WEBVTT

00:00:00.000 --> 00:00:02.951
Пока мы не начали рассматривать технические стороны, я хочу провести краткий

00:00:02.951 --> 00:00:06.487
обзор криптографии как науки и рассказать о ее направлениях. Итак,

00:00:06.487 --> 00:00:10.487
суть криптографии, конечно же, состоит в защите коммуникаций, что, по существу,

00:00:10.487 --> 00:00:14.539
состоит из двух частей. Первая - это создание ключа шифрования и того

00:00:14.539 --> 00:00:18.697
как передать этот ключ в процессе общения. Мы уже говорили, что

00:00:18.697 --> 00:00:22.854
созданный ключей шифрования передается в ходе общения между Алисой и Бобом

00:00:22.854 --> 00:00:26.906
в одном из сообщений в конце этого протокола по договоренности передается общий ключ,

00:00:26.906 --> 00:00:30.906
назовем его общим ключом К, и помимо этого, фактически

00:00:30.906 --> 00:00:35.274
только Алиса будет знать, что она сказла Бобу, и только Боб знает, что он сказал Алисе.

00:00:35.274 --> 00:00:39.964
Но бедный злоумышленник, прослушивающий их сообщения, не будет знать

00:00:39.964 --> 00:00:44.011
что является общим ключом. И чуть позже мы узнаем, как это сделать. Итак, теперь у них есть

00:00:44.011 --> 00:00:47.657
общий ключ, и они будут использовать его для безопасного обмена сообщениями.

00:00:47.657 --> 00:00:51.698
Мы поговорим о схемах шифрования, позволяющих расшарить ключ таким способом,

00:00:51.698 --> 00:00:55.491
чтобы атакующий не смог понять, что за сообщения отправляются. И,

00:00:55.491 --> 00:00:59.630
кроме того, атакующий не смог даже вмешаться в обмен сообщениями, чтобы ни быть обнаруженным.

00:00:59.630 --> 00:01:03.227
Другими словами, эти схемы шифрования дают обоюдную конфиденциальность и

00:01:03.227 --> 00:01:06.774
интеграцию. Но криптография - это гороздо-гораздо больше, чем эти две

00:01:06.774 --> 00:01:10.519
вещи. И я хочу привести несколько примеров этого. Итак, в качестве примера я

00:01:10.519 --> 00:01:14.468
хочу привести то, что называется цифровой подписью. Итак, цифровая подпись,

00:01:14.468 --> 00:01:18.892
в своей основе, - это аналог росписи. Росписи,

00:01:18.892 --> 00:01:23.372
которую вы ставите на документах, в основном, вы подписываете

00:01:23.372 --> 00:01:27.740
документы одной и той же росписью. Вы так же ставите одну и ту же роспись

00:01:27.740 --> 00:01:32.164
на всех документах, которые вы хотите подписать. В цифровом мире, это не возможно,

00:01:32.164 --> 00:01:36.812
поскольку атакующий только что получивший один, подписанный мной документ, сможет

00:01:36.812 --> 00:01:41.180
скопипастить мою роспись на другой документ и подстроить так,

00:01:41.180 --> 00:01:45.247
будто я сам его подписал. Итак, просто невозможно использовать одну

00:01:45.247 --> 00:01:49.590
и ту же цифровую подпись для всех документов, которые я подписываю. Мы поговорим о том,

00:01:49.590 --> 00:01:53.830
как генерировать цифровые подписи во второй части курса. Это

00:01:53.830 --> 00:01:58.123
вполне интересные примитивы и мы уже знаем, как они работают. Так что

00:01:58.123 --> 00:02:02.098
я дам вам совет, способ работы цифровых подписей основан на ассоциации

00:02:02.098 --> 00:02:06.232
цифровой подписи с функцией, которая делает подписываемый контент верифицированным. Так что у атакующего

00:02:06.232 --> 00:02:10.313
пытающегося скопировать вашу подпись с одного документа на другой, ничего не получится

