0:00:00.000,0:00:02.951
Antes de começarmos com o material técnico,[br]eu quero dar-lhe uma rápida

0:00:02.951,0:00:06.487
visão geral do que é a criptografia e[br]as diferentes áreas de criptografia.

0:00:06.487,0:00:10.487
O núcleo de criptografia do curso é a[br]comunicação segura que, essencialmente,

0:00:10.487,0:00:14.539
consiste de duas partes. O primeira é estabelecer [br]uma chave segura e, então, como fazer

0:00:14.539,0:00:18.697
a comunicação de forma segura, já que [br]temos a chave compartilhada. Já dissemos que o

0:00:18.697,0:00:22.854
estabelecimento da chave segura equivale a [br]Alice e Bob enviarem mensagens de um ao

0:00:22.854,0:00:26.906
outro, de forma que, ao final deste protocolo, haja uma chave compartilhada que

0:00:26.906,0:00:30.906
ambos concordam, compartilhada chave K e, além disso, além de apenas uma chave compartilhada, de fato

0:00:30.906,0:00:35.274
Alice saberia que ela está falando com Bob e Bob sabe que ele está falando com

0:00:35.274,0:00:39.964
Alice. Mas um atacante pobre que escuta em conversa sobre isso não tem idéia do que a

0:00:39.964,0:00:44.011
chave compartilhada é. E vamos ver como fazer isso mais tarde no curso. Agora, uma vez que

0:00:44.011,0:00:47.657
têm uma chave compartilhada, eles querem trocar mensagens de forma segura, utilizando esta chave, e

0:00:47.657,0:00:51.698
falaremos sobre esquemas de criptografia que lhes permitem fazer isso de tal maneira que

0:00:51.698,0:00:55.491
atacante não pode descobrir o que as mensagens estão sendo enviadas e recebidas. E

0:00:55.491,0:00:59.630
, além disso, um atacante não pode mesmo mexer com esse tráfego sem ser detectado.

0:00:59.630,0:01:03.227
Em outras palavras, estes esquemas de criptografia fornecer confidencialidade e

0:01:03.227,0:01:06.774
integridade. Mas a criptografia faz muito, muito, muito mais do que apenas estes dois

0:01:06.774,0:01:10.519
coisas. E eu quero dar-lhe alguns exemplos de que. Assim, o primeiro exemplo que eu

0:01:10.519,0:01:14.468
quero dar a você é que é chamado de assinatura digital. Assim, uma assinatura digital,

0:01:14.468,0:01:18.892
, basicamente, é o análogo da assinatura no mundo físico. Na física

0:01:18.892,0:01:23.372
mundo, lembre-se quando você assina um documento, essencialmente, você escrever sua assinatura em

0:01:23.372,0:01:27.740
que documento ea sua assinatura é sempre a mesma. Você sempre escreve a mesma

0:01:27.740,0:01:32.164
assinatura em todos os documentos que você quer assinar. No mundo digital, isso não pode

0:01:32.164,0:01:36.812
possivelmente trabalhar porque se o atacante apenas obtido um documento assinado por mim, ele

0:01:36.812,0:01:41.180
pode cortar e colar a minha assinatura até algum outro documento que eu não poderia ter

0:01:41.180,0:01:45.247
quis assinar. E assim, simplesmente não é possível em um mundo digital que o meu

0:01:45.247,0:01:49.590
assinatura seja a mesma para todos os documentos que eu quero assinar. Então falaremos

0:01:49.590,0:01:53.830
sobre como construir as assinaturas digitais, na segunda metade do curso. É

0:01:53.830,0:01:58.123
realmente um primitivo interessante e vamos ver exatamente como fazê-lo. Apenas para

0:01:58.123,0:02:02.098
lhe dar uma dica, a forma de trabalho é, basicamente, assinaturas digitais, tornando o

0:02:02.098,0:02:06.232
assinatura digital via função do conteúdo a ser assinado. Assim, um atacante que

