1
00:00:00,000 --> 00:00:02,951
Пока мы не начали рассматривать технические стороны, я хочу провести краткий

2
00:00:02,951 --> 00:00:06,487
обзор криптографии как науки и рассказать о ее направлениях. Итак,

3
00:00:06,487 --> 00:00:10,487
суть криптографии, конечно же, состоит в защите коммуникаций, что, по существу,

4
00:00:10,487 --> 00:00:14,539
состоит из двух частей. Первая - это создание ключа шифрования и того

5
00:00:14,539 --> 00:00:18,697
как передать этот ключ в процессе общения. Мы уже говорили, что

6
00:00:18,697 --> 00:00:22,854
созданный ключей шифрования передается в ходе общения между Алисой и Бобом

7
00:00:22,854 --> 00:00:26,906
в одном из сообщений в конце этого протокола по договоренности передается общий ключ,

8
00:00:26,906 --> 00:00:30,906
назовем его общим ключом К, и помимо этого, фактически

9
00:00:30,906 --> 00:00:35,274
только Алиса будет знать, что она сказла Бобу, и только Боб знает, что он сказал Алисе.

10
00:00:35,274 --> 00:00:39,964
Но бедный злоумышленник, прослушивающий их сообщения, не будет знать

11
00:00:39,964 --> 00:00:44,011
что является общим ключом. И чуть позже мы узнаем, как это сделать. Итак, теперь у них есть

12
00:00:44,011 --> 00:00:47,657
общий ключ, и они будут использовать его для безопасного обмена сообщениями.

13
00:00:47,657 --> 00:00:51,698
Мы поговорим о схемах шифрования, позволяющих расшарить ключ таким способом,

14
00:00:51,698 --> 00:00:55,491
чтобы атакующий не смог понять, что за сообщения отправляются. И,

15
00:00:55,491 --> 00:00:59,630
кроме того, атакующий не смог даже вмешаться в обмен сообщениями, чтобы ни быть обнаруженным.

16
00:00:59,630 --> 00:01:03,227
Другими словами, эти схемы шифрования дают обоюдную конфиденциальность и

17
00:01:03,227 --> 00:01:06,774
интеграцию. Но криптография - это гороздо-гораздо больше, чем эти две

18
00:01:06,774 --> 00:01:10,519
вещи. И я хочу привести несколько примеров этого. Итак, в качестве примера я

19
00:01:10,519 --> 00:01:14,468
хочу привести то, что называется цифровой подписью. Итак, цифровая подпись,

20
00:01:14,468 --> 00:01:18,892
в своей основе, - это аналог росписи. Росписи,

21
00:01:18,892 --> 00:01:23,372
которую вы ставите на документах, в основном, вы подписываете

22
00:01:23,372 --> 00:01:27,740
документы одной и той же росписью. Вы так же ставите одну и ту же роспись

23
00:01:27,740 --> 00:01:32,164
на всех документах, которые вы хотите подписать. В цифровом мире, это не возможно,

24
00:01:32,164 --> 00:01:36,812
поскольку атакующий только что получивший один, подписанный мной документ, сможет

25
00:01:36,812 --> 00:01:41,180
скопипастить мою роспись на другой документ и подстроить так,

26
00:01:41,180 --> 00:01:45,247
будто я сам его подписал. Итак, просто невозможно использовать одну

27
00:01:45,247 --> 00:01:49,590
и ту же цифровую подпись для всех документов, которые я подписываю. Мы поговорим о том,

28
00:01:49,590 --> 00:01:53,830
как генерировать цифровые подписи во второй части курса. Это

29
00:01:53,830 --> 00:01:58,123
вполне интересные примитивы и мы уже знаем, как они работают. Так что

30
00:01:58,123 --> 00:02:02,098
я дам вам совет, способ работы цифровых подписей основан на ассоциации

31
00:02:02,098 --> 00:02:06,232
цифровой подписи с функцией, которая делает подписываемый контент верифицированным. Так что у атакующего

32
00:02:06,232 --> 00:02:10,313
пытающегося скопировать вашу подпись с одного документа на другой, ничего не получится

