< Return to Video

Шифре тока су семантички безбедне (11 min) [произвољно]

  • 0:00 - 0:04
    Сада када смо разумели појам безбедности псеудослучајног генератора, као и појам
  • 0:04 - 0:08
    семантичке безбедности, можемо да докажемо да је шифра тока са безбедним PRG-ом
  • 0:08 - 0:13
    семантички безбедна. То ће бити наш циљ за овај одељак.
  • 0:13 - 0:17
    То је врло једноставан доказ, па хајде да погледамо. Теорија коју желимо да докажемо је
  • 0:17 - 0:21
    да имајући генератор који је безбедни, псеудослучајни генератор,
  • 0:21 - 0:25
    шифра тока коју добијамо од овог генератора
  • 0:25 - 0:29
    јесте семантички безбедна. Желим да нагласим да није
  • 0:29 - 0:33
    било могуће да се оваква теорема докаже за савршену безбедност, за Шенонов појам
  • 0:33 - 0:37
    савршене безбедности. Зато што знамо да шифра тока не може да буде савршено безбедна,
  • 0:37 - 0:41
    зато што има кратак кључ. А савршена безбедност захтева да кључеви буду исте
  • 0:41 - 0:45
    дужине као и порука. Тако да је ово први пример који видимо, у коме можемо
  • 0:45 - 0:49
    да докажемо да и шифра са кратким кључевима има безбедност, у смислу
  • 0:49 - 0:53
    семантичке безбедности. Тиме се потврђује да је ово заиста
  • 0:53 - 0:57
    користан појам, и у ствари, користићемо семантичку безбедност
  • 0:57 - 1:01
    много пута током течаја. Добро, како доказујемо једну овакву теорију?
  • 1:01 - 1:04
    Почињемо од тога што претпоставимо супротно.
  • 1:04 - 1:08
    Показаћемо следеће - доказаћемо ову
  • 1:08 - 1:13
    тврдњу овде, али да је прво рашчланим. Рецимо дате ми нападача семантичке безбедности, А.
  • 1:13 - 1:18
    Направићемо PRG нападач В који задовољава
  • 1:18 - 1:24
    ову неједначину овде. А зашто нам је ова неједначина корисна? У суштини, шта ми знамо?
  • 1:24 - 1:29
    Знамо да ако је В ефикасан нападач, пошто је G безбедни генератор,
  • 1:29 - 1:33
    знамо да је ова предност занемарљива, јел тако? Безбедни генератор
  • 1:33 - 1:38
    има занемарљиву предност над произвољним ефикасним статистичким тестом.
  • 1:38 - 1:42
    Тако да је ова десна страна практично занемарљива. Али зато што је десна страна
  • 1:42 - 1:46
    занемарљива, закључујемо да је и лева страна занемарљива.
  • 1:46 - 1:51
    Следи да нападач који посматрамо има заправо занемарљиву предност
  • 1:51 - 1:55
    приликом нападања шифре тока Е.
  • 1:55 - 1:58
    За постојећег нападача А направићемо
  • 1:58 - 2:03
    нападача В. Знамо да он има занемарљиву предност над генератором,
  • 2:03 - 2:06
    али из тога следи да А има занемарљиву предност над шифром тока.
  • 2:06 - 2:11
    Дакле за задато А треба да саградимо В.
  • 2:11 - 2:15
    Нека је А нападач семантичке безбедности шифре тока. Подсећам вас
  • 2:15 - 2:19
    шта то значи: постоји изазивач, који почиње тако што
  • 2:19 - 2:24
    одабере кључ k. А затим нападач шаље две поруке једнаке
  • 2:24 - 2:27
    дужине, и добија шифру поруке m0 или m1,
  • 2:27 - 2:31
    и на излазу даје b'. Дакле то ради нападач семантичке
  • 2:31 - 2:35
    безбедности. Сада ћемо да започнемо игру са овим нападачем.
  • 2:35 - 2:38
    И тако ћемо да докажемо нашу лему.
  • 2:38 - 2:43
    Прво што чемо да урадимо је да на страни изазивача одаберемо насумично r,
  • 2:43 - 2:48
    насумични низ r. Нападача се не тиче шта
  • 2:48 - 2:52
    изазивач интерно ради. Нападач никада не користи r, тако да ово нема никаквог утицаја
  • 2:52 - 2:56
    на предност нападача. Нападача се уопште не тиче
  • 2:56 - 3:01
    што изазивач користи r. Али ево у чему је ствар. Ми ћемо,
  • 3:01 - 3:05
    уместо да шифрујемо користећи G(k), да користимо r за шифровање.
  • 3:05 - 3:10
    Видите шта овде радимо. Мењамо изазивача
  • 3:10 - 3:14
    тако да се сада шифрат добија коришћењем
  • 3:14 - 3:19
    истински случајног кључа, уместо псеудослучајног кључа G(k). Својство
  • 3:19 - 3:24
