-
在我们开始应用密码学之前,我想说说
-
什么是密码学,以及密码学应用的不同领域。
-
密码学的核心当然是安全的通信,它
-
由两部分组成。第一部分是安全密钥构造,第二是当我们
-
有了共享密钥后,如何进行安全通信。我们已经说过,
-
安全密钥构造方法是 Alice和Bob相互发送消息,
-
在协议结束时,他们能获得同一的
-
共享密钥 K。而除此之外,
-
Alice会知道她确实是在跟Bob说话,而Bob也确定和他对话的
-
是Alice。而攻击者就算可以窃听他们的会话,也不知道
-
共享密钥是什么。这些我将在以后的课程中详细介绍。当他们
-
拥有了共享密钥,他们就希望能通过密钥加密,从而安全通信
-
我们将谈论能使他们这样做的加密方法,
-
并且攻击者无法得知传输的消息。
-
此外,如果攻击者篡改了消息,那么一定会被发现。
-
换句话说,这些加密方案不仅仅提供了机密性,还有
-
完整性。但加密还有许许多多别的用处。
-
我来举几个例子吧。第一个例子,那就是
-
所谓的 数字签名。数字签名 是
-
是对现实世界签名的模拟。
-
在现实世界,当签名文档时,你把名字签在文档上就行了。
-
并且,你的签名几乎始终是相同的。也就是说,
-
你的签名有自己的特点。而在数字世界中,这不可能
-
奏效,因为只要攻击者获得一个由我签过名的文档,
-
他就可以剪切我的签名,并粘贴到另外一些可能我并不愿意
-
签名的文档上。所以在数字世界中,实际上我为不同文件
-
的签名也是不同的。因此,我们要谈谈
-
如何构建安全的数字签名,这是课程后半部分的内容。
-
构造数字签名会非常有趣。现在我只
-
给你们一个提示,数字签名的工作方式基本上是通过
-
基于内容的签署函数来实现的。那么就算攻击者
-
试图将我的签名从一个文档复制到另一个上,他也不会成功
-
因为该签名在新文档由于内容不同,
-
是无法通过验证的。正如我所说,
-
我们将在今后的某个时间学习构造数字签名,然后再
-
证明这样构造是安全的。密码学的
-
另一个应用是 匿名通信。试想,
-
Alice想与聊天服务器那边的Bob交谈。并且,也许她想说
-
诸如医疗状况这类隐私话题。她希望能匿名交谈,这样一来
-
服务器完全不知道她是谁。实现这个有一个标准方法,叫
-
mixnet,这将允许Alice一系列的代理最终与Bob交谈,
-
而在交谈结束后,Bob完全不清楚刚刚到底是在跟谁说话。
-
Mixnets 基本是这样工作的:Alice将消息发送
-
Bob时,消息通过了一系列代理服务器,这些消息通过适当的
-
加解密后,最后传给Bob时,不仅Bob不知道谁在跟他说话,
-
那些代理服务器甚至也不清楚Alice的通话对象是Bob,
-
或者说,谁都不知道对方是谁。有趣的是,匿名通信
-
的通道实际上是一个双向通道。换句话说,
-
虽然Bob不知道对方是谁,他仍然可以向对方做出回答,
-
而Alice也能获得这些消息。一旦我们有了匿名通信,就可以
-
构造其他隐私的机制了。另一个例子, 匿名数字现金
-
在现实世界中,如果我有实实在在的1美元,
-
我可以去书店,并买了一本书,而老板并不知道我是谁。
-
问题是我们是否可以在数字世界做同样的事情呢?
-
在数字世界里,假设Alice有虚拟的1美元硬币,
-
她想要在网上书店花掉这虚拟的1美元,
-
现在,我们想做同现实世界一样,那就是
-
当Alice用这1美元在网上书店买书时,书店也会知道她是谁。
-
这样,我们就提供了与现实中相同的匿名服务。
-
现在的问题是在数字世界里,Alice可以做一些邪恶的事情,
-
在她花掉这虚拟1美元之前,她可以做几份拷贝,
-
突然之间Alice就不止只有1美元了
-
她有了3个1美元硬币,并且它们是一模一样的。
-
没人能组织她做这样的拷贝,或者在其他网络商家
-
花掉这拷贝的钱。所以问题是我们如何提供匿名数字现金,
-
但同时,也防止Alice做刚刚我们说过的那些事?