0:02:06.232,0:02:10.313
tenta copiar a minha assinatura de um documento para outro não vai ter sucesso

0:02:10.313,0:02:14.541
porque a assinatura. No novo documento não vai ser o bom funcionamento do

0:02:14.541,0:02:18.526
dados no documento novo, e como resultado, a assinatura não irá verificar. E como eu disse,

0:02:18.526,0:02:22.608
vamos ver exatamente como a construção de assinaturas digitais, mais tarde, e então nós

0:02:22.608,0:02:27.193
provar que essas construções são seguras. Outra aplicação de criptografia que eu

0:02:27.193,0:02:31.096
queria mencionar, é a comunicação anônima. Então, aqui, imagine usuário

0:02:31.096,0:02:35.828
Alice quer falar com algum servidor de bate-papo, Bob. E, talvez, ela quer falar sobre

0:02:35.828,0:02:40.382
uma condição médica, e por isso ela quer fazer isso anonimamente, para que o bate-papo

0:02:40.382,0:02:45.113
servidor não sabem realmente quem ela é. Bem, há um método padrão, chamado de

0:02:45.113,0:02:49.946
mixnet, que permite que Alice se comunicar através da internet pública com Bob através de

0:02:49.946,0:02:54.856
uma seqüência de proxies de tal forma que no final do Bob comunicação não tem idéia de quem ele

0:02:54.856,0:02:59.537
apenas falado. A forma de trabalhar mixnets é basicamente como Alice envia suas mensagens

0:02:59.537,0:03:03.818
para Bob através de uma seqüência de procurações, estas mensagens encriptadas e obter

0:03:03.818,0:03:08.271
decifrada apropriadamente de modo que Bob não tem idéia de quem ele falou e os proxies

0:03:08.271,0:03:12.724
se nem sequer sabe que Alice está falando com Bob, ou que realmente quem é

0:03:12.724,0:03:16.750
falando com quem mais geral. Uma coisa interessante sobre este anônimo

0:03:16.750,0:03:20.498
canal de comunicação é, este é bi-direcional. Em outras palavras, mesmo

0:03:20.498,0:03:24.743
que Bob não tem idéia de quem ele está falando, ele ainda pode responder a Alice e

0:03:24.743,0:03:29.153
Alice vai ter essas mensagens. Uma vez que temos uma comunicação anônima, podemos construir

0:03:29.153,0:03:33.784
outros mecanismos de privacidade. E eu quero te dar um exemplo que é chamado anônimo

0:03:33.784,0:03:37.643
dinheiro digital. Lembre-se que no mundo físico se eu tenho um físico

0:03:37.643,0:03:42.108
dólar, eu posso entrar numa livraria e comprar um livro eo comerciante não teria

0:03:42.108,0:03:46.876
idéia de quem eu sou. A questão é se podemos fazer exatamente a mesma coisa no mundo digital

0:03:46.876,0:03:50.963
mundo. No mundo digital, basicamente, Alice pode ter um dólar digital,

0:03:50.963,0:03:55.984
uma moeda de dólar digital. E ela pode querer gastar esse dólar digital em alguns on-line

0:03:55.984,0:04:00.760
comerciantes, talvez alguma livraria on-line. Agora, o que nós gostaríamos de fazer é torná-lo tão

0:04:00.760,0:04:05.539
que quando Alice passa sua moeda na livraria, a livraria não teria

0:04:05.539,0:04:10.629
idéia de quem é Alice. Então, nós fornecemos o mesmo anonimato que nós temos de dinheiro físico.

0:04:10.629,0:04:15.470
Agora o problema é que no mundo digital, Alice pode levar a moeda que ela

0:04:15.470,0:04:20.250
tinha, esta moeda de um dólar, e antes que ela passou, ela pode realmente fazer cópias dele.