00:02:10.313 --> 00:02:14.541
потому что подпись одного документа не будет соответствовать значению функции

00:02:14.541 --> 00:02:18.526
от данных в другом документе, и в результате подпись не будет подтверждена. И как я сказал

00:02:18.526 --> 00:02:22.608
позднее мы рассмотрим полностью, как создавать цифровые подписи и тогда мы

00:02:22.608 --> 00:02:27.193
докажем, что такие конструкции безопасны. Другое применение криптографии, о котором я

00:02:27.193 --> 00:02:31.096
хочу упомянуть - это анонимные сообщения. Итак, представим пользователя

00:02:31.096 --> 00:02:35.828
Алису, которая хочет обратиться к некому чат-серверу Бобу. И положим, что она хочет поговорить о

00:02:35.828 --> 00:02:40.382
медицинских условиях и хочет сделать это анонимно, так что

00:02:40.382 --> 00:02:45.113
чат-сервер не может узнать кто она. Прекрасно, существует стандартный метод

NOTE Paragraph

00:02:45.113 --> 00:02:49.946
mixnet, который позволяет Алисе общаться в публичном интернет с бобом посредством

00:02:49.946 --> 00:02:54.856
последовательности прокси, так что в конце общения Боб не имеет представления, с кем он

00:02:54.856 --> 00:02:59.537
только что разговаривал. Способ Микснетов основан на том, что Алиса шлёт свои сообщения

00:02:59.537 --> 00:03:03.818
Бобу через последовательность прокси-серверов. Эти сообщения шифруются

00:03:03.818 --> 00:03:08.271
и дешифруются соответственно так, что Боб не знает, с кем он разговаривал и прокси-сервера

00:03:08.271 --> 00:03:12.724
сами не знают, что Алиса разговаривает с Бобом, или фактически, кто

00:03:12.724 --> 00:03:16.750
с кем разговаривает вообще. Один интересный момент об этом анонимном

00:03:16.750 --> 00:03:20.498
канале общения состоит в том, что он двунаправленный. Иными словами, хотя

00:03:20.498 --> 00:03:24.743
Боб не знает, скем он разговаривает, он тем не менее может отвечать Алисе и

00:03:24.743 --> 00:03:29.153
Алиса будет получать эти сообщения. Имея анонимные сообщения, мы можем построить

00:03:29.153 --> 00:03:33.784
другие механизмы защиты. И я хочу дать вам пример, который называется анонимные

00:03:33.784 --> 00:03:37.643
электронные платежи. Помним, что в физическом мире, если у меня есть физический

00:03:37.643 --> 00:03:42.108
доллар, я могу пойти в книжный магазин и купить книгу и торговец не будет знать

00:03:42.108 --> 00:03:46.876
кто я. Вопрос в том, можем ли мы сделать то же самое в цифровом

00:03:46.876 --> 00:03:50.963
мире. В цифровом мире, в частност, Алиса может иметь электронный доллар,

00:03:50.963 --> 00:03:55.984
элетронную долларовую монету. И она может хотеть заплатить элетронный доллар неким онлайн-

00:03:55.984 --> 00:04:00.760
торговцам, допустим в некий онлайновый книжный магазин. Теперь мы бы хотели сделать это так,

00:04:00.760 --> 00:04:05.539
чтобы когда Алиса тратит свою монету в магазине, магазин не знал бы

00:04:05.539 --> 00:04:10.629
кем является Алиса. Т.е. мы обеспечиваем такую же анонимность, когда получаем платёж наличными.

00:04:10.629 --> 00:04:15.470
Теперь пролема в том, что в электронном мире Алиса может взять монету, которая у неё

00:04:15.470 --> 00:04:20.250
есть, эту долларовую монету, и перед тем, как потратить её, она может её копировать.

