Криптография без допущений - ищет обзор

Предположим, что и быстрый линейный алгоритм времени для SAT появится завтра. Внезапно RSA становится небезопасным, большая часть нашей современной системы связи сломана, и мы должны пересмотреть, как хранить секреты друг от друга.$P = NP$

Вопрос: Существует ли хороший единый справочник (или краткий список), чтобы получить общее представление о том, что возможно в крипто (и в смежной области «безопасности») без предположений о неразрешимости? Это могло бы спасти цивилизацию в один прекрасный день, а также было бы неплохо изучить в то же время.

Обсуждение: Большинство криптографических задач, которые мы сейчас изучаем (OWF, PRG, PKE), невозможно доказать в мире (мир, названный «Algorithmica» во влиятельном эссе Impagliazzo), но некоторые вещи остаются возможными: общение с одноразовый блокнот ; распределенный секретный обмен ; поиск личной информации ; и некоторые другие приятные вещи. (Некоторые виды физических механизмов, таких как запертые блоки , устройства, реализующие забытую передачу , и квантовые состояния также могут пригодиться. Конечно, всегда есть какое-то физическое предположение о том, кто может видеть какую информацию.)$P = NP$

Можно провести различие между теоретико-информационной безопасностью (которая работает против неограниченного в вычислительном отношении противника) и «безусловной» безопасностью (которая может потребовать ограниченного противника, но все же демонстрирует безопасность без каких-либо недоказанных предположений). Меня больше всего интересует теоретико-информационный случай.

Для начала приведу одну библиографию теоретико-информационной безопасности (которая для моих целей неуправляемо длинна и несопоставима).

Ключевыми фразами, которые вы, вероятно, ищете, являются «теоретико-информационная криптография» и «квантовая криптография». Поиски литературы по этим темам приведут к большой работе, которую вы ищете. Некоторые примеры выделяются ниже:

• Для конфиденциальности: одноразовый блокнот, канал прослушивания Wyner, обмен секретными данными, обмен квантовыми ключами и т. Д.

• Для целостности и аутентификации: универсальные хеш-функции.

• Для анонимности: анонимное общение (например, сети постоянного тока, схемы на основе лука, p2p-сети, основанные на быстром смешивании случайных блужданий), протоколы ограничения расстояния.

• Для безопасности, основанной на физических предположениях: PUF (физически не клонируемые функции), коды целостности (Capkun и др.), Квантовая криптография, безопасность с использованием TPM или защищенного от несанкционированного доступа оборудования.

Есть много статей на эти темы; слишком много, чтобы обобщить все результаты в литературе.

Это довольно сложный вопрос, так как у нас действительно нет хорошего обзора области. Частично это связано с тем, что информационная теория и крипто-сообщество работали над похожими темами, не взаимодействуя друг с другом. Много хороших моментов было дано выше. Я просто хотел бы добавить несколько дополнительных замечаний:

• У нас был большой объем работ, посвященных проблеме согласования секретного ключа (и безопасной связи) с заданной настройкой. Здесь настройка означает, например, что стороны в системе (скажем, Алиса, Боб и противник Ева) обмениваются некоторой коррелированной информацией, поступающей из трехстороннего распределения вероятностей. Альтернативная установка может состоять из шумных каналов (например, Алиса может отправлять информацию Бобу и Еве по шумным каналам). Кроме того, Алиса и Боб связаны через канал связи (который может или не может быть аутентифицирован). Это направление работы началось с Аарона Уайнера в 70-х годах, который представил модель канала Wiretap, и был дополнительно очищен Маурером и другими в 90-х годах. Кроме того, множество методов в этой области (усиление конфиденциальности, согласование информации) в конечном итоге использовалось в настройке Quantum Key-Distribution (QKD). На сегодняшний день здесь проделана значительная работа, например, в смежных областях, таких как не подверженные кованию экстракторы и т. Д. Модель ограниченного хранения также является параметром, который отличается от вышеупомянутого, но использует аналогичные методы и имеет аналогичные цели.

• Помимо просто секретного обмена, вы найдете большое количество работ по теоретически защищенным многопартийным вычислениям (MPC). В частности, направление работ, инициированное протоколом BGW, является полностью теоретическим.

• Кроме того, я не уверен, насколько далеко заходит вопрос: если, например, P = NP действительно имеет место, но мы можем как-то оправдать присутствие случайного оракула в небе, то симметричная криптография все еще возможна. Иногда такие модели действительно используются для доказательства безопасности определенных криптографических конструкций (таких как хэш-функции или блочные шифры), и эти методы являются полностью теоретико-информационными.

• Теоретико-информационные методы в криптографии также часто выступают в качестве промежуточного инструмента в теоретических результатах сложности, но я думаю, что это выходит за рамки вопроса. (См. Работу Маурера по случайным системам и усилению неразличимости в качестве примера такого типа работы.)

Некоторые исследовательские группы в Европе проводят эту линию исследований; более конкретно, из-за моего интереса к теории информации я столкнулся с работой Ули Маурера и его школы, которая является важной с чисто теоретической точки зрения (с которой я более знаком), а также предлагает некоторые практические подходы к информации теоретическая безопасность.

В связи с вышеупомянутым направлением работы, некоторые места, на которые вы, возможно, захотите взглянуть, это кандидатская диссертация Кристиана Качина и также Ренато Реннер (более квантовый).

Конечно, есть совершенно другой подход с ключевыми словами, включая BB84, Preskill-Shor, Артур Экерт и т. Д.

Выше, конечно, только отражает мой ограниченный опыт, и, конечно, есть еще много подходов и интересных направлений работы.