0:04:20.250,0:04:24.086
E então, de repente, em vez de apenas ter apenas uma moeda de um dólar agora tudo

0:04:24.093,0:04:27.936
de repente ela tem três moedas do dólar e eles são todos iguais, é claro, e

0:04:27.936,0:04:31.828
não há nada impedindo-a de tomar essas réplicas de uma moeda de dólar e

0:04:31.828,0:04:35.819
gastá-lo em outros comerciantes. E assim a questão é como vamos fornecer anônimo

0:04:35.819,0:04:39.849
dinheiro digital? Mas ao mesmo tempo, também impedir Alice de gastar o dobro

0:04:39.849,0:04:43.760
moeda do dólar em estabelecimentos comerciais diferentes. Em certo sentido, há aqui um paradoxo onde

0:04:43.760,0:04:47.879
anonimato está em conflito com segurança, pois se temos dinheiro anônimo há

0:04:47.879,0:04:51.999
nada para impedir Alice de dobrar os gastos da moeda e porque a moeda é

0:04:51.999,0:04:56.244
anônimo não temos nenhuma maneira de dizer que cometeu essa fraude. E assim a questão

0:04:56.244,0:05:00.394
é como vamos resolver essa tensão. E ao que parece, é completamente factível. E

0:05:00.394,0:05:04.757
vamos falar sobre dinheiro digital anónimo mais tarde. Só para lhe dar uma dica, eu vou

0:05:04.757,0:05:09.173
dizer que a forma como o fazemos é basicamente, certificando-se que, se Alice passa da moeda

0:05:09.173,0:05:13.764
uma vez e depois ninguém sabe quem ela é, mas se ela passa a moeda mais de uma vez, todos

0:05:13.764,0:05:17.878
repente, sua identidade é completamente exposta e, em seguida, ela poderia estar sujeito a

0:05:17.878,0:05:22.096
tipos todos de problemas legais. E isso é como anônimo dinheiro digital seria

0:05:22.096,0:05:26.158
trabalho a um nível elevado e vamos ver como implementá-lo mais tarde no curso.

0:05:26.158,0:05:30.219
Outro aplicativo de criptografia tem a ver com os protocolos mais abstratas, mas

0:05:30.219,0:05:34.333
antes de eu falar o resultado geral, eu quero te dar dois exemplos. Assim, o

0:05:34.333,0:05:38.343
primeiro exemplo tem a ver com os sistemas eleitorais. Então aqui está o problema da eleição.

0:05:38.343,0:05:42.656
Suponha ... temos dois partidos, o partido de zero e um partido. E os eleitores votam para estes

0:05:42.656,0:05:47.101
partes. Assim, por exemplo, esse eleitor poderia ter votado para a festa de zero, este eleitor votou

0:05:47.101,0:05:52.313
um partido. E assim por diante. Assim, nesta eleição, o partido tem três votos a zero e dois do partido

0:05:52.313,0:05:56.590
obteve dois votos. Assim, o vencedor da eleição, é claro, é parte zero. Mas

0:05:56.590,0:06:01.579
mais geral, o vencedor da eleição é o partido que recebe a maioria dos

0:06:01.579,0:06:06.453
dos votos. Agora, o problema de votação é o seguinte. Os eleitores de alguma forma como

0:06:06.453,0:06:11.720
para calcular a maioria dos votos, mas fazê-lo de tal modo que nada mais, tais

0:06:11.720,0:06:16.797
é revelado sobre seus votos individuais. Ok? Então a questão é como fazer isso?