00:04:20.250 --> 00:04:24.086
И затем, вдруг, вместо наличия просто долларовой монеты, теперь,

00:04:24.093 --> 00:04:27.936
вдруг, у неё есть три долларовых монеты и они все, разумеется, одинаковые, и

00:04:27.936 --> 00:04:31.828
ничто ей не мешает взять эти копии и

00:04:31.828 --> 00:04:35.819
потратить их у других торговцев. И вопрос в том, как мы обеспечиваем анонимность

00:04:35.819 --> 00:04:39.849
электронных денег? Но в то же время, препятствуя Алисе дважды потратить

00:04:39.849 --> 00:04:43.760
долларовую монету у разных продавцов. В некотором смысле возникает противоречие между

00:04:43.760 --> 00:04:47.879
анонимностью и безопасностью, потому что если есть анонимные деньги

00:04:47.879 --> 00:04:51.999
ничто не помешает Алисе потратить дважды монету и так как монета

00:04:51.999 --> 00:04:56.244
анонимная, мы не имеем возможности сказать, кто совершил это мошенничество. И вопрос в том

00:04:56.244 --> 00:05:00.394
как нам решить это противоречие. И оказывается, это вполне выполнимо. И мы поговорим об

00:05:00.394 --> 00:05:04.757
анонимных электронных деньгах позже. В качестве намёка, скажу что,

00:05:04.757 --> 00:05:09.173
то как мы это обычно делаем, убедившись, что если Алиса тратит монету

00:05:09.173 --> 00:05:13.764
только раз, никто не знает кто она, но если она потратит еще раз,

00:05:13.764 --> 00:05:17.878
внезапно, её личность становится полностью известной и её могут постигнуть

00:05:17.878 --> 00:05:22.096
все виды юридических проблем. Таким образом анонимная цифровая наличность будет работать

00:05:22.096 --> 00:05:26.158
на высоком уровне, и вдальнейшем в ходе занятий мы увидим, как реализовать это.

00:05:26.158 --> 00:05:30.219
Еще одно применение криптографии связано с более абстрактными протоколами, но

00:05:30.219 --> 00:05:34.333
прежде чем подвести общий итог, я хочу привести вам два примера. Итак:

00:05:34.333 --> 00:05:38.343
первый пример связан с избирательными системами. Так вот - избирательная проблема.

00:05:38.343 --> 00:05:42.656
Предположим... у нас есть две партии: "партия-0" и "партия-1". И избиратели голосуют за них.

00:05:42.656 --> 00:05:47.101
Например, этот избиратель проголосовал за "партию-0", а этот - за "паритю-1"...

00:05:47.101 --> 00:05:52.313
И так далее. В этих выборах "партия-0" набрала три голоса, а "партия-1" - два голоса.

00:05:52.313 --> 00:05:56.590
Таким образом победитель выборов конечно же "партия-0".

00:05:56.590 --> 00:06:01.579
Но в общем случае, победителем выборов является партия, набравшая большинство голосов.

00:06:01.579 --> 00:06:06.453
Итак, избирательная проблема в следующем. Избиратели хотели бы как-то посчитать

00:06:06.453 --> 00:06:11.720
большинство голосов, но сделать это так, чтобы ничего

00:06:11.720 --> 00:06:16.797
не было известно о каждом отдельном голосе. Хорошо? Итак вопрос: как это сделать?

00:06:16.797 --> 00:06:21.493
И чтобы сделать это, мы представим "избирательный центр", который поможет нам

00:06:21.493 --> 00:06:26.633
вычислить большинство, сохранив тайну голосования. И единственное что каждая из партий

00:06:26.633 --> 00:06:32.027
должна сделать, это отправить забавные шифры своих голосов "за" в избирательный

00:06:32.027 --> 00:06:36.949
центр, таким образом в конце выборов, "избирательный центр" сможет

00:06:36.949 --> 00:06:41.615
посчитать и определить победителя выборов, при этом

00:06:41.615 --> 00:06:46.580
больше ничего не будет известо о каждом отдельном голосе. информация об индивидуальных

00:06:46.580 --> 00:06:51.366
голосах остаётся полностью закрытой. Естественно, "избирательный центр" также

00:06:51.366 --> 00:06:56.331
должен проверить что, например, данный избиратель имеет право голосовать и что избиратьель

00:06:56.331 --> 00:07:00.818
проголосовал только раз. Но кроме этой информации "избирательный центр"

00:07:00.818 --> 00:07:05.484
и весь остальной мир ничего не будут знать о голосе избирателя -

00:07:05.484 --> 00:07:10.104
только результат выборов. Вот это пример протокола, который включает в себя шесть сторон.

