Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η Παρούσα Κατάσταση σε θέματα ΚΡΥΠΤΟΓΡΑΦΙΑΣ Κων/νος Χαλάτσης, Τμ. Π&Τ, ΕΚΠΑ Παρούσα κατάσταση - Προβλήματα –Cryptography ( σχόλια για κρυπτοσυστήματα )

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Η Παρούσα Κατάσταση σε θέματα ΚΡΥΠΤΟΓΡΑΦΙΑΣ Κων/νος Χαλάτσης, Τμ. Π&Τ, ΕΚΠΑ Παρούσα κατάσταση - Προβλήματα –Cryptography ( σχόλια για κρυπτοσυστήματα )"— Μεταγράφημα παρουσίασης:

1 Η Παρούσα Κατάσταση σε θέματα ΚΡΥΠΤΟΓΡΑΦΙΑΣ Κων/νος Χαλάτσης, Τμ. Π&Τ, ΕΚΠΑ Παρούσα κατάσταση - Προβλήματα –Cryptography ( σχόλια για κρυπτοσυστήματα ) –Snake Oil Warning Sings: Encryption Software to Avoid Πρόσφατες κατευθύνσεις –Κρυπτογραφία πλέγματος (lattice) –Κβαντική κρυπτογραφία

2 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία2 Κρυπτογραφία Στόχος της κρυπτογραφίας είναι να κατασκευάσει συναρτήσεις που είναι δύσκολο υπολογιστικά να σπάσουν (δηλ., να αντιστραφούν) Στρατηγική: –Βρες ένα υπολογιστικά σκληρό πρόβλημα Π –Βρες ένα τρόπο να εκμεταλλευτείς αυτή τη σκληρότητα για να κατασκευάσεις συναρτήσεις που η αντιστροφή τους είναι σκληρή όσο και το πρόβλημα Π Π.χ. το πρόβλημα της παραγοντοποίησης ( δοθέντος Ν βρες p,q με Ν = pq) Π.χ. Rabin x *x -> x mod N H κρυπτογραφία απαιτεί πρόσθετες ιδιότητες, π.χ., μια καταπακτή (trapdoor) για την αντιστροφή της συνάρτησης –Π.χ. Rabin: εάν τα p,q είναι γνωστά τότε είναι εφικτός ο υπολογισμός του x δοθέντος του x*x mod (N=pq)

3 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία3 ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ Επιτρέπει σε δύο ενδιαφερόμενους Α και Β να επικοινωνήσουν χωρίς να έχουν κάποιο κοινό κλειδί (μυστικό). Συμφωνούν μόνο σε δύο αλγόριθμους Ε και D, κρυπτογράφησης και αποκρυπτογράφησης, αντίστοιχα. Πώς; –Στην αρχή ο Α διαλέγει δυο τυχαία "κλειδιά" ένα δημόσιο e και ένα ιδιωτικό d. –Δημοσιεύει το κλειδί e. –Όταν ο Β θέλει να στείλει ένα μήνυμα m στον Α, το κωδικοποιεί χρησιμοποιώντας το δημόσιο κλειδί e, στέλνει δηλαδή το m'=Ε(m,e). –Ο Α λαμβάνει το μήνυμα m' και ΥΠΟΛΟΓΙΖΕΙ το αρχικό μήνυμα, με τη χρήση του ιδιωτικού του κλειδιού d, σαν m=D(m', d)=D(E(m, e), d). Το πρωτόκολλο αυτό είναι ασφαλές μόνο εάν είναι ΥΠΟΛΟΓΙΣΤΙΚΑ ΑΔΥΝΑΤΟΝ να βρεθεί το m.