-
在某种意义上,有一个悖论,那就是
-
匿名是与安全是冲突的。因为如果Alice有了匿名现金,
-
那么没人可以阻止她拷贝硬币了。而正因为
-
现金是匿名的,我们也没有办法找出谁做出了这种欺诈行为。
-
那我们如何解决呢?事实证明,完全是有办法的。
-
稍后我们会详述匿名数字现金。现在只是给个提示,
-
我们可以这么做:如果 Alice 花同一枚硬币仅仅一次,
-
那么没人知道她是谁;但如果她花同一个硬币超过一次,
-
那么突然之间,她的身份就被暴露了,然后估计就会被警察
-
请去公安局坐坐了。这就是匿名数字现金的工作方式。
-
我们将在后面的课程中尝试实现它。
-
另一个密码学应用是与一些抽象的协议结合的,
-
在我告诉你这是什么之前,先举两个例子。
-
第一个例子与选举系统有关。
-
我们有两个党,党0和党1。选民为他们心宜的党投票。
-
在这个例子中,选民可能支持党0,也可能支持党1。
-
就像这样...在这次选举中,党0得到了3票,而另一个当得到了
-
2票。所以,党0在此次选举中获胜。
-
因为一般说来得到大多数选票的党成为选举中的胜者。
-
现在,投票的问题如下:选民希望
-
知道哪个党得到了大部分选票,但与此同时并不会泄露
-
具体票数。那么应该怎么做呢?
-
为了达到这个目的,我们引进“选举中心”,它将帮助我们
-
计算票数,但不泄露其他信息。
-
参与竞选的党派将把票数通过加密送入竞选中心,
-
在竞选结束后,竞选中心
-
计算票数并宣布获胜方,而其他的所有
-
信息都不会泄露,也就是说单独的
-
票数仍然保密。选举中心当然也需要
-
对选民进行验证,例如选民是否有权投票,以及
-
是否只投了一次。但是除此之外,选举中心和
-
其他所有人或组织都只知道选举结果。
-
这是一种涉及六个对象的协议,
-
在这种情况下,有5个选民,1个选举中心。
-
他们将计算选票,而在计算结束时,
-
除了得知结果,其他的一切信息,诸如个人输入都未被泄露。
-
类似的问题也出现了私人拍卖会上。假设一个私人卖家
-
对自己想要的商品进行竞标。
-
拍卖机制使用的是“维克瑞拍卖”,即
-
出价最高者是这件商品竞标的获胜者,但
-
他只需要按第二高的出价支付。
-
这就是所谓的“维克瑞拍卖”。
-
现在我们想做的是,第一
-
要弄清楚出价最高者是谁,其次这个人要支付多少钱,
-
除此之外的其他个人竞标信息都要保密。
-
例如,出价最高的实际金额
-
应保密,唯独要公开的是第二高的出价金额,
-
以及出价最高的人的身份。所以在此,
-
我们引进“拍卖中心”,并以和选举例子类似的方法执行,即
-
每人将向拍卖中心发送加密的竞标书。拍卖中心将
-
计算的获胜者身份,以及第二高的出价,
-
但除了这两个值以外,其他信息仍然保密。
-
现在,举一个更普遍问题的例子,即
-
安全多方计算。那么安全多方计算到底是什么呢?
-
简单地说,参与者有一个秘密输入。
-
所以,在选举中,输入即为投票;
-
在拍卖会上,输入即为秘密的投标书。
-
参与者希望以某种函数,以他们的输入来计算结果。
-
在选举中,函数即为计算大多数票数,输出获胜者。
-
在拍卖中,该函数计算第二高的金额,以及最高者金额的编号
-
可他们该怎么做,才能只输出函数计算的值,
-
而其他信息维持保密呢?
-
一种比较呆板的、 不安全的方法是,我们引进一个
-
可信组织。然后,这个可信组织将收集所有的个人输入。
-
并且,它承诺对各个输入保密,也就只有它
-
知道那些具体输入情况。最后,它计算函数的值后公布结果。
-
这样一来,我们得到了结果,但
-
其他信息未被泄露。当然,你必须
-
要信任这个可信组织,如果你觉得它会搞名堂,
-
那就没用了。所以,密码学中有一个
-
让人很吃惊的中心理论:任何你想要
-
做的计算或者函数,如果你能把这个计算交给
-
可信组织做,那么你也一定可以不需要可信组织来得到结果。
-
让我在较高级别上解释这意味着什么。也就是说,我们做的
-
任何事情都可以不要可信组织插手。所以实际上参与者不需要
-
将输出提供给可信组织。并且,事实上,在系统中也没有
-
什么权威组织。那些参与者需要的仅仅只是使用某种协议与
-
其他参与者交换信息。而在结束后,
-
每个人都只知道最终结果是什么。
-
换句话说,
-
个体的输入仍然是保密的。但在此之中也没有可信权威组织
-
只是通过另一种方式来获得最终的输出。
-
这是一个普遍的结果,虽然有些难以置信,但却是可行的。
-
事实上,在课程快结束时,我们就会知道如何做啦!