00:07:10.104 --> 00:07:14.430
В данном случае, есть пять избирателей в одном "избирательном центре". Эти стороны

00:07:14.430 --> 00:07:19.417
вычисляются между собой. В конце выислений результат выборов известен,

00:07:19.417 --> 00:07:24.404
но ничего кроме этого не известно об индивидуальных голосах.

00:07:24.404 --> 00:07:29.156
Подобная проблема поднимается в контексте частных аукционов. Так в частном

00:07:29.156 --> 00:07:34.160
аукционе у каждого участника есть своя ставка, означающая, что он хочет участвовать в торгах. А теперь предположим, что

00:07:34.160 --> 00:07:39.356
используемый механизм аукциона, называемый аукционом Викри, где

00:07:39.356 --> 00:07:45.287
по определению аукциона Викри, победителем является предложивший наивысшую цену.

00:07:45.287 --> 00:07:50.099
Но сумма, которую платит победитель является на самом деле второй по величине ставкой. Таким образом, он платит

00:07:50.099 --> 00:07:54.850
вторую по величине ставку. Итак, это стандартный механизм аукциона называется

00:07:54.850 --> 00:08:00.028
аукционом Викри. И теперь чтобы мы хотели бы сделать - это просто позволить участникам

00:08:00.028 --> 00:08:04.779
посчитать, чтобы чтобы выяснить, кто предложит самую высокую цену , и сколько он должен заплатить,

00:08:04.779 --> 00:08:09.165
но кроме этого, чтобы все другие сведения об отдельных ставках

00:08:09.165 --> 00:08:14.160
остались в тайне. Так, например, фактическая сумма ставки, которая предложит самую высокую цену

00:08:14.160 --> 00:08:19.225
должна оставаться тайной. Единственное, что должно стать известным является вторая по величине ставка

00:08:19.225 --> 00:08:23.526
и личность предложившего самую высокую цену. Итак, еще раз, то что мы сделаем -

00:08:23.526 --> 00:08:28.172
это введем "аукционый центр", и таким же образом , по сути, каждый

00:08:28.172 --> 00:08:32.588
будет отправлять свои зашифрованные ставки в "аукционный центр", который

00:08:32.588 --> 00:08:37.119
выислит личность победителя и по сути также вычислит вторую по величине ставку,

00:08:37.119 --> 00:08:41.822
но кроме этих двух величин ничего не будет известно

00:08:41.822 --> 00:08:46.126
об отдельно взятых ставках. Это на самом деле пример гораздо более общей проблемы

00:08:46.126 --> 00:08:50.264
называемой безопасными многосторонними вычислениями. Позвольте пояснить, что же такое безопасные многосторонние вычисления

00:08:50.264 --> 00:08:54.618
Итак, здесь, по сути абстрактно, у участников есть сами по себе секретные входные данные.

00:08:54.618 --> 00:08:58.649
В случае с выборами - это голоса "за".

00:08:58.649 --> 00:09:02.787
В случае с аукционом секретными входными данными являются тайные ставки.

00:09:02.787 --> 00:09:06.959
И всё что нужно сделать - это вычислить нектороую зависимость (функцию) от входных данных.

00:09:06.959 --> 00:09:10.840
В случае с выборами - искомой функцией является "большинство", в случае с аукционом -

00:09:10.840 --> 00:09:15.088
функцией является второе по величине число среди чисел от x1 до x4.