    псеудослучајног генератора је да је његов излаз нераспознатљив од истински
  • 3:24 - 3:28
    случајног. Дакле зато што је PRG безбедан, нападач не распознаје да смо направили ову
  • 3:28 - 3:33
    измену. Нападач не види да смо прешли са псеудослучајног низа на
  • 3:33 - 3:37
    истински случајан, зато што је генератор безбедан. Погледајмо сада
  • 3:37 - 3:42
    коју игру смо добили. Предност нападача није могла
  • 3:42 - 3:47
    да се много промени, зато што он не распознаје разлику. Али погледајмо ову игру.
  • 3:47 - 3:51
    Ова игра је истинска једнократна бележница. Ово је игра семантичке
  • 3:51 - 3:56
    безбедности против једнократне бележнице. Зато што сада нападач добија
  • 3:56 - 4:00
    шифру једнократне бележнице за m0 или m1. Али овде је, као што знамо, предност
  • 4:00 - 4:04
    нападача нула, зато што не можете да победите једнократну бележницу - она је
  • 4:04 - 4:08
    безусловно безбедна. А као последица тога,
  • 4:08 - 4:13
    зато што нападач не види разлику приликом
  • 4:13 - 4:17
    преласка са псеудослучајног на случајни кључ, а не може да победи случајну игру, то значи да
  • 4:17 - 4:21
    не би победио ни псеудослучајну игру. Следи да првобитна шифра тока
  • 4:21 - 4:26
    мора да је безбедна. Дакле ово је интуитивно изведени доказ.
  • 4:26 - 4:30
    Али желим да одрадим и строго формални доказ. Од сада па надаље, доказе ћемо да изводимо
  • 4:30 - 4:34
    играјући игре са нашим изазивачем. И нећемо да се бавимо строго формалним доказима
  • 4:34 - 4:38
    као што је овај што следи. Али желим да одрадим и један такав доказ,
  • 4:38 - 4:43
    чисто да видите како изгледају ови докази. Добро, сада морам да уведем неке ознаке.
  • 4:43 - 4:48
    Користићу уобичајено обележавање. У првобитној игри против семантичке сигурности,
  • 4:48 - 4:53
    када користимо псеудослучајни кључ, користићу W0 и W1
  • 4:53 - 4:58
    да означим догађај да нападач враћа 1 када добија шифру
  • 4:58 - 5:03
    од m0 или од m1, редом. Дакле W0 одговара
  • 5:03 - 5:08
    излазу 1, када се добија шифра од m0, а W1 одговара
  • 5:08 - 5:13
    излазу 1 када се добија шифра од m1. Дакле ово је стандардна
  • 5:13 - 5:20
    дефиниција семантичке безбедности. А када пређемо на случајни кључ, користићу
  • 5:20 - 5:25
    R0 и R1 да означимо догађај да нападач враћа 1 када добија
  • 5:25 - 5:29
    једнократну шифру од m0 или од m1. Дакле имамо
  • 5:29 - 5:34
    четири догађаја, W0, W1 из првобитне игре семантичке безбедности, и R0, R1
  • 5:34 - 5:38
    из игре семантичке безбедности када пређемо на једнократну бележницу.
  • 5:38 - 5:43
    Погледајмо сада односе између ових променљивих. Пре свега, R0 и R1 су
  • 5:43 - 5:47
    догађаји из игре семантичке безбедности против једнократне бележнице.
  • 5:47 - 5:52
    Дакле разлика ових вероватноћа је
  • 5:52 - 5:57
    предност алгоритма А, или нападача А, против једнократне бележнице, што је 0.
  • 5:57 - 6:01
    Одлично. То значи да је вероватноћа од R0
  • 6:01 - 6:06
    једнака вероватноћи од R1. Дакле сада, поређајмо ове догађаје на делу линије
  • 6:06 - 6:10
    између 0 и 1. Дакле овде су догађаји: W0 и W1 су догађаји који
  • 6:10 - 6:14
    нас занимају. Желимо да покажемо да су они блиски.
  • 6:14 - 6:18
    А то ћемо да урадимо тако што ћемо -- узгред треба да кажем
  • 6:18 - 6:23
    да вероватноће R0 и R1, будући да су једнаке, постављам у
  • 6:23 - 6:27
    исту тачку. Показаћемо да су и W0 и W1
  • 6:27 - 6:32
    близу вероватноће Rb па самим тим и међусобно.
  • 6:32 - 6:36
    Дакле сада нас
  • 6:36 - 6:40
    занима растојање између вероватноће од Wb и вероватноће
  • 6:40 - 6:45
    од Rb. Да сада искажем тврдњу коју ћемо да докажемо за који тренутак.
  • 6:45 - 6:50
    Ова тврдња гласи да постоји нападач В такав, да је разлика ових двеју
  • 6:50 - 6:55
    вероватноћа предност од В над генератором G, што важи за оба b.
  • 6:55 - 7:00
    Са ове две тврдње теорема је доказана, зато што
