通過公共資訊公開討論的秘密密鑰協議
有一篇論文:UM Maurer, Secret key agreement by public Discussion from common information, IEEE Trans. 資訊。Theory, 39(3) 733-742 of 1993,恕我直言,標題相當令人印象深刻,但顯然由於某些未知原因,迄今為止在現代密碼學的普通教科書中一直被忽略。那裡的材料遠遠超出了我的卑微知識,因此我的要求是:請一些專家給出論文的主要思想的草圖,以便人們至少可以對它有一定的粗略理解?該關鍵協議方案是否有良好的開源實現?
Maurer 很可能對噪音做出了不切實際的假設。以下摘自論文的結論:
本文提出了以下結論,用於在給定的嘈雜通信通道上實施密碼系統。這樣的通道不應該通過糾錯碼的方式轉換為無誤碼通道,然後是基於無誤碼通道的加密協議,因為這種設計策略將意味著香農的悲觀不等式(2)適用,因此不能完美保密除非有不切實際的大量共享密鑰可用。相反,應該將密碼編碼和錯誤控制編碼結合起來,從而使系統實現幾乎完美的保密性,只需要一個(短)密鑰進行身份驗證。
作者希望這篇論文和後續關於實際實現的論文將有助於使完美保密更接近實用。
我也不是專家,但對新的非傳統密碼學很感興趣。對於研究論文,我發現它有助於作為第一遍閱讀摘要和結論。結論中提出的任何主張都可以通過回到論文中來引用。在本文中,對雜訊和錯誤編碼的依賴似乎既是它的優點也是缺點。
如果攻擊者可以操縱系統的雜訊/信號會發生什麼?如果他們能夠減少通道的噪音,攻擊者是否能夠從編碼中獲得太多關於密碼學的資訊?這是一個假設的攻擊:攻擊者 Eve 故意將雜訊注入系統,使系統看起來比實際雜訊大得多,然後通信雙方 Alice 和 Bob 從中得出他們的機率模型,但是當 Alice 和 Bob 開始交換數據時,Eve 刪除噪音。
相比之下,Diffie-Hellman 是一個更簡單的整體方案,它不對底層通信通道做任何假設。
其他答案提供了一些圖片。在這裡,我將嘗試將其結合在一起。
Maurer 的協議今天也被稱為優勢蒸餾。這篇論文是關於資訊論安全性的,通常被認為是昂貴的,從某種意義上說,它相當於使用一次性便箋簿。此外,經典(非量子)資訊論安全性的問題是需要對竊聽者 Eve 的雜訊做出假設。也就是說,這就是為什麼 Maurer 的結果很重要。
標准資訊論安全僅使用前向通信,模擬前向糾錯。在這種情況下,證明了最優策略是對 Bob 的通道進行糾錯,即 Maurer 所說的“創建一個無差錯通道”,然後,如果到竊聽者的通道仍然嘈雜,則執行隱私放大。然而,這只適用於 Eve 的通道比 Bob 的通道更差的情況。從這個角度來看,如果通信是手機信號塔(Alice)到你的手機(Bob),假設等同於假設 Eve 比你離信號塔更遠;它不能在中間。這不是一個現實的假設;如果您是目標,那麼進入中間是一件相當容易的事情,而且這個論點幾乎適用於任何通信場景。
然後進入雙向通信。在 Maurer 的協議中,Bob 被允許提供 Alice 可以用來提高保密率的回饋,正如 @{Meler Lawler} 直覺地解釋的那樣。突然間,即使 Eve 有更好的渠道*,只要 Eve 有一些噪音*,也可以達到陽性率。在手機信號塔的例子中,我們說即使 Eve 離信號塔更近,只要她沒有被接入信號塔本身,我們也可以獲得陽性率,我們仍然需要假設 Eve 到塔的最小距離。當然,在這個例子中,這個假設即使更強也仍然不現實。然而,毛雷爾認為,這種假設在某些情況下是合理的,例如當愛麗絲是在軌衛星時。有了這個假設,您就可以防止任何沒有能力前往衛星的竊聽者。
然而,大多數通信並不通過衛星傳播。更重要的是,在大多數通信中,假設 Eve 沒有完美或幾乎完美的竊聽是不現實的(例如手機信號塔的例子),因此無法使用資訊論安全性。這就是為什麼實用的密碼學基於更合理的,即使未經證實的計算假設。在計算加密中,假定竊聽者擁有通信的完美副本。此外,計算加密允許密鑰比消息短得多,這對於當今的大多數通信至關重要。
關於量子密鑰分發(QKD)的最後評論。量子力學可以證明竊聽者的通道有一定的雜訊(或者更準確地說,給定 Bob 的雜訊量,我們可以在 Eve 處綁定資訊),從而使資訊論安全成為現實。然而,它仍然是資訊論安全,因此成本高昂。因此,QKD 和計算加密(後量子)解決了不相交的問題:如果您的消息很短/一次性但需要永恆的安全性,請使用 QKD;如果您有長期/重複消息且保密有到期日(例如,預約後不再敏感的預約資訊)。