0:06:16.797,0:06:21.493
E para isso, vamos introduzir um centro eleitoral que vai nos ajudar

0:06:21.493,0:06:26.633
calcular a maioria, mas manter os votos de outra forma secreta. E o que as partes

0:06:26.633,0:06:32.027
vai fazer é cada um irá enviar a criptografia engraçado de seus votos para a eleição

0:06:32.027,0:06:36.949
centro de tal maneira que, no final da eleição, o centro de eleição é capaz

0:06:36.949,0:06:41.615
para calcular e emitir o vencedor da eleição. No entanto, à excepção do vencedor

0:06:41.615,0:06:46.580
da eleição, nada mais é revelado sobre os votos individuais. O indivíduo

0:06:46.580,0:06:51.366
votos caso contrário permanecem completamente privado. Claro que o centro de eleição é também

0:06:51.366,0:06:56.331
vai verificar que este eleitor, por exemplo, é permitido votar e que o eleitor tem

0:06:56.331,0:07:00.818
só votou uma vez. Mas diferente do que centro de informação da eleição e da

0:07:00.818,0:07:05.484
resto do mundo aprendeu nada sobre o voto do eleitor que não seja o

0:07:05.484,0:07:10.104
resultado da eleição. Portanto, este é um exemplo de um protocolo, que envolve seis

0:07:10.104,0:07:14.430
partes. Neste caso, há cinco eleitores em um centro de eleição. Estes

0:07:14.430,0:07:19.417
partes computar entre si. E no final da computação, o resultado da

0:07:19.417,0:07:24.404
eleição é conhecida, mas nada é revelado sobre as entradas individuais. Agora

0:07:24.404,0:07:29.156
um problema semelhante surge no contexto de leilões particulares. Então, em uma privada

0:07:29.156,0:07:34.160
leilão cada licitante tem a sua própria candidatura que ele quer dar um lance. E agora suponha que o

0:07:34.160,0:07:39.356
mecanismo de leilão que está sendo usado é o que é chamado de leilão onde o Vickrey

0:07:39.356,0:07:45.287
definição de um leilão de Vickrey é que o vencedor é o maior lance. Mas o

0:07:45.287,0:07:50.099
montantes que o vencedor paga é realmente o segundo maior lance. Assim, ele paga o

0:07:50.099,0:07:54.850
segundo lance mais alto. Ok, então este é um mecanismo de leilão padrão chamado

0:07:54.850,0:08:00.028
leilão Vickrey. E agora o que nós gostaríamos de fazer é basicamente permitir aos participantes

0:08:00.028,0:08:04.779
computação, para descobrir quem é o maior lance e quanto ele deveria

0:08:04.779,0:08:09.165
salário, mas além disso, todas as outras informações sobre os lances individuais

0:08:09.165,0:08:14.160
deve permanecer secreta. Assim, por exemplo, a quantidade real que o maior lance licitante

0:08:14.160,0:08:19.225
deve permanecer secreta. A única coisa que deve se tornar público é o segundo maior

0:08:19.225,0:08:23.526
oferta ea identidade de quem pagasse mais. Então, novamente agora, o caminho que vamos fazer

0:08:23.526,0:08:28.172
que é vamos introduzir uma lota, e de um modo semelhante, essencialmente, todo mundo

0:08:28.172,0:08:32.588
irá enviar suas propostas criptografadas para a lota. O centro de leilão

0:08:32.588,0:08:37.119
calcular a identidade do vencedor e, de facto, ele será também calcular a segunda

0:08:37.119,0:08:41.822
lance mais alto, mas outros do que estes dois valores, nada mais é revelado sobre o

0:08:41.822,0:08:46.126
lances individuais. Agora, este é realmente um exemplo de um problema muito mais geral

0:08:46.126,0:08:50.264
chamada computação multi-partidário seguro. Deixe-me explicar o que seguro multi-partido

0:08:50.264,0:08:54.618
cálculo é sobre. Então, aqui, basicamente, abstratamente, os participantes têm um segredo

0:08:54.618,0:08:58.649
entradas para si. Assim, no caso de uma eleição, as entradas seria o

0:08:58.649,0:09:02.787
votos. No caso de um leilão, as entradas seriam as propostas secretos. E, em seguida

0:09:02.787,0:09:06.959
que eles gostariam de fazer é calcular algum tipo de função de seus insumos.