33
00:02:10,313 --> 00:02:14,541
потому что подпись одного документа не будет соответствовать значению функции

34
00:02:14,541 --> 00:02:18,526
от данных в другом документе, и в результате подпись не будет подтверждена. И как я сказал

35
00:02:18,526 --> 00:02:22,608
позднее мы рассмотрим полностью, как создавать цифровые подписи и тогда мы

36
00:02:22,608 --> 00:02:27,193
докажем, что такие конструкции безопасны. Другое применение криптографии, о котором я

37
00:02:27,193 --> 00:02:31,096
хочу упомянуть - это анонимные сообщения. Итак, представим пользователя

38
00:02:31,096 --> 00:02:35,828
Алису, которая хочет обратиться к некому чат-серверу Бобу. И положим, что она хочет поговорить о

39
00:02:35,828 --> 00:02:40,382
медицинских условиях и хочет сделать это анонимно, так что

40
00:02:40,382 --> 00:02:45,113
чат-сервер не может узнать кто она. Прекрасно, существует стандартный метод

41
00:02:45,113 --> 00:02:49,946
mixnet, который позволяет Алисе общаться в публичном интернет с бобом посредством

42
00:02:49,946 --> 00:02:54,856
последовательности прокси, так что в конце общения Боб не имеет представления, с кем он

43
00:02:54,856 --> 00:02:59,537
только что разговаривал. Способ Микснетов основан на том, что Алиса шлёт свои сообщения

44
00:02:59,537 --> 00:03:03,818
Бобу через последовательность прокси-серверов. Эти сообщения шифруются

45
00:03:03,818 --> 00:03:08,271
и дешифруются соответственно так, что Боб не знает, с кем он разговаривал и прокси-сервера

46
00:03:08,271 --> 00:03:12,724
сами не знают, что Алиса разговаривает с Бобом, или фактически, кто

47
00:03:12,724 --> 00:03:16,750
с кем разговаривает вообще. Один интересный момент об этом анонимном

48
00:03:16,750 --> 00:03:20,498
канале общения состоит в том, что он двунаправленный. Иными словами, хотя

49
00:03:20,498 --> 00:03:24,743
Боб не знает, скем он разговаривает, он тем не менее может отвечать Алисе и

50
00:03:24,743 --> 00:03:29,153
Алиса будет получать эти сообщения. Имея анонимные сообщения, мы можем построить

51
00:03:29,153 --> 00:03:33,784
другие механизмы защиты. И я хочу дать вам пример, который называется анонимные

52
00:03:33,784 --> 00:03:37,643
электронные платежи. Помним, что в физическом мире, если у меня есть физический

53
00:03:37,643 --> 00:03:42,108
доллар, я могу пойти в книжный магазин и купить книгу и торговец не будет знать

54
00:03:42,108 --> 00:03:46,876
кто я. Вопрос в том, можем ли мы сделать то же самое в цифровом

55
00:03:46,876 --> 00:03:50,963
мире. В цифровом мире, в частност, Алиса может иметь электронный доллар,

56
00:03:50,963 --> 00:03:55,984
элетронную долларовую монету. И она может хотеть заплатить элетронный доллар неким онлайн-

57
00:03:55,984 --> 00:04:00,760
торговцам, допустим в некий онлайновый книжный магазин. Теперь мы бы хотели сделать это так,

58
00:04:00,760 --> 00:04:05,539
чтобы когда Алиса тратит свою монету в магазине, магазин не знал бы

59
00:04:05,539 --> 00:04:10,629
кем является Алиса. Т.е. мы обеспечиваем такую же анонимность, когда получаем платёж наличными.

60
00:04:10,629 --> 00:04:15,470
Теперь пролема в том, что в электронном мире Алиса может взять монету, которая у неё

61
00:04:15,470 --> 00:04:20,250
есть, эту долларовую монету, и перед тем, как потратить её, она может её копировать.