-
还有一些我不能将它们归类的密码学应用,
-
但它们确实很神奇。
-
举两个例子。第一个称之为“私下外包计算”。
-
为了方便说明,就以谷歌搜索为例子吧。
-
假设Alice有一串搜索关键词想要查询,
-
并且有一些特殊的加密方案使得她可以将加密的查询
-
信息发送给谷歌。由于这种特殊加密方案的某个特性,
-
谷歌可以基于这些加过密的信息计算搜索,而无需知道
-
原始的文本是什么。也就是说,谷歌可以基于加密的信息,运
-
运行其大规模的搜索算法,并得到加密的结果。之后,谷歌将
-
发送加密的结果给Alice,Alice解密信息后得到查询的结果。
-
神奇的地方在于,谷歌只知道加过密的查询内容,
-
所以,谷歌也不知道什么Alice到底想要搜索什么,
-
以及Alice到底得到了什么结果。
-
这些就是神奇的加密方案。
-
它们是最近才发展的,大约从两年或三年前开始。
-
它使我们能够计算加密的数据,即使我们不知道
-
加密的内容是什么。现在,在你飘飘然之前想想如何实现。
-
虽然现在来说只是理论,
-
也许到那谷歌实现这个技术的那一天还要很久很久,
-
但尽管如此,这个方案可行的事实已经令人无比兴奋了,
-
并且,就一些相对简单的计算而言,它是非常有用的。
-
事实上,我们将在稍后看到一些这样的应用。另外一个神奇的
-
应用,是所谓的“零知识”。
-
我先说说“零知识证明”。
-
假设Alice知道一个确定的数N,
-
数字 N 是由两个大素数构造的。试想一下,
-
我们有两个素数 P 和 Q。它们很大很大,比如一千位。
-
我们知道两个1000位的数字想成很容易。
-
但如果我给你一个乘积的结果,让你把它分解为两个质数,
-
其实是相当困难的。事实上,我们要利用因数难分解的特点,
-
来构造公共密钥的密码系统,这个我们将在课程后半部分讲到
-
现在,Alice有此数字 N,并且她也知道的构成N的因子。
-
而Bob只知道数字N,他不知道构成N的因子是什么。
-
现在就是见证奇迹的时刻:根据“零知识证明”,
-
Alice可以向Bob证明她知道的 N 的因子,
-
Bob也可以做一些验证,证实Alice没有骗他,
-
最终,Bob却只知道N的值是什么,不知道因子P和Q的值。
-
这就是可证明的。Bob绝对不知道因子P和Q的值是什么。
-
实际上这个论证是很普遍的,一般的。
-
它不仅仅能证明N的因式分解,还能证明你所知道的任何难题
-
的答案都是你的知识。因此,如果
-
你解决了字谜拼图,好吧,我承认字谜这个例子不太好。
-
如果你解决了一个数独难题,你想证明你解决了它,
-
那么你可以证明给Bob看,虽然Bob不知道答案,
-
但却能坚信你确实知道这个数独难题的答案。
-
看看,密码学的这个应用神奇吧!
-
最后我想说,现代密码学是一个非常
-
严谨的科学。事实上,我们描述的每个概念都将
-
严格的按照三个步骤,我们将反反复复地遵循这三个步骤
-
所以我想要解释它们是什么。首先,
-
象介绍什么是数字签名那样,
-
我们先说说什么是威胁模型。数字签名中的威胁模型是攻击者
-
如何对数字签名发动攻击,以及攻击者为什么要伪造签名?
-
对于数字签名这个例子,我们一定要了解,签名必须是
-
无法伪造的。三个步骤是,
-
对于每一个基元,我们要描述需要
-
精确定义的威胁模型是什么。接着,提出一种方案。
-
再证明在特定威胁模型条件下,任何攻击者都能攻击这个方案
-
一旦攻击者成功了,那么攻击者也可以解决相对应的一些
-
根本的复杂的难题。如果难题够复杂攻击者无法破解,
-
那么也就证明了在这个威胁模型下没有攻击者能破解这个方案
-
以上的三个步骤实际上相当重要。就签名这个例子而言,
-
我们要定义数字签名意味着什么,那就是不可伪造性。
-
接着给出一个方案,并指出任何一个可以破解我们的方案
-
的人都能解决因子整数分解,而因子整数分解被普遍认为
-
是一个很难的问题。在今后,我们将遵循这三个步骤,
-
就能得到证明的结果了。这些就是本节的内容。
-
在下一节,我们将谈谈 密码学的历史。
-
End