4 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία4 RSA: Το πιο διαδεδομένο κρυπτοσύστημα δημόσιου κλειδιού Τί είναι το RSA; Ο Α διαλέγει δυο μεγάλους (τυχαίους) πρώτους αριθμούς p και q,και έναν αριθμό εκθέτη e πρώτο ως προς (p-1) (q-1). Υπολογίζει το n=pq και το d=1/e mod (p-1) (q-1). Το δημόσιο κλειδί είναι το (n,e). Το ιδιωτικό κλειδί είναι το (p,q,d). Δημοσιεύει το κλειδί (n,e). Όταν ο Β θέλει να στείλει ένα μήνυμα m στον Α, στέλνει το m'=m e mod n O A το αποκωδικοποιεί ως εξής: m=(m') d mod n Το RSA βασίζεται στο ότι δεν ξέρουμε κανένα γρήγορο αλγόριθμο που να μπορεί να υπολογίζει το d εάν δοθούν το n και το e. Αντίθετα είναι εύκολο να βρεθεί το d εάν δοθούν τα p, q, και e. Δηλαδή το RSA είναι ασφαλές μόνο εάν το πρόβλημα παραγοντοποίησης ακεραίων αριθμών (δηλαδή: δίνεται n, υπολόγισε τους πρώτους παράγοντες του p,q) είναι υπολογιστικά δύσκολο. (t ~ Ο(exp(1.9(log n) ^1/3 (log log n) ^2/3 )), t(150bits)~Ο(μήνας), t(400bits)~10 10 χρόνια! ).

5 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία5 Πλεονεκτήματα της κρυπτογραφίας δημόσιου κλειδιού Δεν απαιτεί προηγούμενη συμφωνία για κλειδιά και δεν χρειάζεται μεταφορά κλειδιών. Νέες μονάδες/μέλη μπορούν να αρχίσουν να επικοινωνούν αμέσως (ιδιαίτερα χρήσιμο στο Διαδίκτυο). Επιτρέπει πολλά επιπλέον επιθυμητά πρωτόκολλα (authentication, secret sharing, signature, etc). Έχει δοκιμαστεί επαρκώς στην πράξη με ικανοποιητικά αποτελέσματα. Βασίζεται στην σοβαρή και αυστηρή θεωρία της Υπολογιστικής Πολυπλοκότητας.

6 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία6 Μειονεκτήματα της κρυπτογραφίας δημόσιου κλειδιού Δεν προσφέρει απόλυτη ασφάλεια αλλά μόνο ασφάλεια που βασίζεται στη δυσκολία υπολογισμού της απάντησης. Οποιοδήποτε τέτοιο σύστημα "σπάει" εάν έχουμε πολύ ισχυρούς υπολογιστές. Βασίζεται σε εικασίες. Τίποτα δεν έχει αποδειχτεί από την «σοβαρή και αυστηρή θεωρία της Υπολογιστικής Πολυπλοκότητας". Δεν έχει καν αποδειχτεί ότι κρυπτογραφία δημόσιου κλειδιού είναι δυνατή.

7 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία7 Τι λεει η Θεωρία Πολυπλοκότητας BPP P QP NP Εικασίες ‘περιέχεσται’ κλάσεων πολυπλοκότητας Μονόδρομες Συναρτήσεις PSPACE

8 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία8 Τί λέει η Θεωρία Πολυπλοκότητας Η συνάρτηση f: Σ* -> Σ* καλείται μονόδρομη εάν Η f είναι ένα-προς-ένα και διατηρεί τα μήκη, δηλ., για κάθε x in Σ* ισχύει |x| 1/k  |f(x)|  |x| k, k>0 Η f in P, δηλ., υπολογίζεται σε πολυωνυμικό χρόνο Η αντίστροφή της f –1 δεν ανήκει στην κλάση Ρ αλλά στην κλάση ΝΡ-Ρ, δηλ., δεν υπάρχει πολυωνυμικός αλγόριθμος που δοθέντος του y ή να υπολογίζει ένα x τέτοιο ώστε f(x)=y ή να απαντά ΟΧΙ εάν δεν υπάρχει τέτοιο x. Το x μπορεί μονοσήμαντα να ανακτηθεί από το y=f(x) δοκιμάζοντας όλα τα x με κατάλληλο μήκος, όχι όμως σε πολυωνυμικό χρόνο! Ακόμη και να ισχύει Ρ  ΝΡ δεν υπάρχει απόδειξη ότι υπάρχουν πράγματι μονόδρομες συναρτήσεις!