62
00:04:20,250 --> 00:04:24,086
И затем, вдруг, вместо наличия просто долларовой монеты, теперь,

63
00:04:24,093 --> 00:04:27,936
вдруг, у неё есть три долларовых монеты и они все, разумеется, одинаковые, и

64
00:04:27,936 --> 00:04:31,828
ничто ей не мешает взять эти копии и

65
00:04:31,828 --> 00:04:35,819
потратить их у других торговцев. И вопрос в том, как мы обеспечиваем анонимность

66
00:04:35,819 --> 00:04:39,849
электронных денег? Но в то же время, препятствуя Алисе дважды потратить

67
00:04:39,849 --> 00:04:43,760
долларовую монету у разных продавцов. В некотором смысле возникает противоречие между

68
00:04:43,760 --> 00:04:47,879
анонимностью и безопасностью, потому что если есть анонимные деньги

69
00:04:47,879 --> 00:04:51,999
ничто не помешает Алисе потратить дважды монету и так как монета

70
00:04:51,999 --> 00:04:56,244
анонимная, мы не имеем возможности сказать, кто совершил это мошенничество. И вопрос в том

71
00:04:56,244 --> 00:05:00,394
как нам решить это противоречие. И оказывается, это вполне выполнимо. И мы поговорим об

72
00:05:00,394 --> 00:05:04,757
анонимных электронных деньгах позже. В качестве намёка, скажу что,

73
00:05:04,757 --> 00:05:09,173
то как мы это обычно делаем, убедившись, что если Алиса тратит монету

74
00:05:09,173 --> 00:05:13,764
только раз, никто не знает кто она, но если она потратит еще раз,

75
00:05:13,764 --> 00:05:17,878
внезапно, её личность становится полностью известной и её могут постигнуть

76
00:05:17,878 --> 00:05:22,096
все виды юридических проблем. Таким образом анонимная цифровая наличность будет работать

77
00:05:22,096 --> 00:05:26,158
на высоком уровне, и вдальнейшем в ходе занятий мы увидим, как реализовать это.

78
00:05:26,158 --> 00:05:30,219
Еще одно применение криптографии связано с более абстрактными протоколами, но

79
00:05:30,219 --> 00:05:34,333
прежде чем подвести общий итог, я хочу привести вам два примера. Итак:

80
00:05:34,333 --> 00:05:38,343
первый пример связан с избирательными системами. Так вот - избирательная проблема.

81
00:05:38,343 --> 00:05:42,656
Предположим... у нас есть две партии: "партия-0" и "партия-1". И избиратели голосуют за них.

82
00:05:42,656 --> 00:05:47,101
Например, этот избиратель проголосовал за "партию-0", а этот - за "паритю-1"...

83
00:05:47,101 --> 00:05:52,313
И так далее. В этих выборах "партия-0" набрала три голоса, а "партия-1" - два голоса.

84
00:05:52,313 --> 00:05:56,590
Таким образом победитель выборов конечно же "партия-0".

85
00:05:56,590 --> 00:06:01,579
Но в общем случае, победителем выборов является партия, набравшая большинство голосов.

86
00:06:01,579 --> 00:06:06,453
Итак, избирательная проблема в следующем. Избиратели хотели бы как-то посчитать

87
00:06:06,453 --> 00:06:11,720
большинство голосов, но сделать это так, чтобы ничего

88
00:06:11,720 --> 00:06:16,797
не было известно о каждом отдельном голосе. Хорошо? Итак вопрос: как это сделать?

89
00:06:16,797 --> 00:06:21,493
И чтобы сделать это, мы представим "избирательный центр", который поможет нам

90
00:06:21,493 --> 00:06:26,633
вычислить большинство, сохранив тайну голосования. И единственное что каждая из партий

91
00:06:26,633 --> 00:06:32,027
должна сделать, это отправить забавные шифры своих голосов "за" в избирательный

92
00:06:32,027 --> 00:06:36,949
центр, таким образом в конце выборов, "избирательный центр" сможет

93
00:06:36,949 --> 00:06:41,615
посчитать и определить победителя выборов, при этом

94
00:06:41,615 --> 00:06:46,580
больше ничего не будет известо о каждом отдельном голосе. информация об индивидуальных

95
00:06:46,580 --> 00:06:51,366
голосах остаётся полностью закрытой. Естественно, "избирательный центр" также

96
00:06:51,366 --> 00:06:56,331
должен проверить что, например, данный избиратель имеет право голосовать и что избиратьель

97
00:06:56,331 --> 00:07:00,818
проголосовал только раз. Но кроме этой информации "избирательный центр"

98
00:07:00,818 --> 00:07:05,484
и весь остальной мир ничего не будут знать о голосе избирателя -

99
00:07:05,484 --> 00:07:10,104
только результат выборов. Вот это пример протокола, который включает в себя шесть сторон.

