Παρούσα κατάσταση - Προβλήματα

Παρουσίαση με θέμα: "Παρούσα κατάσταση - Προβλήματα"— Μεταγράφημα παρουσίασης:

1 Παρούσα κατάσταση - Προβλήματα
Η Παρούσα Κατάσταση σε θέματα ΚΡΥΠΤΟΓΡΑΦΙΑΣ Κων/νος Χαλάτσης, Τμ. Π&Τ, ΕΚΠΑ Παρούσα κατάσταση - Προβλήματα Cryptography (σχόλια για κρυπτοσυστήματα) Snake Oil Warning Sings: Encryption Software to Avoid Πρόσφατες κατευθύνσεις Κρυπτογραφία πλέγματος (lattice) Κβαντική κρυπτογραφία

2 Κ. Χαλάτσης, Κρυπτογραφία
Στόχος της κρυπτογραφίας είναι να κατασκευάσει συναρτήσεις που είναι δύσκολο υπολογιστικά να σπάσουν (δηλ., να αντιστραφούν) Στρατηγική: Βρες ένα υπολογιστικά σκληρό πρόβλημα Π Βρες ένα τρόπο να εκμεταλλευτείς αυτή τη σκληρότητα για να κατασκευάσεις συναρτήσεις που η αντιστροφή τους είναι σκληρή όσο και το πρόβλημα Π Π.χ. το πρόβλημα της παραγοντοποίησης ( δοθέντος Ν βρες p,q με Ν = pq) Π.χ. Rabin x *x -> x mod N H κρυπτογραφία απαιτεί πρόσθετες ιδιότητες, π.χ., μια καταπακτή (trapdoor) για την αντιστροφή της συνάρτησης Π.χ. Rabin: εάν τα p,q είναι γνωστά τότε είναι εφικτός ο υπολογισμός του x δοθέντος του x*x mod (N=pq) 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

3 ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ
Επιτρέπει σε δύο ενδιαφερόμενους Α και Β να επικοινωνήσουν χωρίς να έχουν κάποιο κοινό κλειδί (μυστικό). Συμφωνούν μόνο σε δύο αλγόριθμους Ε και D, κρυπτογράφησης και αποκρυπτογράφησης, αντίστοιχα. Πώς; Στην αρχή ο Α διαλέγει δυο τυχαία "κλειδιά" ένα δημόσιο e και ένα ιδιωτικό d. Δημοσιεύει το κλειδί e. Όταν ο Β θέλει να στείλει ένα μήνυμα m στον Α, το κωδικοποιεί χρησιμοποιώντας το δημόσιο κλειδί e, στέλνει δηλαδή το m'=Ε(m,e). Ο Α λαμβάνει το μήνυμα m' και ΥΠΟΛΟΓΙΖΕΙ το αρχικό μήνυμα, με τη χρήση του ιδιωτικού του κλειδιού d, σαν m=D(m', d)=D(E(m, e), d). Το πρωτόκολλο αυτό είναι ασφαλές μόνο εάν είναι ΥΠΟΛΟΓΙΣΤΙΚΑ ΑΔΥΝΑΤΟΝ να βρεθεί το m. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

4 RSA: Το πιο διαδεδομένο κρυπτοσύστημα δημόσιου κλειδιού
Ο Α διαλέγει δυο μεγάλους (τυχαίους) πρώτους αριθμούς p και q, και έναν αριθμό εκθέτη e πρώτο ως προς (p-1) (q-1). Υπολογίζει το n=pq και το d=1/e mod (p-1) (q-1). Το δημόσιο κλειδί είναι το (n,e). Το ιδιωτικό κλειδί είναι το (p,q,d). Δημοσιεύει το κλειδί (n,e). Όταν ο Β θέλει να στείλει ένα μήνυμα m στον Α, στέλνει το m'=me mod n O A το αποκωδικοποιεί ως εξής: m=(m')d mod n Το RSA βασίζεται στο ότι δεν ξέρουμε κανένα γρήγορο αλγόριθμο που να μπορεί να υπολογίζει το d εάν δοθούν το n και το e. Αντίθετα είναι εύκολο να βρεθεί το d εάν δοθούν τα p, q, και e. Δηλαδή το RSA είναι ασφαλές μόνο εάν το πρόβλημα παραγοντοποίησης ακεραίων αριθμών (δηλαδή: δίνεται n, υπολόγισε τους πρώτους παράγοντες του p,q) είναι υπολογιστικά δύσκολο (t ~ Ο(exp(1.9(log n)^1/3(log log n)^2/3)), t(150bits)~Ο(μήνας), t(400bits)~1010 χρόνια! ). 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