0:09:06.959,0:09:10.840
Novamente, no caso de uma eleição, a função é uma maioria. No caso de

0:09:10.840,0:09:15.088
leilão, a função passa a ser o segundo maior maior número, entre um x

0:09:15.088,0:09:19.179
para x quatro. E a pergunta é, como podem fazer isso, de tal forma que o valor do

0:09:19.179,0:09:23.375
função é revelado, mas nada é revelado sobre os votos individuais? Assim

0:09:23.375,0:09:27.675
deixe-me mostrar-lhe uma espécie de caminho, mudo de fazê-lo inseguro. O que fazemos é introduzir um

0:09:27.675,0:09:31.774
confiança do partido. E então, essa autoridade confiável basicamente recolhe indivíduo

0:09:31.774,0:09:36.223
entradas. E isso meio que promete manter as entradas individuais segredo, para que ele só

0:09:36.223,0:09:40.510
saberia o que são. E, em seguida, publica o valor da função, para

0:09:40.510,0:09:44.742
mundo. Assim, a ideia é agora que o valor da função tornou-se público, mas

0:09:44.742,0:09:48.812
nada mais é revelado sobre as entradas individuais. Mas, é claro, você tem

0:09:48.812,0:09:52.990
esta confiável autoridade que você tem que confiar, e se por algum motivo não é

0:09:52.990,0:09:57.168
confiável, então você tem um problema. E assim, há um teorema muito central em

0:09:57.168,0:10:01.001
criptografia e é realmente muito um fato surpreendente. Que diz que qualquer

0:10:01.001,0:10:05.204
computação que você gostaria de fazer, qualquer função F que você gostaria de calcular, que você pode

0:10:05.204,0:10:09.302
de computação com uma autoridade confiável, você também pode fazer sem uma autoridade confiável.

0:10:09.302,0:10:13.559
Deixe-me a um nível elevado explicar o que isso significa. Basicamente, o que vamos fazer, é

0:10:13.559,0:10:17.816
nós vamos nos livrar da autoridade. Assim, as partes são, na verdade não vai enviar

0:10:17.816,0:10:21.807
suas entradas para a autoridade. E, de fato, não há mais vai ser um

0:10:21.807,0:10:26.011
autoridade no sistema. Em vez disso, o que os partidos vão fazer, é que vamos

0:10:26.011,0:10:30.567
conversa um ao outro usando algum protocolo. De tal modo que no final do protocolo de todos

0:10:30.567,0:10:34.890
de um valor a súbita da função torna-se conhecida por todos. E ainda

0:10:34.890,0:10:39.390
nada mais do que o valor da função é revelado. Em outras palavras, o

0:10:39.390,0:10:43.639
entradas individuais ainda é mantido em segredo. Mas, novamente não há autoridade, não há

0:10:43.639,0:10:47.867
apenas uma maneira para que eles conversem entre si de tal forma que o resultado final é revelado. Assim

0:10:47.867,0:10:51.846
este é um resultado bastante geral, é uma espécie de fato surpreendente de que é em tudo

0:10:51.846,0:10:56.024
factível. E de fato é e para o final da aula, vamos ver realmente como

0:10:56.024,0:11:00.577
fazer isso acontecer. Agora, existem algumas aplicações de criptografia que eu não posso

0:11:00.577,0:11:05.560
classificar de outra maneira que não quer dizer que eles são puramente mágico. Deixe-me dar

0:11:05.560,0:11:10.240
-lhe dois exemplos disso. Assim, o primeiro é o que é chamado de terceirização privada

0:11:10.240,0:11:15.224
computação. Então eu vou lhe dar um exemplo de uma busca no Google apenas para ilustrar a

0:11:15.224,0:11:20.329
ponto. Então, imagine Alice tem uma consulta de pesquisa que ela quer emitir. Acontece que

0:11:20.329,0:11:25.434
existem esquemas de criptografia muito especiais, que Alice pode enviar uma criptografia de

0:11:25.434,0:11:30.368
consulta-la para o Google. E, em seguida, por causa da propriedade de o esquema de criptografia