100
00:07:10,104 --> 00:07:14,430
В данном случае, есть пять избирателей в одном "избирательном центре". Эти стороны

101
00:07:14,430 --> 00:07:19,417
вычисляются между собой. В конце выислений результат выборов известен,

102
00:07:19,417 --> 00:07:24,404
но ничего кроме этого не известно об индивидуальных голосах.

103
00:07:24,404 --> 00:07:29,156
Подобная проблема поднимается в контексте частных аукционов. Так в частном

104
00:07:29,156 --> 00:07:34,160
аукционе у каждого участника есть своя ставка, означающая, что он хочет участвовать в торгах. А теперь предположим, что

105
00:07:34,160 --> 00:07:39,356
используемый механизм аукциона, называемый аукционом Викри, где

106
00:07:39,356 --> 00:07:45,287
по определению аукциона Викри, победителем является предложивший наивысшую цену.

107
00:07:45,287 --> 00:07:50,099
Но сумма, которую платит победитель является на самом деле второй по величине ставкой. Таким образом, он платит

108
00:07:50,099 --> 00:07:54,850
вторую по величине ставку. Итак, это стандартный механизм аукциона называется

109
00:07:54,850 --> 00:08:00,028
аукционом Викри. И теперь чтобы мы хотели бы сделать - это просто позволить участникам

110
00:08:00,028 --> 00:08:04,779
посчитать, чтобы чтобы выяснить, кто предложит самую высокую цену , и сколько он должен заплатить,

111
00:08:04,779 --> 00:08:09,165
но кроме этого, чтобы все другие сведения об отдельных ставках

112
00:08:09,165 --> 00:08:14,160
остались в тайне. Так, например, фактическая сумма ставки, которая предложит самую высокую цену

113
00:08:14,160 --> 00:08:19,225
должна оставаться тайной. Единственное, что должно стать известным является вторая по величине ставка

114
00:08:19,225 --> 00:08:23,526
и личность предложившего самую высокую цену. Итак, еще раз, то что мы сделаем -

115
00:08:23,526 --> 00:08:28,172
это введем "аукционый центр", и таким же образом , по сути, каждый

116
00:08:28,172 --> 00:08:32,588
будет отправлять свои зашифрованные ставки в "аукционный центр", который

117
00:08:32,588 --> 00:08:37,119
выислит личность победителя и по сути также вычислит вторую по величине ставку,

118
00:08:37,119 --> 00:08:41,822
но кроме этих двух величин ничего не будет известно

119
00:08:41,822 --> 00:08:46,126
об отдельно взятых ставках. Это на самом деле пример гораздо более общей проблемы

120
00:08:46,126 --> 00:08:50,264
называемой безопасными многосторонними вычислениями. Позвольте пояснить, что же такое безопасные многосторонние вычисления

121
00:08:50,264 --> 00:08:54,618
Итак, здесь, по сути абстрактно, у участников есть сами по себе секретные входные данные.

122
00:08:54,618 --> 00:08:58,649
В случае с выборами - это голоса "за".

123
00:08:58,649 --> 00:09:02,787
В случае с аукционом секретными входными данными являются тайные ставки.

124
00:09:02,787 --> 00:09:06,959
И всё что нужно сделать - это вычислить нектороую зависимость (функцию) от входных данных.

125
00:09:06,959 --> 00:09:10,840
В случае с выборами - искомой функцией является "большинство", в случае с аукционом -

126
00:09:10,840 --> 00:09:15,088
функцией является второе по величине число среди чисел от x1 до x4.