9 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία9 Ιστορικό της κρυπτογραφίας δημόσιου κλειδιού Η κρυπτογραφία δημόσιου κλειδιού προτάθηκε το 1976 απο τους Diffie και Hellman. Το RSA εφευρέθηκε από τους Rivest, Shamir, και Adelman το Άλλα συστήματα που προτάθηκαν την ίδια εποχή. –Το πρωτόκολλο του Rabin που βασίζεται στη δυσκολία υπολογισμού της τετραγωνικής ρίζας (x^2=y mod pq, δίνεται το y, βρες το x). –Πρωτόκολλα βασισμένα στο πρόβλημα του διακριτού λογαρίθμου ( π.χ., το κρυπτοσύστημα ElGamal, α^a=β mod p, δίνονται τα α,β, βρες το a) Πολλά άλλα πρωτόκολλα που προτάθηκαν τότε αποδείχτηκαν ανασφαλή στη δεκαετία του 80. Την τελευταία δεκαετία εμφανίστηκε η κβαντική κρυπτογραφία. Επίσης τα τρία τελευταία χρόνια προτάθηκαν νέα κρυπτογραφικά συστήματα βασισμένα σε καλύτερες θεωρητικές βάσεις, όπως σε προβλήματα πλέγματος σημείων.

10 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία10 Η κατάσταση σήμερα H κρυπτογραφία δημόσιου κλειδιού χρησιμοποιείται ευρύτατα σήμερα στο Διαδίκτυο. Η τεράστια άνθηση των ηλεκτρονικών εφαρμογών που απαιτούν ασφάλεια (χρήση πιστωτικών καρτών, electronic banking, e-commerce) θα ήταν πρακτικά αδύνατη εάν υπήρχε μόνο κρυπτογραφία ιδιωτικού κλειδιού κυρίως λόγω της δυσκολίας διανομής και συντήρησης κλειδιών. Το RSA είναι το πιο διαδεδομένο σύστημα κυρίως λόγω της χρήσης του από τους πιο δημοφιλείς browsers (Νetscape και Εxplorer). Σήμερα το μέγεθος των κλειδιών είναι >128 bits. Αυτό το μέγεθος φαίνεται να προσφέρει ασφάλεια για συνήθεις οικονομικές συναλλαγές. Τα 40 bits που χρησιμοποιούσαν πριν λίγα χρόνια δεν είναι πια ασφαλή. Για δεδομένα υψίστης ασφάλειας συνιστάται η χρήση κλειδιών μήκους 1024 bits.

11 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία11 Κρατικά Πρότυπα Στις ΗΠΑ, η κυβέρνηση διαμόρφωσε ήδη απο τη δεκαετία του ‘50 το Data Encryption Standard (DES). Τα 56 bits του DES αν και ήταν αρκετά στα τέλη της δεκαετίας του '70 δεν θεωρούνται πια ασφαλή. Νέα standards αναζητούνται τόσο στις ΗΠΑ όσο και στην ΕΕ. Χρειαζόμαστε άραγε standards ειδικά για την Ελλάδα; Η κυβέρνηση των ΗΠΑ απαγορεύει την εξαγωγή κρυπτογραφικών πακέτων (εκτός από αυτά που είναι παλιάς τεχνολογίας). Υπήρχαν όμως επιτυχημένες προσπάθειες από την κοινότητα του ελεύθερου software που παρέκαμψαν τη σχετική νομοθεσία (π.χ. το Pretty- Good-Privacy, PGP). Ήταν φανερό ότι υπό την πίεση των ενδιαφερόμενων εταιρειών και ομάδων ότι η νομοθεσία έτεινε να γίνει πιο ελαστική. Τα γεγονότα της 11ης Σεπτεμβρίου άλλαξαν δραματικά τα δεδομένα.