0:11:30.368,0:11:35.304
Google pode realmente calcular os valores criptografados sem saber o que o

0:11:35.304,0:11:40.368
textos simples são. Então, o Google pode realmente executar seu algoritmo de busca em massa no

0:11:40.368,0:11:44.903
consulta criptografado e recuperar no resultado criptografados. Okay. Google irá enviar a

0:11:44.903,0:11:49.242
resultados criptografado de volta para Alice. Alice irá descriptografar e, em seguida, ela receberá o

0:11:49.242,0:11:53.689
resultados. Mas a magia aqui é tudo serra Google era apenas criptografias de suas consultas

0:11:53.689,0:11:57.493
e nada mais. E assim, o Google como um resultado não tem idéia do que Alice apenas

0:11:57.493,0:12:01.672
procurado e, no entanto, Alice realmente aprendi exatamente o que ela

0:12:01.672,0:12:05.812
queria aprender. Ok então, estes são uma espécie mágica de esquemas de criptografia. Eles são

0:12:05.812,0:12:09.985
relativamente recente, este é apenas o desenvolvimento de uma nova cerca de dois ou três anos

0:12:09.985,0:12:14.436
atrás, que nos permite calcular em dados criptografados, mesmo que nós realmente não sabemos

0:12:14.436,0:12:18.667
o que está dentro da criptografia. Agora, antes de correr e pensar sobre a implementação

0:12:18.667,0:12:22.470
isso, devo avisar que este é realmente neste momento apenas teórica, em

0:12:22.470,0:12:26.422
o sentido que a execução de uma pesquisa no Google sobre dados de encriptação provavelmente levaria um

0:12:26.422,0:12:30.521
bilhões de anos. Mas, no entanto, só o fato de que isso é factível já está realmente

0:12:30.521,0:12:34.473
surpreendente, e já é bastante útil para cálculos relativamente simples. Assim, em

0:12:34.473,0:12:38.671
fato, veremos algumas aplicações deste mais tarde. O outro aplicativo mágico que eu

0:12:38.671,0:12:42.474
quero lhe mostrar é o que chamamos de conhecimento nulo. E, em particular, eu vou dizer

0:12:42.474,0:12:46.080
sobre algo chamado de prova de conhecimento nulo do conhecimento. Então, aqui ...

0:12:46.080,0:12:50.177
o que acontece é que há um certo número N, o que Alice conhece. E o caminho

0:12:50.177,0:12:54.169
o número N foi construído é como um produto de dois números primos de grandes dimensões. Então, imagine

0:12:54.169,0:12:58.835
aqui temos dois primos, P e Q. Cada um pode pensar nisso como como 1000 dígitos.

0:12:58.835,0:13:03.892
E você provavelmente sabe que a multiplicação de dois mil dígitos é bastante fácil. Mas se

0:13:03.892,0:13:08.235
eu apenas dar-lhe o seu produto, descobrir a sua fatoração em números primos é

0:13:08.235,0:13:12.427
realmente muito difícil. E, de fato, nós vamos usar o fato que o factoring é

0:13:12.427,0:13:16.566
difícil construir encriptação com chave pública no segundo semestre do curso.

0:13:16.566,0:13:20.968
Ok, então Alice acontece de ter este número N, e ela também sabe que a fatoração de

0:13:20.968,0:13:24.898
N. Agora Bob só tem o número N. Ele na verdade não sei a fatoração.