5 Πλεονεκτήματα της κρυπτογραφίας δημόσιου κλειδιού
Δεν απαιτεί προηγούμενη συμφωνία για κλειδιά και δεν χρειάζεται μεταφορά κλειδιών. Νέες μονάδες/μέλη μπορούν να αρχίσουν να επικοινωνούν αμέσως (ιδιαίτερα χρήσιμο στο Διαδίκτυο). Επιτρέπει πολλά επιπλέον επιθυμητά πρωτόκολλα (authentication, secret sharing, signature, etc). Έχει δοκιμαστεί επαρκώς στην πράξη με ικανοποιητικά αποτελέσματα. Βασίζεται στην σοβαρή και αυστηρή θεωρία της Υπολογιστικής Πολυπλοκότητας. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

6 Μειονεκτήματα της κρυπτογραφίας δημόσιου κλειδιού
Δεν προσφέρει απόλυτη ασφάλεια αλλά μόνο ασφάλεια που βασίζεται στη δυσκολία υπολογισμού της απάντησης. Οποιοδήποτε τέτοιο σύστημα "σπάει" εάν έχουμε πολύ ισχυρούς υπολογιστές. Βασίζεται σε εικασίες. Τίποτα δεν έχει αποδειχτεί από την «σοβαρή και αυστηρή θεωρία της Υπολογιστικής Πολυπλοκότητας". Δεν έχει καν αποδειχτεί ότι κρυπτογραφία δημόσιου κλειδιού είναι δυνατή. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

7 Τι λεει η Θεωρία Πολυπλοκότητας
Εικασίες ‘περιέχεσται’ κλάσεων πολυπλοκότητας PSPACE Μονόδρομες Συναρτήσεις NP QP BPP P 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

8 Τί λέει η Θεωρία Πολυπλοκότητας
Η συνάρτηση f: Σ* -> Σ* καλείται μονόδρομη εάν Η f είναι ένα-προς-ένα και διατηρεί τα μήκη, δηλ., για κάθε x in Σ* ισχύει |x|1/k  |f(x)|  |x|k , k>0 Η f in P, δηλ., υπολογίζεται σε πολυωνυμικό χρόνο Η αντίστροφή της f –1 δεν ανήκει στην κλάση Ρ αλλά στην κλάση ΝΡ-Ρ, δηλ., δεν υπάρχει πολυωνυμικός αλγόριθμος που δοθέντος του y ή να υπολογίζει ένα x τέτοιο ώστε f(x)=y ή να απαντά ΟΧΙ εάν δεν υπάρχει τέτοιο x. Το x μπορεί μονοσήμαντα να ανακτηθεί από το y=f(x) δοκιμάζοντας όλα τα x με κατάλληλο μήκος, όχι όμως σε πολυωνυμικό χρόνο! Ακόμη και να ισχύει Ρ  ΝΡ δεν υπάρχει απόδειξη ότι υπάρχουν πράγματι μονόδρομες συναρτήσεις! 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

9 Ιστορικό της κρυπτογραφίας δημόσιου κλειδιού
Η κρυπτογραφία δημόσιου κλειδιού προτάθηκε το 1976 απο τους Diffie και Hellman. Το RSA εφευρέθηκε από τους Rivest, Shamir, και Adelman το 1977. Άλλα συστήματα που προτάθηκαν την ίδια εποχή. Το πρωτόκολλο του Rabin που βασίζεται στη δυσκολία υπολογισμού της τετραγωνικής ρίζας (x^2=y mod pq, δίνεται το y, βρες το x). Πρωτόκολλα βασισμένα στο πρόβλημα του διακριτού λογαρίθμου ( π.χ., το κρυπτοσύστημα ElGamal, α^a=β mod p, δίνονται τα α,β, βρες το a) Πολλά άλλα πρωτόκολλα που προτάθηκαν τότε αποδείχτηκαν ανασφαλή στη δεκαετία του 80. Την τελευταία δεκαετία εμφανίστηκε η κβαντική κρυπτογραφία. Επίσης τα τρία τελευταία χρόνια προτάθηκαν νέα κρυπτογραφικά συστήματα βασισμένα σε καλύτερες θεωρητικές βάσεις, όπως σε προβλήματα πλέγματος σημείων. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

10 Κ. Χαλάτσης, Κρυπτογραφία
Η κατάσταση σήμερα H κρυπτογραφία δημόσιου κλειδιού χρησιμοποιείται ευρύτατα σήμερα στο Διαδίκτυο. Η τεράστια άνθηση των ηλεκτρονικών εφαρμογών που απαιτούν ασφάλεια (χρήση πιστωτικών καρτών, electronic banking, e-commerce) θα ήταν πρακτικά αδύνατη εάν υπήρχε μόνο κρυπτογραφία ιδιωτικού κλειδιού κυρίως λόγω της δυσκολίας διανομής και συντήρησης κλειδιών. Το RSA είναι το πιο διαδεδομένο σύστημα κυρίως λόγω της χρήσης του από τους πιο δημοφιλείς browsers (Νetscape και Εxplorer). Σήμερα το μέγεθος των κλειδιών είναι >128 bits. Αυτό το μέγεθος φαίνεται να προσφέρει ασφάλεια για συνήθεις οικονομικές συναλλαγές. Τα 40 bits που χρησιμοποιούσαν πριν λίγα χρόνια δεν είναι πια ασφαλή. Για δεδομένα υψίστης ασφάλειας συνιστάται η χρήση κλειδιών μήκους 1024 bits. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

