Сада када смо видели неколико примера историјских шифри, које су све са значајним
слабостима, прећи ћемо на другу тему и говорићемо о много боље осмишљеним
шифрама. Али пре тога, желим да
прецизније одредим појам шифре.
Пре свега, шифра се у ствари
састоји од два алгоритма.
Постоје алгоритам за шифровање
и за дешифровање. Међутим,
шифра се дефинише са три елемента.
Ту је скуп свих могућих кључева,
који ћу да означим словом К, и понекад
ћу да га називам простором кључева -
скуп свих могућих кључева.
Затим ту је скуп свих могућих порука,
и скуп свих могућих шифрованих текстова.
Значи ова тројка на неки начин одређује
околину над којом се дефинише шифра.
Сама шифра је пар ефикасних
алгоритама Е и D. Е је алгоритам за шифровање;
D је алгоритам за дешифровање.
Наравно, Е узима кључеве и поруке,
и враћа шифроване текстове - шифрате.
Алгоритам за дешифровање узима
кључеве и шифрате, а враћа поруке.
Једини захтев је да ови алгоритми буду доследни.
Ово својство се назива "исправност".
Значи за сваку поруку из простора порука,
и за сваки кључ у простору кључева,
мора да важи, да ако шифрујем
поруку кључем k и дешифрујем
користећи овај исти кључ,
треба да добијем првобитну поруку.
Дакле ова једначина назива се
једначином доследности, и она мора
да важи за сваку шифру,
иначе не би било могуће дешифровање.
Желим да нагласим да је реч "ефикасан"
под наводницима, зато што она
може да има различито значење.
За оне више окренуте ка теорији,
"ефикасан" значи извршава се у полиномном времену, тј. алгоритми Е и D
извршиви су у полиномној временској
зависности од величине улаза.
За оне окренуте ка пракси, "ефикасан"
значи извршив у оквиру задатог времена.
На пример, алгоритам Е треба да обради
гигабајт података за мање од једног минута.
У сваком случају, реч "ефикасан"
обухвата оба ова виђења,
и можете да је тумачите како вам више одговара.
Ја ћу и у наставку да је користим
под наводницима; као што сам рекао,
ако више нагињете ка теорији
сматрајте да се односи на полиномно време,
иначе, на задато временско ограничење.
Следеће што желим да напоменем,
тиче се алгоритма Е.
Најчешће је ово алгоритам насумичних вредности; то јест приликом шифровања
порука, алгоритам Е узима случајне битове,
и користи ове битове да шифрује
поруке које му се прослеђују.
Са друге стране, алгоритам за дешифровање
увек је алгоритам са утврђеним излазима.
То значи да за исте вредности кључа и шифрата
увек даје исти излаз, независно
од било какве насумичности
која постоји у алгоритму.
Сада када мало боље схватамо појам шифре,
желим да вам дам први пример безбедне шифре.
Зове се "једнократна бележница". Развио ју је Вернам почетком 20-тог века.
Пре него што објасним начин рада ове шифре,
хајде да користећи праву терминологију
кажемо шта овде видимо.
Простор порука за Вернамову шифру - једнократну бележницу - је исти као и простор шифрата,
а то је једноставно скуп свих низова бинарних бројева дужине n. То значи,
свих низова битова знакова 0 и 1.
Простор кључева је исти као простор порука,
што је такође скуп свих n-битних бинарних низова. Дакле, кључ код једнократне бележнице
јесте насумично изабран низ битова,
дужине која је иста као дужина поруке
која треба да се шифрује.
Сада када смо видели чиме је дефинисана шифра,
можемо да видимо како ради,
што је у ствари врло једноставно.
Шифрати, који су производ шифровања
поруке одређеним кључем,
добијају се операцијом XOR над
овим двема вредностима: К XOR М.
Подсетимо се ознаке за операцију XOR.
XOR значи збир по модулу 2.