0:13:24.898,0:13:28.723
Agora, o fato de mágico sobre a prova de conhecimento nulo do conhecimento, é que

0:13:28.723,0:13:33.144
Alice pode provar a Bob que ela sabe que a fatoração de N. Sim, você pode realmente

0:13:33.144,0:13:37.457
dar esta prova para Bob, que Bob pode verificar, e tornar-se convencido de que Alice

0:13:37.457,0:13:42.386
sabe a fatoração de N, no entanto Bob aprende nada. Sobre os fatores P

0:13:42.386,0:13:47.034
e Q, e isso é demonstrável. Bob descobre absolutamente nada sobre o

0:13:47.034,0:13:50.997
fatores P e Q. E a declaração é realmente muito, muito geral. Isto é

0:13:50.997,0:13:55.275
não apenas para provar a fatoração de N. Na verdade, quase qualquer quebra-cabeça que você

0:13:55.275,0:13:59.606
quer provar que você sabe a resposta, você pode provar que é o seu conhecimento. Então, se

0:13:59.606,0:14:03.831
você tem um jogo de palavras cruzadas que você resolveu. Bem, talvez as palavras cruzadas não é o

0:14:03.831,0:14:07.845
melhor exemplo. Mas se você tem como um puzzle Sudoku, por exemplo, que você quer

0:14:07.845,0:14:12.282
para provar que você resolveu, você pode provar a Bob em uma maneira que Bob iria aprender

0:14:12.282,0:14:16.718
nada sobre a solução, e ainda Bob estaria convencido de que você realmente

0:14:16.718,0:14:20.930
ter uma solução para este enigma. Okay. Portanto, estas são o tipo de aplicações mágicas.

0:14:20.930,0:14:25.000
E assim, a última coisa que eu quero dizer é que a criptografia moderna é muito

0:14:25.000,0:14:29.015
ciência rigorosa. E, de fato, todo conceito que vamos descrever é vai

0:14:29.015,0:14:33.129
seguir três passos muito rigorosos, ok, e vamos ver estas três etapas

0:14:33.129,0:14:37.338
novo e de novo e de novo assim que eu quero explicar o que são. Então a primeira coisa

0:14:37.338,0:14:41.493
vamos fazer quando introduzimos uma nova primitiva como uma assinatura digital é

0:14:41.493,0:14:45.540
vamos especificar exatamente o que o modelo de ameaça é. Ou seja, o que pode um

0:14:45.540,0:14:49.534
atacante fazer para atacar uma assinatura digital e qual é o seu objetivo na formação

0:14:49.534,0:14:53.851
assinaturas? Ok, então vamos definir exatamente o que isso significa para uma assinatura

0:14:53.851,0:14:57.760
por exemplo, para ser falsificável. Falsificáveis. Ok, e eu estou dando digitais

0:14:57.760,0:15:01.998
assinaturas apenas como um exemplo. Para cada primitiva descrevemos nós vamos

0:15:01.998,0:15:06.464
definir precisamente o que o modelo de ameaça é. Então, vamos propor uma construção

0:15:06.464,0:15:10.931
e depois vamos dar uma prova de que qualquer atacante que é capaz de atacar o

0:15:10.931,0:15:15.955
construção sob este modelo de ameaça. Que atacante pode também ser usado para resolver alguns

0:15:15.955,0:15:20.150
problema subjacente rígido. E, como resultado, se o problema realmente é rígido, que

0:15:20.150,0:15:24.350
realmente prova que nenhum atacante pode quebrar a construção sob o modelo de ameaça.

0:15:24.350,0:15:27.843
Ok. Mas estes três passos são realmente muito importante. No caso de

0:15:27.843,0:15:31.928
assinaturas, vamos definir o que significa para uma assinatura para ser, à prova de falsificação, então nós

0:15:31.928,0:15:35.914
dar uma construção, e, em seguida, por exemplo, vamos dizer que qualquer um que pode quebrar o nosso

0:15:35.914,0:15:39.801
construção pode então ser usado para dizer inteiros de factores, que se crê ser um

0:15:39.801,0:15:43.541
problema difícil. Ok, então vamos seguir estes três passos por toda parte, e

0:15:43.541,0:15:47.331
então você vai ver como isso realmente acontece. Ok, então este é o fim do

0:15:47.331,0:15:51.218
segmento. E então, o próximo segmento nós vamos falar um pouco sobre a história

0:15:51.218,0:15:52.006
de criptografia.