127
00:09:15,088 --> 00:09:19,179
И вопрос в том, как добиться того, чтобы значение функции

128
00:09:19,179 --> 00:09:23,375
стало известно, но ничего кроме этого не было известно об отдельно взятом голосе.

129
00:09:23,375 --> 00:09:27,675
Позвольте, я покажу вариант неправильной небезопасной реальзации этого. Вначале представим доверенную сторону.

130
00:09:27,675 --> 00:09:31,774
И потом, это доверенный оргн просто собирает отдельные входные данные.

131
00:09:31,774 --> 00:09:36,223
И он, своего рода, "обещает" держать отдельные входные данные в тайне , так что только он будет знать их.

132
00:09:36,223 --> 00:09:40,510
И в итоге он выдаёт значение функции миру.

133
00:09:40,510 --> 00:09:44,742
Таким образом, идея такова, что значение функции стали достоянием общественности и

134
00:09:44,742 --> 00:09:48,812
ничего не стало известным об отдельных голосах. Но и конечно есть

135
00:09:48,812 --> 00:09:52,990
доверенный орган которому вы доверяете, но если по каким-то причинам он окажется не заслуживающим доверия, тогда у вас проблема.

136
00:09:52,990 --> 00:09:57,168
Это является центральной теоремой в криптографии и

137
00:09:57,168 --> 00:10:01,001
на самом деле это довольно удивительный факт. В ней говорится, что любое вычисление

138
00:10:01,001 --> 00:10:05,204
которое вы хотели бы сделать, любая функция F, которую вы хотите вычислить, и которую можете вычислить

139
00:10:05,204 --> 00:10:09,302
с доверенным органом - вы можете также сделать без него.

140
00:10:09,302 --> 00:10:13,559
Позвольте мне на высоком уровне объяснить, что это значит. В принципе, то, что мы собираемся сделать, это

141
00:10:13,559 --> 00:10:17,816
мы собираемся избавиться от органа. Таким образом, стороны фактически не будут отправлять

142
00:10:17,816 --> 00:10:21,807
их входные данные в орган и фактически больше не будет органа в системе.

143
00:10:21,807 --> 00:10:26,011
Вместо этого что будут делать стороны - это

144
00:10:26,011 --> 00:10:30,567
общаться друг с другом используя некий протокол. Таким образом, что в конце протокола

145
00:10:30,567 --> 00:10:34,890
вдруг значение функции становится известно всем. И больше

146
00:10:34,890 --> 00:10:39,390
ничего кроме значения функции не становится известным. Другими словами,

147
00:10:39,390 --> 00:10:43,639
индивидуальные входные данные остаются в тайне. Но в при этом нет органа,

148
00:10:43,639 --> 00:10:47,867
а только способ передачи от одного к другому таким образом чтобы стал известен итоговый результат - выходные данные.

149
00:10:47,867 --> 00:10:51,846
Этот достаточно общий результат - это своего рода удивительный факт, что это вообще выполнимо.

150
00:10:51,846 --> 00:10:56,024
Это на самом деле так и ближе к концу занятий мы увидим как это сделать.

151
00:10:56,024 --> 00:11:00,577
Eсть некоторые приложения криптографии, которые я не могу

152
00:11:00,577 --> 00:11:05,560
классифицировать любым другим способом , кроме как сказать, что они являются чисто магическое. Позвольте мне дать вам

153
00:11:05,560 --> 00:11:10,240
два примера этого. Итак: 
первый - это то, что называется Частными облачными вычислениями.

154
00:11:10,240 --> 00:11:15,224
Поэтому я дам вам пример поиска Google просто чтобы проиллюстрировать.

155
00:11:15,224 --> 00:11:20,329
Итак, представьте, у Алисы есть поисковый запрос который она хочет выполнить. Оказывается что

156
00:11:20,329 --> 00:11:25,434
есть особенные схемы шифрования, такие что Алиса может отправить свой

157
00:11:25,434 --> 00:11:30,368
зашифрованый запрос в Google. И после этого, в зависимости от схемы шифрования

158
00:11:30,368 --> 00:11:35,304
Googe может выполнить вычисления на зашифрованных значениях не зная, что в тексте.