12 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία12 Νέες κατευθύνσεις: Κρυπτογραφία πλέγματος Κάνει χρήση άλλης κλάσης προβλημάτων για κρυπτογραφία Πολλά από αυτά τα προβλήματα είναι ΝΡ-σκληρά για επακριβή λύση ή και προσεγγιστική Μερικά προβλήματα πλέγματος είναι αποδεδειγμένα σκληρά κατά μέσον όρο, σε σχέση με την χειρότερη περίπτωση δυσβατότητας (intractability) κάποιου άλλου προβλήματος πλέγματος Δεν είναι γνωστός αντίστοιχος κβαντικός αλγόριθμος Μειονέκτημα: τα κλειδιά έχουν πολύ μεγαλύτερο μήκος σε σχέση με του RSA, Robin, κλπ

13 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία13 ΠΛΕΓΜΑΤΑ Σημείων Πλέγμα n-διαστάσεων : είναι το σύνολο όλων των ακεραίων γραμμικών συνδυασμών των διανυσμάτων βάσεως {Β 1, Β 2,..., Β n } Κάθε πλέγμα έχει άπειρες βάσεις Όλες οι βάσεις έχουν την ίδια ορίζουσα

14 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία14 Πρόβλημα Εγγύτερου σημείου Closest Vector Problem Δίνεται κάποια βάση ενός πλέγματος και ένα σημείο y του n- διάστατου χώρου. Θέλουμε να υπολογίσουμε το πλησιέστερο σημείο του πλέγματος στο y. Το πρόβλημα αυτό πιστεύεται ότι είναι δύσκολο υπολογιστικά και μπορεί να χρησιμοποιηθεί για κρυπτογραφία. Η αποκωδικοποίηση βασίζεται στο γεγονός ότι εάν έχουμε μια κατάλληλη βάση του πλέγματος είναι εύκολο να βρούμε το πλησιέστερο σημείο.

15 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία15 Κρυπτογράφηση με πλέγμα ( GGH ) Αποκρυπτογράφηση Χρήση της Β για να βρεις Βy=Rx πλησιέστερα στο c D(c) = c – By = m Κρυπτογράφηση Επέλεξε Rx τυχαία Ιδιωτικό κλειδί Πρόσθεσε μικρό λάθος m Πλέγμα Β E(m) = Rx + m = c Δημόσιο κλειδί Τυχαία βάση R

16 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία16 Κβαντικοί υπολογιστές Quantum bit (qubit) [ 0 or 1 or {01}] ή ( |ψ› = a|0› + b|1›, |a| 2 +|b| 2 =1) Κύριο χαρακτηριστικό των κβαντικών υπολογιστών είναι το "μπλέξιμο" (διεμπλοκή -entanglement) των κβαντικών καταστάσεων. Quantum register (π.χ. Αντί 010 έχει {000, 001,..., 111} Έτσι μπορεί να έχουμε το εξής παράδοξο φαινόμενο: Η πιθανότητα ενός γεγονότος να εξαρτάται από το πότε θα παρατηρήσουμε το σύστημα. Π.χ. Έστω Α(t,s) το γεγονός ότι το σύστημα τη χρονική στιγμή t είναι στην καταστάση s. Η πιθανότητα του Α(t,s) δεν είναι ίδια εάν παρατηρήσουμε το σύστημα τη στιγμή t και την στιγμή t+1. t t+1 2^-(1/2) -2^-(1/2)

17 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία17 Παραγοντοποίηση ακεραίων με κβαντικούς υπολογιστές Θεώρημα [Peter Schor, 1994]: Το πρόβλημα της παραγοντοποίησης ακεραίων λύνεται σε πολυωνυμικό χρόνο σε κβαντικούς υπολογιστές (t~O[(ln n)^3], t(128bits~μήνα, t(400bits~3 χρόνια). Εάν είχαμε κβαντικούς υπολογιστές: –το RSA δεν θα ήταν ασφαλές. Το ίδιο ισχύει για πολλά άλλα κρυπτογραφικά συστήματα δημόσιου κλειδιού. –Η κρυπτογραφία δημόσιου κλειδιού μπορεί να είναι ακόμα δυνατή αλλά με νέα συστήματα (ίσως κρυπτογραφία πλέγματος). –μπορεί να έχουμε κβαντική κρυπτογραφία, δηλαδή εντελώς νέα συστήματα που εκμεταλλεύονται κβαντικά φαινόμενα.