  • 7:00 - 7:05
    сада знамо да је ово растојање мање од предности В
  • 7:05 - 7:10
    над G. То следи из тврдње број 2, а ово растојање је заправо
  • 7:10 - 7:14
    једнако тој предности В над G,
  • 7:14 - 7:19
    из чега произилази да је растојање између вероватноћа W0 и W1
  • 7:19 - 7:24
    скоро два пута веће од предности В над G.
  • 7:24 - 7:29
    Што и желимо да докажемо. Остаје још само да
  • 7:29 - 7:34
    докажемо ово тврђење. Ако размислите како оно гласи,
  • 7:34 - 7:39
    њиме се обухвата случај огледа 0, када
  • 7:39 - 7:44
    заменимо псеудослучајни генератор G(k) истински случајним кључем r.
  • 7:44 - 7:49
    У огледу 0 овде користимо псеудослучајни кључ, а овде
  • 7:49 - 7:54
    истински случајни, и питамо се да ли нападач може да распозна
  • 7:54 - 7:59
    разлику између њих, и желимо да докажемо да не може, зато што је генератор безбедан.
  • 7:59 - 8:04
    Ево шта ћемо да урадимо. Докажимо тврдњу број 2.
  • 8:04 - 8:09
    Доказаћемо да постоји PRG нападач В који има предност
  • 8:09 - 8:14
    која је једнака управо разлици између ове две вероватноће.
  • 8:14 - 8:18
    Пошто је ово занемарљиво, и ово је занемарљиво, а то смо и желели
  • 8:18 - 8:22
    да докажемо. Погледајмо статистички тест В.
  • 8:22 - 8:27
    Наш статистички тест В ће да садржи нападача А, и можемо да га саградимо
  • 8:27 - 8:31
    како год желимо. Унутар њега користимо нападач А,
  • 8:31 - 8:36
    и то је обичан статистички тест, који узима n-битни
  • 8:36 - 8:40
    низ као улаз, и враћа вредности "случајно" или "није случајно",
  • 8:40 - 8:44
    0 или 1. Погледајмо. Најпре ће да покрене
  • 8:44 - 8:48
    нападача А, који ће да избаци две поруке, m0 и m1.
  • 8:48 - 8:54
    Тада ће нападач В да одговори са m0 XOR низ који
  • 8:54 - 9:00
    му је био прослеђен као улаз. Дакле статистички тест као свој
  • 9:00 - 9:05
    излаз враћа излаз од А.
  • 9:05 - 9:10
    Шта можемо да кажемо о предности статистичког теста
  • 9:10 - 9:16
    над генератором? По дефиницији, она је једнака вероватноћи да, ако одаберете
  • 9:16 - 9:21
    истински насумични низ - значи овде је r {0, 1} на n - дакле вероватноћа
  • 9:21 - 9:26
    да В враћа 1, минус вероватноћа да, ако одаберемо псеудослучајни
  • 9:26 - 9:33
    низ, В враћа 1. Али да размислимо шта нам ово говори.
  • 9:33 - 9:37
    Шта можете да ми кажете о првом изразу?
  • 9:37 - 9:42
    О овом изразу овде? По дефиницији, то је управо једнако
  • 9:42 - 9:47
    вероватноћи од R0, зар не?
  • 9:47 - 9:53
    Зато што у нашој игри против нападача, он нам је дао
  • 9:53 - 9:58
    m0 и m1, и добио је шифру од m0
  • 9:58 - 10:04
    под једнократном бележницом. Дакле ово је вероватноћа од R0.
  • 10:04 - 10:10
    Ово је вероватноћа од R0.
  • 10:11 - 10:15
    Шта можемо да кажемо о следећем изразу, шта можемо да кажемо о томе када
  • 10:15 - 10:19
    В добија псеудослучајни низ у као улаз?
  • 10:19 - 10:23
    У том случају, ово је управо оглед 0 и права игра шифре тока,
  • 10:23 - 10:30
    зато што сада рачунамо m0 XOR G(k). А то је управо W0.
  • 10:30 - 10:33
    А то је и требало доказати. Дакле доказ је тривијалан.
  • 10:33 - 10:40
    Овим смо доказали тврдњу број 2, и да поновим, једном када имамо
  • 10:40 - 10:44
    тврдњу број 2, знамо да W0 мора да буде близу W1, а то и јесте теорема,
  • 10:44 - 10:50
    то је и требало да докажемо. Дакле сада смо утврдили да је шифра тока
  • 10:50 - 10:54
    заиста семантички безбедна, под претпоставком да је PRG безбедан.
Title:
Шифре тока су семантички безбедне (11 min) [произвољно]
Video Language:
English
marija.jelenkovic edited Serbian subtitles for Stream ciphers are semantically secure (11 min)
marija.jelenkovic edited Serbian subtitles for Stream ciphers are semantically secure (11 min)
marija.jelenkovic added a translation

Serbian subtitles

Revisions

Our website uses cookies for analysis purposes.