Ако узмем рецимо поруку 0110111,
и неки кључ, нпр. 1011001,
када шифрујем поруку на овај начин,
све што треба је да израчунам XOR
ове две вредности.
Другим речима, одрадим збир по модулу 2,
бит по бит; и добијем: 1101110.
Ово је шифрат.
Како ћу да дешифрујем?
У ствари, поновим исту операцију.
Шифрат се дешифрује овим истим кључем.
Извршим операцију XOR над кључем и шифратом.
Све што остаје је да потврдимо
да је задовољен захтев за доследношћу.
Сада ћу да урадим ово поступно, а у будуће
ћу да претпоставим да вам је познато.
Дакле желимо да се уверимо
да дешифровањем шифрата,
шифрованог одређеним кључем,
обавезно добијам поруку m.
Да видимо...
Посматрам шифрат над k и m.
По дефиницији ово је k XOR m.
А шта представља дешифровање
вредности k XOR m? То је k XOR (k XOR m).
А будући да је XOR збир по модулу 2,
сабирање је асоцијативно,
дакле ово је исто што и (k XOR k) XOR m,
а као што знате (k XOR k) је нула,
а нула XOR било која вредност
је само m. Овим смо показали да је
једнократна бележница шифра,
али ово нам ништа не говори о безбедности шифре.
Прећи ћемо на безбедност за који час,
али пре тога, само једно питање,
да будемо сигурни да се разумемо.
Рецимо да вам је дата
порука m, и шифрат те поруке,
коришћењем једнократне бележнице.
Све што знате је порука и шифрат.
Моје питање за вас је,
знајући пар m и с, да ли можете да
откријете кључ који је коришћен
приликом добијања с на основу m?
Надам се да сви уочавате да је, у ствари,
знајући поруку и шифрат,
врло лако добити вредност кључа.
Конкретно, кључ је једноставно
m XOR с. Ако вам није очигледно,
видећемо зашто је то тако, мало касније.
Једнократна бележница је одлична
што се тиче перформанси,
све што се извршава је XOR операција између кључа и поруке, дакле ово је врло, врло брза
шифра за рад са врло великим порукама.
Нажалост, у пракси је тешко примењива.
Разлог за то је што су кључеви
исте дужине као и порука.
Значи ако Алиса и Боб желе
безбедну комуникацију, тј. Алиса жели
да пошаље поруку Бобу, пре него
што почне са слањем поруке,
она мора да пошаље Бобу кључ,
који је исте дужине као и порука.
Али, ако постоји начин да пошаље
Бобу тајни кључ исте дужине као и порука,
може лепо да тим начином пошаље
и саму поруку. Дакле чињеница да је кључ
исте дужине као и порука,
је прилично незгодна, и чини овај начин
шифрирања јако тешким за примену.
Мада ћемо да видимо да је замисао иза
једнократне бележнице врло корисна,
а ово ћемо да покажемо мало касније.
А сада да се задржимо мало на безбедности.
Поставља се очигледно питање:
зашто је једнократна бележница безбедна?
Зашто је ово добра шифра?
Да бисмо одговорили на ово питање,
најпре морамо да видимо шта је то уопште
безбедна шифра, шта чини шифру
безбедном? Да бисмо се бавили безбедношћу шифара, морамо да се позабавимо најпре
теоријом информације. Заправо, прва особа
која се озбиљно бавила питањем
безбедности шифара, јесте чувени отац теорије информације, Клод Шенон,
који је још 1949. објавио познати рад,
у којем је проучавао
безбедност једнократне бележнице.
Замисао иза Шенонове дефиниције безбедности
је следећа: у основи, ако је све
што стоји на располагању сам шифрат,
на основу њега не сме ништа да се сазна о отвореном тексту.
Другим речима, шифрат не сме да открива никакву информацију о отвореном тексту.
