d'un oracle aléatoire dans le ciel" de quoi parlez-vous exactement ici? Comment la crypte symétrique à clé publique est-elle possible ici?
T ....
1
@JA Je crois qu'il veut dire le modèle d'oracle aléatoire de Bellare et Rogaway, voir par exemple cseweb.ucsd.edu/~mihir/papers/ro.html . Ce modèle est une heuristique, souvent utile, mais il y a de bonnes raisons d'être sceptique: arxiv.org/abs/cs/0010019
Sasho Nikolov
ic .. que se passe-t-il exactement ici? avez-vous une idée concrète? Tous les schémas de clés symétriques info théoriques que j'ai vus sont basés sur l'extraction d'informations communes à partir de ceux corrélés et ne peuvent donc pas être transformés en une version à clé publique. Y a-t-il une idée fondamentale ici qui permette une solution de chiffrement à clé publique réalisable et sécurisée en théorie?
T ....
2
Permettez-moi d'expliquer: dans le modèle d'oracle aléatoire, où toutes les parties ont accès à un oracle aléatoire RO, les parties honnêtes possédant une clé secrète SK peuvent chiffrer un message M en toute sécurité comme (R, M + RO (SK || R)), où R est le caractère aléatoire du chiffrement (et est fraîchement généré à chaque chiffrement), + désigne le xor bit à bit (ici, supposons que la longueur de sortie de RO est égale à la longueur du message). La sécurité de ce schéma repose uniquement sur le hasard-oracle étant aléatoire. En revanche, les travaux d'Impagliazzo et Rudich savent que le chiffrement à clé publique n'est pas réalisable dans le modèle à oracle aléatoire.
Stefano Tessaro
3

Certains groupes de recherche en Europe ont poursuivi cette ligne de recherche; plus précisément, en raison de mon intérêt pour la théorie de l'information, j'ai rencontré le travail d'Ueli Maurer et de son école, qui est à la fois significatif du point de vue purement théorique de l'information (que je connais mieux) et propose également des approches pratiques de l'information sécurité théorique.

En ce qui concerne la ligne de travail ci-dessus, certains endroits que vous voudrez peut-être envisager sont la thèse de doctorat de Christian Cachin et également de Renato Renner (plus quantique).

Bien sûr, il existe une approche complètement différente avec des mots clés tels que BB84, Preskill-Shor, Artur Ekert, etc.

Ce qui précède ne reflète bien sûr que mon expérience limitée, et il existe certainement de nombreuses autres approches et lignes de travail intéressantes.

Mohammad Bavarian
la source