00:09:15.088 --> 00:09:19.179
И вопрос в том, как добиться того, чтобы значение функции

00:09:19.179 --> 00:09:23.375
стало известно, но ничего кроме этого не было известно об отдельно взятом голосе.

00:09:23.375 --> 00:09:27.675
Позвольте, я покажу вариант неправильной небезопасной реальзации этого. Вначале представим доверенную сторону.

00:09:27.675 --> 00:09:31.774
И потом, это доверенный оргн просто собирает отдельные входные данные.

00:09:31.774 --> 00:09:36.223
И он, своего рода, "обещает" держать отдельные входные данные в тайне , так что только он будет знать их.

00:09:36.223 --> 00:09:40.510
И в итоге он выдаёт значение функции миру.

00:09:40.510 --> 00:09:44.742
Таким образом, идея такова, что значение функции стали достоянием общественности и

00:09:44.742 --> 00:09:48.812
ничего не стало известным об отдельных голосах. Но и конечно есть

00:09:48.812 --> 00:09:52.990
доверенный орган которому вы доверяете, но если по каким-то причинам он окажется не заслуживающим доверия, тогда у вас проблема.

00:09:52.990 --> 00:09:57.168
Это является центральной теоремой в криптографии и

00:09:57.168 --> 00:10:01.001
на самом деле это довольно удивительный факт. В ней говорится, что любое вычисление

00:10:01.001 --> 00:10:05.204
которое вы хотели бы сделать, любая функция F, которую вы хотите вычислить, и которую можете вычислить

00:10:05.204 --> 00:10:09.302
с доверенным органом - вы можете также сделать без него.

00:10:09.302 --> 00:10:13.559
Позвольте мне на высоком уровне объяснить, что это значит. В принципе, то, что мы собираемся сделать, это

00:10:13.559 --> 00:10:17.816
мы собираемся избавиться от органа. Таким образом, стороны фактически не будут отправлять

00:10:17.816 --> 00:10:21.807
их входные данные в орган и фактически больше не будет органа в системе.

00:10:21.807 --> 00:10:26.011
Вместо этого что будут делать стороны - это

00:10:26.011 --> 00:10:30.567
общаться друг с другом используя некий протокол. Таким образом, что в конце протокола

00:10:30.567 --> 00:10:34.890
вдруг значение функции становится известно всем. И больше

00:10:34.890 --> 00:10:39.390
ничего кроме значения функции не становится известным. Другими словами,

00:10:39.390 --> 00:10:43.639
индивидуальные входные данные остаются в тайне. Но в при этом нет органа,

00:10:43.639 --> 00:10:47.867
а только способ передачи от одного к другому таким образом чтобы стал известен итоговый результат - выходные данные.

00:10:47.867 --> 00:10:51.846
Этот достаточно общий результат - это своего рода удивительный факт, что это вообще выполнимо.

00:10:51.846 --> 00:10:56.024
Это на самом деле так и ближе к концу занятий мы увидим как это сделать.

00:10:56.024 --> 00:11:00.577
Eсть некоторые приложения криптографии, которые я не могу

00:11:00.577 --> 00:11:05.560
классифицировать любым другим способом , кроме как сказать, что они являются чисто магическое. Позвольте мне дать вам

00:11:05.560 --> 00:11:10.240
два примера этого. Итак: 
первый - это то, что называется Частными облачными вычислениями.

00:11:10.240 --> 00:11:15.224
Поэтому я дам вам пример поиска Google просто чтобы проиллюстрировать.

00:11:15.224 --> 00:11:20.329
Итак, представьте, у Алисы есть поисковый запрос который она хочет выполнить. Оказывается что

00:11:20.329 --> 00:11:25.434
есть особенные схемы шифрования, такие что Алиса может отправить свой

00:11:25.434 --> 00:11:30.368
зашифрованый запрос в Google. И после этого, в зависимости от схемы шифрования

00:11:30.368 --> 00:11:35.304
Googe может выполнить вычисления на зашифрованных значениях не зная, что в тексте.