И видите сада зашто је неко ко је изумео теорију информације могао да дође до овог појма,
зато што је неопходно да се искаже, формално објасни, шта у ствари представља информација
о отвореном тексту. Сада ћу да вам покажем Шенонову дефиницију,
најпре ћу да је испишем полако.
Рецимо да имамо шифру (Е, D) одређену над тројком (K, M, C) као и раније.
K, M, и C одређују простор кључева, простор порука и простор шифрата.
Шифра има савршену тајност
ако важи следеће: за сваке две поруке m0 и m1,
у простору порука, при чему је једини захтев
за ове две поруке
да буду исте дужине (видећемо зашто
је потребан овај услов за који час)
и за сваки шифрат,
у простору шифрата, дакле за сваки пар порука
и за сваки шифрат,
мора да важи, да је вероватноћа да се
шифровањем m0 са k добија c,
иста као и вероватноћа да се
шифровањем m1 са k добија c.
Дакле вероватноћа да шифровањем m1 добијемо с
је потпуно иста као и вероватноћа
да шифровањем m0 добијемо с.
Дакле да ово важи за кључеве чија је расподела
равномерна у простору кључева.
Користићу ознаку к са стрелицом
са малим r изнад да означим чињеницу
да је к променљива са насумичном вредношћу
која је равномерно узоркована у простору К.
Ово је главни садржај
Шенонове дефиниције. Хајде да размислимо мало
о томе шта се овом дефиницијом каже.
Дакле шта значи да су ове
две вероватноће једнаке?
То значи да ако сам ја нападач
и пресретнем одређени шифрат с,
тада је у ствари, вероватноћа да је
овај шифрат шифра за m0, иста
као и вероватноћа да је он шифра за m1.
Зато што су ове две вероватноће једнаке.
Дакле ако је све што имам шифрат с,
тада ја никако не могу да знам да ли је
шифрат потекао од m0 или од m1,
јер је, понављам, вероватноћа да се добије с
иста за обе ове поруке.
Овде поново имамо дефиницију.
И сада само желим да ово поново
запишем мало прецизније.
Дакле ако имам на располагању неки шифрат,
не могу на основу тога да тврдим
од које поруке потиче m0 или m1.
Штавише, ово важи за све поруке,
за сваки пар порука.
И не само да не могу да разликујем да ли је шифрат добијен од m0 или m1,
не знам ни да ли потиче од m2, m3, m4, m5,
зато што све оне имају исту вероватноћу
да се од њих добије с.
То значи, да приликом шифровања порука једнократном бележницом,
чак и најмоћнији декриптор,
колико год паметан био,
не може да сазна ништа о отвореном тексту
на основу шифрата.
Да кажемо ово на још један начин,
не постоји напад који је усмерен само на шифрат
на шифру са савршеном тајношћу.
Напади који су усмерени само на шифрат
нису једини постојећи напади - постоје друге врсте напада, којима је подложна оваква шифра.
Сада када смо разумели појам савршене тајности,
поставља се питање, да ли је могуће направити шифру са овом особином?
Испоставља се да једнократна књижница
има савршену тајност.
Желим и да вам изведем доказ за ово,
то је уједно и Шенонов први резултат,
доказ је једноставан, тако да
хајде да га одмах изведемо.
Потребно је да протумачимо шта то значи,
та вероватноћа Pr (Е(k, m0) = с).
Није тешко да се види да за сваку поруку
и за сваки шифрат, вероватноћа да се шифровањем m кључем k
добија с, при чему се, по дефиницији,
кључ бира насумице,
представља количник броја кључева из скупа К,
таквих да ако шифрујем m са k добијам с,
подељених са укупним бројем могућих кључева.
То је вероватноћа да ако одаберем насумице неки кључ, он ће да преслика m у с.
To je практично број кључева који пресликавају m у с,
кроз укупни број кључева.
Претпоставимо сада да имамо шифру
такву да за све поруке и све шифрате,
важи да ако погледам овај број, број k из скупа К, таквих да је Е(k, m) = с
другим речима, посматрам број кључева
који пресликавају m у с; претпоставимо да је
овај број нека константа.