159
00:11:35,304 --> 00:11:40,368
Google vj;tn запустить собственные алгоритмы массового поиска на зашифрованом запросе

160
00:11:40,368 --> 00:11:44,903
и получить зашифрованные результаты. Хорошо. Google вернёт

161
00:11:44,903 --> 00:11:49,242
зашифрованные результаты Алисе. Алиса расшифрует их и получит результат.

162
00:11:49,242 --> 00:11:53,689
но магия тут в том. что всё что увидел Google это просто шифрованый запро и ничего больше.

163
00:11:53,689 --> 00:11:57,493
И так, в итоге Google не знает что Алиса искала,

164
00:11:57,493 --> 00:12:01,672
тем не менее, Алиса узнала точно, что она хотела узнать.

165
00:12:01,672 --> 00:12:05,812
Хорошо. Это магическое свойство схем шифрования.

166
00:12:05,812 --> 00:12:09,985
Но если честно, только новые разработки, двух - трех-летней

167
00:12:09,985 --> 00:12:14,436
давности позволяют вычислять шифрованные данные даже в тех случаях когда мы точно не знаем

168
00:12:14,436 --> 00:12:18,667
что внутри шифровки. Теперь, прежде чем бежать и думать о применении этого,

169
00:12:18,667 --> 00:12:22,470
Ддлжен вас предупредить, что это в настоящий момент только теория, в том смысле

170
00:12:22,470 --> 00:12:26,422
что запуск Google-поиск с шифрованными даннми, вероятно, займет миллиард лет.

171
00:12:26,422 --> 00:12:30,521
Но тем не менее сам факт того, что это выполнимо уже довольно

172
00:12:32,497 --> 00:12:34,473
удивительно, и уже весьма полезно для относительно простых вычислений.

173
00:12:34,473 --> 00:12:38,671
Несомненно, мы увидим нексколько таких приложений позже. Еще одно волшебное приложение

174
00:12:38,671 --> 00:12:42,474
которое я хотел бы продемонстрировать это так называемое "нулевое знание". И в частности, я расскажу

175
00:12:42,474 --> 00:12:46,080
вам о том, что называется "доказательство с нулевым разглашением". Итак, вот...

176
00:12:46,080 --> 00:12:50,177
...что происходит, если есть определенное число N, которое знает, Алиса.

177
00:12:50,177 --> 00:12:54,169
И способ как число N было построено - как произведение двух больших простых чисел. Итак, представьте

178
00:12:54,169 --> 00:12:58,835
Здесь мы имеем два простых чисел, P и Q. Каждый, что вы можете думать его как 1000 цифр.

179
00:12:58,835 --> 00:13:03,892
И вы , наверное, знаете , что умножение двух 1000- значных числа это довольно легко. Но если...

180
00:13:03,892 --> 00:13:08,235
я просто дам вам их произведение, выяснить их разложение на простые числа

181
00:13:08,235 --> 00:13:12,427
на самом деле довольно сложно. И в самом деле , мы собираемся воспользоваться тем, что розложение на простые числа сложнО

182
00:13:12,427 --> 00:13:16,566
для построения криптосистем с открытым ключом во второй половине курса.

183
00:13:16,566 --> 00:13:20,968
Итак, Алиса, случается, есть это число N, и она также знает, факторизация

184
00:13:20,968 --> 00:13:24,898
N. Теперь Боб просто имеет номер N. Он не знает на самом деле факторизации.

185
00:13:24,898 --> 00:13:28,723
Магические факт о нулевой знаний доказательство знаний, сейчас, что

186
00:13:28,723 --> 00:13:33,144
Алиса может оказаться Боб, что она знает факторизации N. Да, вы можете фактически

187
00:13:33,144 --> 00:13:37,457
Дайте этому доказательство Боб, что Боб можно проверить и стать убежден в том, что Алиса

188
00:13:37,457 --> 00:13:42,386
знает факторизации N, однако Боб узнает ничего на всех. О факторах, P

189
00:13:42,386 --> 00:13:47,034
и Q и это доказуемо. Боб абсолютно узнает ничего вообще про