11 Κ. Χαλάτσης, Κρυπτογραφία
Κρατικά Πρότυπα Στις ΗΠΑ, η κυβέρνηση διαμόρφωσε ήδη απο τη δεκαετία του ‘50 το Data Encryption Standard (DES). Τα 56 bits του DES αν και ήταν αρκετά στα τέλη της δεκαετίας του '70 δεν θεωρούνται πια ασφαλή. Νέα standards αναζητούνται τόσο στις ΗΠΑ όσο και στην ΕΕ. Χρειαζόμαστε άραγε standards ειδικά για την Ελλάδα; Η κυβέρνηση των ΗΠΑ απαγορεύει την εξαγωγή κρυπτογραφικών πακέτων (εκτός από αυτά που είναι παλιάς τεχνολογίας). Υπήρχαν όμως επιτυχημένες προσπάθειες από την κοινότητα του ελεύθερου software που παρέκαμψαν τη σχετική νομοθεσία (π.χ. το Pretty-Good-Privacy, PGP). Ήταν φανερό ότι υπό την πίεση των ενδιαφερόμενων εταιρειών και ομάδων ότι η νομοθεσία έτεινε να γίνει πιο ελαστική. Τα γεγονότα της 11ης Σεπτεμβρίου άλλαξαν δραματικά τα δεδομένα. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

12 Νέες κατευθύνσεις: Κρυπτογραφία πλέγματος
Κάνει χρήση άλλης κλάσης προβλημάτων για κρυπτογραφία Πολλά από αυτά τα προβλήματα είναι ΝΡ-σκληρά για επακριβή λύση ή και προσεγγιστική Μερικά προβλήματα πλέγματος είναι αποδεδειγμένα σκληρά κατά μέσον όρο, σε σχέση με την χειρότερη περίπτωση δυσβατότητας (intractability) κάποιου άλλου προβλήματος πλέγματος Δεν είναι γνωστός αντίστοιχος κβαντικός αλγόριθμος Μειονέκτημα: τα κλειδιά έχουν πολύ μεγαλύτερο μήκος σε σχέση με του RSA, Robin, κλπ 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

13 Κ. Χαλάτσης, Κρυπτογραφία
ΠΛΕΓΜΑΤΑ Σημείων Πλέγμα n-διαστάσεων: είναι το σύνολο όλων των ακεραίων γραμμικών συνδυασμών των διανυσμάτων βάσεως {Β1, Β2,..., Βn} Κάθε πλέγμα έχει άπειρες βάσεις Όλες οι βάσεις έχουν την ίδια ορίζουσα 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

14 Πρόβλημα Εγγύτερου σημείου Closest Vector Problem
Δίνεται κάποια βάση ενός πλέγματος και ένα σημείο y του n-διάστατου χώρου. Θέλουμε να υπολογίσουμε το πλησιέστερο σημείο του πλέγματος στο y. Το πρόβλημα αυτό πιστεύεται ότι είναι δύσκολο υπολογιστικά και μπορεί να χρησιμοποιηθεί για κρυπτογραφία. Η αποκωδικοποίηση βασίζεται στο γεγονός ότι εάν έχουμε μια κατάλληλη βάση του πλέγματος είναι εύκολο να βρούμε το πλησιέστερο σημείο. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

15 Κρυπτογράφηση με πλέγμα (GGH)
Αποκρυπτογράφηση Χρήση της Β για να βρεις Βy=Rx πλησιέστερα στο c D(c) = c – By = m Κρυπτογράφηση Επέλεξε Rx τυχαία Ιδιωτικό κλειδί Πρόσθεσε μικρό λάθος m Πλέγμα Β E(m) = Rx + m = c Δημόσιο κλειδί Τυχαία βάση R 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