Рецимо да је то 2, 3, 10 или 15.
Рецимо да је то константна вредност. У том случају, према дефиницији, за свако m0 и m1
и за свако с, ова вероватноћа мора да буде иста,
зато што је именилац исти,
бројилац исти, нека константа,
и из тога следи да је и вероватноћа
увек иста за свако m и с. Дакле ако је ово тачно, шифра мора да има
савршену тајност. Да видимо сада
шта можемо да кажемо
о овој величини за једнократну бележницу.
Питање за вас је, ако имате
на располагању шифрат и поруку,
колико једнократних кључева постоји,
који пресликавају поруку m у с?
Другим речима, колико кључева
постоји, таквих да је m XOR k = c?
Надам се да сте одговорили да је један.
Да видимо и зашто:
За једнократну бележницу, израз Е(k, m) = c,
по дефиницији значи
да је k XOR m = c.
Али то такође значи да мора да је
m XOR с = k. Ово смо добили тако што смо извршили XOR обе стране са m.
Из овога произилази,
да је за једнократну бележницу,
број кључева у К, таквих да је E(k, m) = c, једноставно 1,
и то важи за све поруке и шифрате. Тако да, на основу претходно реченог,
произилази да једнократна бележница има савршену тајност.
Овим је доказ завршен.
Ово је врло једноставна лема.
Међутим, иако је толико једноставно
да се она докаже,
из овог доказа произилази јако моћан закључак.
Ово у ствари значи да за једнократну бележницу не постоји напад који се ослања само на шифрат.
Дакле за разлику од шифре замене, или Вижнерове шифре, или шифарског диска,
које су све могле да буду разбијене нападом који се ослања само на шифрат,
код једнократне бележнице, како смо доказали, ово једноставно није могуће.
На основу шифрата, ништа се не сазнаје о отвореном тексту. Али, као што видимо,
ово није крај приче. То јест, јесмо ли завршили? Будући да смо открили начин
да шифрирамо тако да декриптор не може да открије ништа
о нашој поруци, можда смо дакле завршили са течајем? Али заправо, као што ћемо да видимо,
постоје и други напади. У ствари, једнократна бележница и није тако безбедна шифра.
Постоје други могући напади,
које ћемо ускоро да видимо. Наглашавам поново ову чињеницу, да и поред савршене тајности,
не произилази да је једнократна бележница безбедна шифра. Али, као што смо рекли,
код једнократне бележнице незгодно је то
што је тајни кључ јако дугачак.
Ако постоји начин да се тајни кључ безбедно пренесе другој страни, онда може
тим истим начином да се саопшти
и сама порука другој страни,
а у том случају уопште нам и не треба шифра.
Дакле, још једном, проблем је то
што једнократна бележница има јако дуги кључ,
и намеће се питање да ли постоје
друге шифре које имају савршену тајност,
али много, много краће кључеве?
Лоша вест је то што је Шенон, након што је доказао да једнократна бележница има
савршену тајност, доказао и теорему
да свака шифра која има
савршену тајност, мора да има на располагању најмање исти број кључева
као и број порука које се обрађују шифром. То значи, да ако шифра има савршену тајност,
тада број кључева, то јест дужина кључа
мора да буде већа или једнака дужини поруке.
Заправо, пошто једнократна бележница задовољава овај услов код једнакости,
она је у ствари оптимална шифра која има савршену тајност.
Дакле једнократна бележница је занимљива шифра,
али јако тешка за примену,
због дугачних кључева. Сам појам савршене тајности,
иако врло занимљив, говори нам у суштини да шифре које су згодне за примену
не могу да буду безбедне. Али, као што смо напоменули, сама замисао која је
у основи једнократне бележнице је јако добра.
А у следећој лекцији ћемо да видимо,
како да на основу ње направимо применљив систем.