190
00:13:47,034 --> 00:13:50,997
факторы, P и Q. И заявление на самом деле это очень, очень общие. Это

191
00:13:50,997 --> 00:13:55,275
не только о доказав факторизации N. В самом деле почти любой головоломки, что вы

192
00:13:55,275 --> 00:13:59,606
хотите доказать, что вы знаете ответ, вы можете доказать, что это ваши знания. Так что если

193
00:13:59,606 --> 00:14:03,831
у вас есть кроссворд, что вы решили. Ну, может быть это не кроссворды

194
00:14:03,831 --> 00:14:07,845
Лучший пример. Но если у вас есть как головоломки Судоку, например, что вы хотите

195
00:14:07,845 --> 00:14:12,282
чтобы доказать, что вы решили, вы можете доказать это Боб таким образом, что бы узнать, Боб

196
00:14:12,282 --> 00:14:16,718
ничего вообще о решении, и пока Боб будет убежден что вы действительно

197
00:14:16,718 --> 00:14:20,930
есть решение этой головоломки. Все в порядке. Так что те являются своего рода магический приложениями.

198
00:14:20,930 --> 00:14:25,000
И поэтому Последнее, что я хочу сказать, что Современная криптография является очень

199
00:14:25,000 --> 00:14:29,015
строгие науки. И в самом деле, каждый концепция, мы 're gonna описать является собираешься

200
00:14:29,015 --> 00:14:33,129
Выполните три очень строгий, ладно, и мы 're gonna видеть эти три шага

201
00:14:33,129 --> 00:14:37,338
снова и снова и снова так я хочу объяснить, какие они есть. Так первая вещь

202
00:14:37,338 --> 00:14:41,493
Мы ты собираешься делать, когда мы представляем нового примитива, как цифровая подпись

203
00:14:41,493 --> 00:14:45,540
Мы 're gonna указать точно модель угрозы. То есть, что может

204
00:14:45,540 --> 00:14:49,534
Злоумышленник ду атаковать цифровой подписи и какова его цель в ковка

205
00:14:49,534 --> 00:14:53,851
подписи? ОК, поэтому мы будем точно определять, что это означает для подписи

206
00:14:53,851 --> 00:14:57,760
например, что она неподдельна.
Неподдельна. Ладно, я даю цифровую

207
00:14:57,760 --> 00:15:01,998
подпись в качестве примера. Для каждый примитив, мы описываем, мы будем

208
00:15:01,998 --> 00:15:06,464
точно определите, какова модель угрозы.
Затем мы 're gonna предлагать строительство

209
00:15:06,464 --> 00:15:10,931
и затем мы 're gonna дать доказательство что любой злоумышленник, который может атаковать

210
00:15:10,931 --> 00:15:15,955
строительство в рамках этой модели угрозы. Что злоумышленник может также использоваться для решения некоторых

211
00:15:15,955 --> 00:15:20,150
базовым сложная проблема. И, как следствие, если проблема действительно трудно, что

212
00:15:20,150 --> 00:15:24,350
на самом деле доказывает, что не злоумышленник может нарушить строительства при модели угрозы.

213
00:15:24,350 --> 00:15:27,843
Все в порядке. Однако эти три шага на самом деле очень важны. В случае подписей

214
00:15:27,843 --> 00:15:31,928
мы определяем, что означает для подпись тягучесть, а после мы

215
00:15:31,928 --> 00:15:35,914
даем некую конструкцию, и затем, к примеру, мы говорим, что любой, кто может сломать нашу

216
00:15:35,914 --> 00:15:39,801
конструкцию, которую может затем применить для, скажем, ряда факторов, которые могут оказаться

217
00:15:39,801 --> 00:15:43,541
сложной проблемой. Итак, мы будем следовать следующим трем действиям во всем, и

218
00:15:43,541 --> 00:15:47,331
тогда вы увидите, как это на самом деле происходит. Ладно, на этом у меня

219
00:15:47,331 --> 00:15:51,218
все. В следующем сегменте мы поговорим немного об истории

220
00:15:51,218 --> 00:15:52,006
криптографии.