00:11:35.304 --> 00:11:40.368
Google vj;tn запустить собственные алгоритмы массового поиска на зашифрованом запросе

00:11:40.368 --> 00:11:44.903
и получить зашифрованные результаты. Хорошо. Google вернёт

00:11:44.903 --> 00:11:49.242
зашифрованные результаты Алисе. Алиса расшифрует их и получит результат.

00:11:49.242 --> 00:11:53.689
но магия тут в том. что всё что увидел Google это просто шифрованый запро и ничего больше.

00:11:53.689 --> 00:11:57.493
И так, в итоге Google не знает что Алиса искала,

00:11:57.493 --> 00:12:01.672
тем не менее, Алиса узнала точно, что она хотела узнать.

00:12:01.672 --> 00:12:05.812
Хорошо. Это магическое свойство схем шифрования.

00:12:05.812 --> 00:12:09.985
Но если честно, только новые разработки, двух - трех-летней

00:12:09.985 --> 00:12:14.436
давности позволяют вычислять шифрованные данные даже в тех случаях когда мы точно не знаем

00:12:14.436 --> 00:12:18.667
что внутри шифровки. Теперь, прежде чем бежать и думать о применении этого,

00:12:18.667 --> 00:12:22.470
Ддлжен вас предупредить, что это в настоящий момент только теория, в том смысле

00:12:22.470 --> 00:12:26.422
что запуск Google-поиск с шифрованными даннми, вероятно, займет миллиард лет.

00:12:26.422 --> 00:12:30.521
Но тем не менее сам факт того, что это выполнимо уже довольно

00:12:32.497 --> 00:12:34.473
удивительно, и уже весьма полезно для относительно простых вычислений.

00:12:34.473 --> 00:12:38.671
Несомненно, мы увидим нексколько таких приложений позже. Еще одно волшебное приложение

00:12:38.671 --> 00:12:42.474
которое я хотел бы продемонстрировать это так называемое "нулевое знание". И в частности, я расскажу

00:12:42.474 --> 00:12:46.080
вам о том, что называется "доказательство с нулевым разглашением". Итак, вот...

00:12:46.080 --> 00:12:50.177
...что происходит, если есть определенное число N, которое знает, Алиса.

00:12:50.177 --> 00:12:54.169
И способ как число N было построено - как произведение двух больших простых чисел. Итак, представьте

00:12:54.169 --> 00:12:58.835
Здесь мы имеем два простых чисел, P и Q. Каждый, что вы можете думать его как 1000 цифр.

00:12:58.835 --> 00:13:03.892
И вы , наверное, знаете , что умножение двух 1000- значных числа это довольно легко. Но если...

00:13:03.892 --> 00:13:08.235
я просто дам вам их произведение, выяснить их разложение на простые числа

00:13:08.235 --> 00:13:12.427
на самом деле довольно сложно. И в самом деле , мы собираемся воспользоваться тем, что розложение на простые числа сложнО

00:13:12.427 --> 00:13:16.566
для построения криптосистем с открытым ключом во второй половине курса.

00:13:16.566 --> 00:13:20.968
Итак, Алиса, случается, есть это число N, и она также знает, факторизация

00:13:20.968 --> 00:13:24.898
N. Теперь Боб просто имеет номер N. Он не знает на самом деле факторизации.

00:13:24.898 --> 00:13:28.723
Магические факт о нулевой знаний доказательство знаний, сейчас, что

00:13:28.723 --> 00:13:33.144
Алиса может оказаться Боб, что она знает факторизации N. Да, вы можете фактически

00:13:33.144 --> 00:13:37.457
Дайте этому доказательство Боб, что Боб можно проверить и стать убежден в том, что Алиса

00:13:37.457 --> 00:13:42.386
знает факторизации N, однако Боб узнает ничего на всех. О факторах, P

00:13:42.386 --> 00:13:47.034
и Q и это доказуемо. Боб абсолютно узнает ничего вообще про

