有哪些非正式指標可用於估計密碼問題的計算不可行性?
當假設一個分組密碼原語是安全的,或者一個數論問題是困難的,這個假設通常是基於我們離破壞原語或使用已知技術解決問題的距離——使用已知的算法和硬體。
**但是,從元密碼學的角度來看,我們如何證明不存在任何更有效的算法或任何更好的硬體的假設是正確的?**我不是要求對此事發表意見(或要求修復算法並證明必要的硬體在物理上是不可能的),而是要求基於密碼學社會學或密碼學經濟學的理由,使用科學(合理且可重複)方法並基於所有研究都是在已有研究的背景下進行的前提。
- 一個單獨的小團隊,僅基於公共研究的狀態和他們自己的結果進行研究,比該領域的其他人早幾年或幾十年得出結果的可能性有多大?
- 大型組織是否有可能在內部積累足夠的研究成果,讓該組織內的研究人員比該領域的獨立研究人員領先一步?
- 如果對上一個問題回答“是”,有沒有辦法可靠地判斷一個組織是否擁有如此大量的秘密積累知識?是否可以使用該組織輸出的論文和專利數量作為其沒有僅在內部積累知識的戰略的可靠指標?組織之間的人員流動情況如何,即人員換工作?
- 一個組織利用其在密碼原語中發現的弱點被抓獲的可能性有多大?如果組織只是利用弱點來收集情報?弱點需要進行被動攻擊還是主動攻擊是否重要?
但是,從元密碼學的角度來看,我們如何證明不存在任何更有效的算法或任何更好的硬體的假設是正確的?
從密碼學的角度來看,最好的答案通常是模組化:我們希望設計可以基於“不實例化”假設的方案(即,我們可以實例化共享某些數學結構的大量對象的假設)。例如,我們知道離散對數問題在泛型組(沒有附加結構的組)中很困難。因此,如果基於離散對數的方案在給定結構上被破壞,如果在另一個組上實例化它可能會保持安全,而附加結構較少(儘管量子電腦的出現,ofc)。
從元密碼學的角度來看,一旦部署了特定係統,我們的信心主要來自兩個考慮因素:
- 底層問題研究了多長時間
- 有多少人在積極從事密碼學研究(學術界和公司)
例如,因式分解問題已經有很長的歷史了,因此我們對它的理解似乎更有可能更高級——否則,我們錯過一種允許快速因式分解的簡單方法的可能性較小。然而,第二個考慮可能仍然是最重要的一個。在 90 年代,一個強大的情報機構(例如 NSA)聘請足夠多的數學家,並讓他們獲得巨大的計算能力,以便與世界其他地方競爭,這似乎是合理的。能做。隨著過去幾十年密碼學的發展,這似乎不再合理。成千上萬的研究人員正在積極研究密碼學,因此一個機構最多只能僱傭這些研究人員中的一小部分。我認為沒有充分的理由相信一切順利研究人員最終可能會為同一個機構工作(特別是因為密碼學研究已遍布全球)。假設一個機構可以聘請的研究人員是優秀研究人員中具有足夠代表性的樣本,這意味著密碼學突破來自給定機構的可能性相當小。對於計算能力也有同樣的看法:如今,即使是像 NSA 這樣強大的機構也無法發起加密攻擊,而這需要比Google、蘋果或微軟等公司擁有的更多的計算能力。
一個單獨的小團隊,僅基於公共研究的狀態和他們自己的結果進行研究,比該領域的其他人早幾年或幾十年得出結果的可能性有多大?
這並非不可能。它出現在過去:Clifford Cock在 Rivest、Adleman 和 Shamir 引入 RSA 的五年前,基本上已經發現了 RSA,當時他還在 GCHQ 工作。在 70 年代,NSA 顯然已經發現了差分密碼分析(參見Bruce Schneier 的這篇文章),它可以破解許多看似安全的方案,並且只是在 90 年代“公開”發現。然而,當時從事這一領域工作的人數比今天要少得多。如今,此類事件發生的機率可能應該接近(為該機構工作的人數)/(在與該機構工作相關的領域工作的研究人員人數)。難以精確估計,但可能很小。
大型組織是否有可能在內部積累足夠的研究成果,讓該組織內的研究人員比該領域的獨立研究人員領先一步?
同樣,這並非不可能,但它比其他任何事情都更需要運氣。但這是假設問題是關於在已部署方案的*密碼分析方面找到突破性結果。*事實上,可以找到其他類型的攻擊,而且它們似乎更有可能。
- 該機構可以發現攻擊,不是針對原語,而是針對協議。由於其高度複雜的結構,可能的攻擊範圍大大增加。與原語的密碼分析不同,破解協議並不是要找到先進的數學方法,而只是思考人們以前沒有考慮過的事情。最近的logjam攻擊或3SHAKE就是一個很好的例子。一些機構已經意識到尚未公開披露的此類攻擊並非完全不可能。
- 更有可能的是,該機構可以直接發現特定實施(加密原語/協議或更高級別)中的缺陷。這些缺陷通常是毀滅性的,概念上非常簡單,並且似乎比新的因式分解算法更容易辨識(這些缺陷經常被發現)。例如,可以想想最近的心臟出血。同樣,一些機構似乎很可能已經意識到尚未公開披露的安全問題。
如果對上一個問題回答“是”,有沒有辦法可靠地判斷一個組織是否擁有如此大量的秘密積累知識?是否可以使用該組織輸出的論文和專利數量作為其沒有僅在內部積累知識的戰略的可靠指標?組織之間的人員流動情況如何,即人員換工作?
如果組織很小,並且對其所做的一切都保密,那麼就沒有辦法說出來。情報機構顯然不會撰寫專利或發表有關其最重要發現的論文。但是,如果組織規模很小,它也極有可能成為密碼學突破的起源。
另一方面,如果一個組織很大,那麼有一個標準的方法可以知道它在做什麼:洩漏。如果組織與許多人合作,在至關重要的敏感主題上,最終會洩露一些東西——人為缺陷是唯一一個機構無法應對的缺陷。這發生在斯諾登身上,並且可能再次發生。
一個組織利用其在密碼原語中發現的弱點被抓獲的可能性有多大?如果組織只是利用弱點來收集情報?弱點需要進行被動攻擊還是主動攻擊是否重要?
這完全取決於特定的場景:可能是主動攻擊仍然未被檢測到,或者它會以明顯的機率被檢測到。在密碼學中一個重要而活躍的研究領域——安全計算領域,通過考慮三種類型的對抗行為:被動、隱蔽和主動,這一事實已得到承認。被動和主動攻擊是您已經知道的類型;一個針對隱蔽對手的安全協議 可以被主動攻擊破壞,但不可能在不被抓住的情況下破壞其安全性(很有可能)。這背後的基本原理是,在實踐中,一家重要的公司/機構可能想要攻擊加密協議,但在這樣做時不能被抓住。
如果弱點只需要被動攻擊,而機構只是收集資訊,則無法判斷(內部洩漏除外):被動攻擊可以離線安裝,在某些互動的記錄上,因此沒有理由任何人可以發現攻擊的結果,除非該人已經是該機構的一部分。