18 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία18 Πότε θα κατασκευάσουμε κβαντικούς υπολογιστές; Αισιόδοξη άποψη: Σε 5-10 χρόνια θα έχουμε τους πρώτους απλούς κβαντικούς υπολογιστές. –Κβαντικοί υπολογιστές είναι θεωρητικά δυνατό να κατασκευάσουμε. –Στην πράξη όμως δεν θα τα καταφέρουμε λόγω ανυπέρβλητων τεχνολογικών προβλημάτων (προβλήματα αποσυντονισμού- decoherence, error-correction, κλπ). Απαισιόδοξη άποψη: Κβαντικοί υπολογιστές είναι αδύνατοι ακόμη και θεωρητικά. Η κβαντική θεωρία πρέπει να αναμορφωθεί.

19 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία19 Κβαντική κρυπτογραφία π.χ., διανομή κλειδιού (key distribution): με τη χρήση ''μπλεγμένων'' ζευγών qubits ( μέθοδος ΒΒ84 using EPR ζεύγη, Einstein-Podolski Rosen ). –Ο Α ετοιμάζει ζεύγη qubits και μετρά το ένα qubit κάθε ζεύγους, πριν στείλει το άλλο qubit στον Β, ως προς έναν άξονα που επιλέγει τυχαία μεταξύ δυο κατάλληλων αξόνων με πιθανότητα 1/2. –O B κάνει την ίδια μέτρηση στα δικά του qubits. –Επικοινωνία του Α και Β (μέσω συμβατικού καναλιού) τους επιτρέπει να πουν ως προς ποιόν άξονα έκαναν κάθε μέτρηση (δεν λένε όμως τα αποτελέσματα των μετρήσεων). –Για εκείνα τα qubit που συμφωνούν οι άξονες, έχουν το ίδιο αποτέλεσμα (0 ή 1) και συνεπώς έχουν προσδιορίσει τα bits του μυστικού κλειδιού. –Η υποκλοπή qubit από από κάποιον τρίτο C γίνεται αντιληπτή από τους Α και Β από το αποτέλεσμα των μετρήσεων, δεδομένου ότι η μέτρηση από τον C του κλεμμένου qubit αλλοιώνει το αποτέλεσμα

20 13 Μαΐου 2003Κ. Χαλάτσης, Κρυπτογραφία20 Ασφάλεια δεν είναι κρυπτογραφία Ασφάλεια = Κρυπτογραφία; –Μπορεί μια μέθοδος κρυπτογραφίας να φαίνεται ασφαλής στη θεωρία (αν και προς το παρόν δεν έχουμε καμιά τέτοια μέθοδο), αλλά η πράξη είναι εντελώς διαφορετική. Σχεδόν όλα τα κρυπτογραφικά συστήματα που έχουν υλοποιηθεί έχουν τις αδυναμίες τους λόγω κακής υλοποίησης. Ιδιαίτερα ευαίσθητα αποδεικνύονται συστήματα που βασίζονται σε μπερδεμένους αλγόριθμους και σε νεωτερισμούς (π.χ. χάος, fuzzy systems, κβαντικά συστήματα;). Μια ιδέα μπορεί να είναι ασφαλής μόνο εάν περάσει από τον εξονυχιστικό έλεγχο της (διεθνούς) επιστημονικής κοινότητας.


Κατέβασμα ppt "Η Παρούσα Κατάσταση σε θέματα ΚΡΥΠΤΟΓΡΑΦΙΑΣ Κων/νος Χαλάτσης, Τμ. Π&Τ, ΕΚΠΑ Παρούσα κατάσταση - Προβλήματα –Cryptography ( σχόλια για κρυπτοσυστήματα )"

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google