00:13:47.034 --> 00:13:50.997
факторы, P и Q. И заявление на самом деле это очень, очень общие. Это

00:13:50.997 --> 00:13:55.275
не только о доказав факторизации N. В самом деле почти любой головоломки, что вы

00:13:55.275 --> 00:13:59.606
хотите доказать, что вы знаете ответ, вы можете доказать, что это ваши знания. Так что если

00:13:59.606 --> 00:14:03.831
у вас есть кроссворд, что вы решили. Ну, может быть это не кроссворды

00:14:03.831 --> 00:14:07.845
Лучший пример. Но если у вас есть как головоломки Судоку, например, что вы хотите

00:14:07.845 --> 00:14:12.282
чтобы доказать, что вы решили, вы можете доказать это Боб таким образом, что бы узнать, Боб

00:14:12.282 --> 00:14:16.718
ничего вообще о решении, и пока Боб будет убежден что вы действительно

00:14:16.718 --> 00:14:20.930
есть решение этой головоломки. Все в порядке. Так что те являются своего рода магический приложениями.

00:14:20.930 --> 00:14:25.000
И поэтому Последнее, что я хочу сказать, что Современная криптография является очень

00:14:25.000 --> 00:14:29.015
строгие науки. И в самом деле, каждый концепция, мы 're gonna описать является собираешься

00:14:29.015 --> 00:14:33.129
Выполните три очень строгий, ладно, и мы 're gonna видеть эти три шага

00:14:33.129 --> 00:14:37.338
снова и снова и снова так я хочу объяснить, какие они есть. Так первая вещь

00:14:37.338 --> 00:14:41.493
Мы ты собираешься делать, когда мы представляем нового примитива, как цифровая подпись

00:14:41.493 --> 00:14:45.540
Мы 're gonna указать точно модель угрозы. То есть, что может

00:14:45.540 --> 00:14:49.534
Злоумышленник ду атаковать цифровой подписи и какова его цель в ковка

00:14:49.534 --> 00:14:53.851
подписи? ОК, поэтому мы будем точно определять, что это означает для подписи

00:14:53.851 --> 00:14:57.760
например, что она неподдельна.
Неподдельна. Ладно, я даю цифровую

00:14:57.760 --> 00:15:01.998
подпись в качестве примера. Для каждый примитив, мы описываем, мы будем

00:15:01.998 --> 00:15:06.464
точно определите, какова модель угрозы.
Затем мы 're gonna предлагать строительство

00:15:06.464 --> 00:15:10.931
и затем мы 're gonna дать доказательство что любой злоумышленник, который может атаковать

00:15:10.931 --> 00:15:15.955
строительство в рамках этой модели угрозы. Что злоумышленник может также использоваться для решения некоторых

00:15:15.955 --> 00:15:20.150
базовым сложная проблема. И, как следствие, если проблема действительно трудно, что

00:15:20.150 --> 00:15:24.350
на самом деле доказывает, что не злоумышленник может нарушить строительства при модели угрозы.

00:15:24.350 --> 00:15:27.843
Все в порядке. Однако эти три шага на самом деле очень важны. В случае подписей

00:15:27.843 --> 00:15:31.928
мы определяем, что означает для подпись тягучесть, а после мы

00:15:31.928 --> 00:15:35.914
даем некую конструкцию, и затем, к примеру, мы говорим, что любой, кто может сломать нашу

00:15:35.914 --> 00:15:39.801
конструкцию, которую может затем применить для, скажем, ряда факторов, которые могут оказаться

00:15:39.801 --> 00:15:43.541
сложной проблемой. Итак, мы будем следовать следующим трем действиям во всем, и

00:15:43.541 --> 00:15:47.331
тогда вы увидите, как это на самом деле происходит. Ладно, на этом у меня

00:15:47.331 --> 00:15:51.218
все. В следующем сегменте мы поговорим немного об истории

00:15:51.218 --> 00:15:52.006
криптографии.