16 Κβαντικοί υπολογιστές
Quantum bit (qubit) [ 0 or 1 or {01}] ή ( |ψ› = a|0› + b|1›, |a|2+|b|2=1) Κύριο χαρακτηριστικό των κβαντικών υπολογιστών είναι το "μπλέξιμο" (διεμπλοκή -entanglement) των κβαντικών καταστάσεων. Quantum register (π.χ. Αντί 010 έχει {000, 001,..., 111} Έτσι μπορεί να έχουμε το εξής παράδοξο φαινόμενο: Η πιθανότητα ενός γεγονότος να εξαρτάται από το πότε θα παρατηρήσουμε το σύστημα. Π.χ. Έστω Α(t,s) το γεγονός ότι το σύστημα τη χρονική στιγμή t είναι στην καταστάση s. Η πιθανότητα του Α(t,s) δεν είναι ίδια εάν παρατηρήσουμε το σύστημα τη στιγμή t και την στιγμή t+1. 2^-(1/2) -2^-(1/2) t t+1 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

17 Παραγοντοποίηση ακεραίων με κβαντικούς υπολογιστές
Θεώρημα [Peter Schor, 1994]: Το πρόβλημα της παραγοντοποίησης ακεραίων λύνεται σε πολυωνυμικό χρόνο σε κβαντικούς υπολογιστές (t~O[(ln n)^3], t(128bits~μήνα, t(400bits~3 χρόνια). Εάν είχαμε κβαντικούς υπολογιστές: το RSA δεν θα ήταν ασφαλές. Το ίδιο ισχύει για πολλά άλλα κρυπτογραφικά συστήματα δημόσιου κλειδιού. Η κρυπτογραφία δημόσιου κλειδιού μπορεί να είναι ακόμα δυνατή αλλά με νέα συστήματα (ίσως κρυπτογραφία πλέγματος). μπορεί να έχουμε κβαντική κρυπτογραφία, δηλαδή εντελώς νέα συστήματα που εκμεταλλεύονται κβαντικά φαινόμενα. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

18 Πότε θα κατασκευάσουμε κβαντικούς υπολογιστές;
Αισιόδοξη άποψη: Σε 5-10 χρόνια θα έχουμε τους πρώτους απλούς κβαντικούς υπολογιστές. Κβαντικοί υπολογιστές είναι θεωρητικά δυνατό να κατασκευάσουμε. Στην πράξη όμως δεν θα τα καταφέρουμε λόγω ανυπέρβλητων τεχνολογικών προβλημάτων (προβλήματα αποσυντονισμού-decoherence, error-correction, κλπ). Απαισιόδοξη άποψη: Κβαντικοί υπολογιστές είναι αδύνατοι ακόμη και θεωρητικά. Η κβαντική θεωρία πρέπει να αναμορφωθεί. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

19 Κβαντική κρυπτογραφία
π.χ., διανομή κλειδιού (key distribution): με τη χρήση ''μπλεγμένων'' ζευγών qubits (μέθοδος ΒΒ84 using EPR ζεύγη, Einstein-Podolski Rosen). Ο Α ετοιμάζει ζεύγη qubits και μετρά το ένα qubit κάθε ζεύγους, πριν στείλει το άλλο qubit στον Β, ως προς έναν άξονα που επιλέγει τυχαία μεταξύ δυο κατάλληλων αξόνων με πιθανότητα 1/2. O B κάνει την ίδια μέτρηση στα δικά του qubits. Επικοινωνία του Α και Β (μέσω συμβατικού καναλιού) τους επιτρέπει να πουν ως προς ποιόν άξονα έκαναν κάθε μέτρηση (δεν λένε όμως τα αποτελέσματα των μετρήσεων). Για εκείνα τα qubit που συμφωνούν οι άξονες, έχουν το ίδιο αποτέλεσμα (0 ή 1) και συνεπώς έχουν προσδιορίσει τα bits του μυστικού κλειδιού. Η υποκλοπή qubit από από κάποιον τρίτο C γίνεται αντιληπτή από τους Α και Β από το αποτέλεσμα των μετρήσεων, δεδομένου ότι η μέτρηση από τον C του κλεμμένου qubit αλλοιώνει το αποτέλεσμα 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία

20 Ασφάλεια δεν είναι κρυπτογραφία
Ασφάλεια = Κρυπτογραφία; Μπορεί μια μέθοδος κρυπτογραφίας να φαίνεται ασφαλής στη θεωρία (αν και προς το παρόν δεν έχουμε καμιά τέτοια μέθοδο), αλλά η πράξη είναι εντελώς διαφορετική. Σχεδόν όλα τα κρυπτογραφικά συστήματα που έχουν υλοποιηθεί έχουν τις αδυναμίες τους λόγω κακής υλοποίησης. Ιδιαίτερα ευαίσθητα αποδεικνύονται συστήματα που βασίζονται σε μπερδεμένους αλγόριθμους και σε νεωτερισμούς (π.χ. χάος, fuzzy systems, κβαντικά συστήματα;). Μια ιδέα μπορεί να είναι ασφαλής μόνο εάν περάσει από τον εξονυχιστικό έλεγχο της (διεθνούς) επιστημονικής κοινότητας. 13 Μαΐου 2003 Κ. Χαλάτσης, Κρυπτογραφία