< Return to Video

Semantic Security (16 min)

  • 0:00 - 0:04
    1
    00:00:00,000 --> 00:00:03,911
    Mi meta para los próximos segmentos es mostrar que si usamos un
    PRG seguro, podremos
  • 0:04 - 0:08
    2
    00:00:03,911 --> 00:00:07,892
    obtener una secuencia o flujo seguro. Lo primero que tenemos que hacer
    es definir cual es el
  • 0:08 - 0:12
    3
    00:00:07,892 --> 00:00:11,679
    significado de que un flujo de datos sea seguro?
    Así que cada vez que definimos la seguridad siempre
  • 0:12 - 0:15
    4
    00:00:11,679 --> 00:00:15,174
    es terminos de żqué es lo que el atacante puede hacer?
    y żqué es lo que el atacante esta
  • 0:15 - 0:19
    5
    00:00:15,174 --> 00:00:18,670
    intentando hacer? En el contexto de cifrado de flujo
    recuerde que estos sólo se utilizan
  • 0:19 - 0:23
    6
    00:00:18,670 --> 00:00:22,737
    con una llave de una sola vez (onetime key),
    y como
    resultado, la mayoria de las veces el atacante solo
  • 0:23 - 0:27
    7
    00:00:22,737 --> 00:00:26,754
    puede ver el texto cifrado con la llave que
    estamos utilizando.żY como nos vamos
  • 0:27 - 0:31
    8
    00:00:26,754 --> 00:00:30,772
    a limitar a los atacantes ? A la capacidad de obtener
    básicamente un texto cifrado. Y, de hecho,
  • 0:31 - 0:35
    9
    00:00:30,772 --> 00:00:34,641
    más adelante vamos a permitir que el
    atacante pueda hacer mucho, mucho, mucho más, pero
  • 0:35 - 0:38
    10
    00:00:34,641 --> 00:00:38,460
    por ahora sólo vamos a darle un texto cifrado.
    Y lo que queremos encontrar, ,
  • 0:38 - 0:43
    11
    00:00:38,460 --> 00:00:42,560
    what does żqué significa que el cifrado sea seguro?
    Así que la primera definición que
  • 0:43 - 0:47
    12
    00:00:42,560 --> 00:00:46,892
    viene a la mente es básicamente para decir

    bueno tal vez queremos exigir que el atacante no
  • 0:47 - 0:51
    13
    00:00:46,892 --> 00:00:50,718
    puede realmente recuperar la clave secreta.

    Bueno por lo que dado el texto cifrado el atacante
  • 0:51 - 0:55
    14
    00:00:50,718 --> 00:00:54,609
    no debe ser capaz de recuperar la clave secreta.
  • 0:55 - 0:59
    Pero esa es una definición terrible
  • 0:59 - 1:03
    15
    00:00:54,609 --> 00:00:58,717
    porque pesa mas en la falla de nuestro genial cifrado
    pero es la manera como ciframos el
  • 1:03 - 1:07
    16
    00:00:58,717 --> 00:01:02,855
    mensaje usuando una clave K es como básicamente
    sale en mensaje. Bueno este es
  • 1:07 - 1:12
    17
    00:01:02,855 --> 00:01:07,427
    un sistema de cifrado sí brillante,
    por supuesto
    no hace nada dado un mensaje que acaba
  • 1:12 - 1:16
    18
    00:01:07,427 --> 00:01:12,000
    de generar un mensaje con el texto cifrado.
  • 1:16 - 1:20
    Esto no es un esquema de cifrado
  • 1:20 - 1:25
    19
    00:01:12,000 --> 00:01:16,029
    particularmente bueno; Sin embargo, dado el
    texto
    cifrado,hace que nuestro desvalido atacante
  • 1:25 - 1:29
    20
    00:01:16,029 --> 00:01:20,493
    no pueda recuperar la clave, porque él no sabe
    cuál es la clave.Y así, como resultado
  • 1:29 - 1:32
    21
    00:01:20,493 --> 00:01:24,630
    esta cifrado que claramente es inseguro,
    se considera segura bajo este
  • 1:32 - 1:36
    22
    00:01:24,793 --> 00:01:28,636
    requisito de seguridad. Así que esta
    definición no será buena. Bueno por lo que si
  • 1:36 - 1:40
    23
    00:01:28,636 --> 00:01:32,317
    recuperando la clave secreta es el camino equivocado
    para definir la seguridad. Así que la próxima cosa que
  • 1:40 - 1:44
    24
    00:01:32,317 --> 00:01:35,999
    puede intentar es básicamente, es decir
    el atacante no se preocupa por
  • 1:44 - 1:48
    25
    00:01:35,999 --> 00:01:39,680
    la clave secreta, lo que realmente le importa es el
    texto plano. So maybe it should be
  • 1:48 - 1:53
    26
    00:01:39,680 --> 00:01:43,518
    Así que tal vez debería ser difícil para el atacante
    recuperar el texto completo. Pero incluso eso no funciona porque
  • 1:53 - 1:58
    27
    00:01:43,518 --> 00:01:48,223
    vamos a pensar en el siguiente el siguiente
    esquema de cifrado. Así que suponemos
  • 1:58 - 2:03
    28
    00:01:48,223 --> 00:01:53,436
    que lo que este esquema de encriptación
    hace es que se necesitan dos mensajes,así que voy a utilizar dos
  • 2:03 - 2:08
    29
    00:01:53,436 --> 00:01:58,014
    líneas para indicar la concatenación de dos
    mensajes: linea M0 , Linea M1, de
  • 2:08 - 2:13
    30
    00:01:58,014 --> 00:02:03,100
    manera que concatenamos M0 y M1. Ahora imagine
    lo que el sistema hace es realmente hace la salida de
  • 2:13 - 2:17
    31
    00:02:03,100 --> 00:02:08,060
    M0 en texto plano y concatena con la encripción
    de M1. Tal vez aunque estemos usando
  • 2:17 - 2:22
    32
    00:02:08,060 --> 00:02:13,337
    una libreta de una vez (One Time Pad) żsi?
    Y aquí el atacante va a dar con un
  • 2:22 - 2:26
    33
    00:02:13,337 --> 00:02:17,478
    texto cifrado. su objetivo sería recuperar los
    los textos planos. But the
  • 2:26 - 2:30
    34
    00:02:17,478 --> 00:02:21,702
    Pero el pobre atacante pobres no pueden leer nada porque el
    texto M1 fue cifrado usado la libreta de una sola vez
  • 2:30 - 2:34
    35
    00:02:21,702 --> 00:02:25,872
    (One Time Pad )de forma que el ataquente no puede
    recuperar M1 porque nosotros sabemos que el
  • 2:34 - 2:38
    36
    00:02:25,872 --> 00:02:30,043
    One Time Pad es seguro dato un solo
    texto cifrado. De acuerdo con esto nosotros
  • 2:38 - 2:42
    37
    00:02:30,043 --> 00:02:34,055
    habremos de satisfacer la definición pero
    desafortunamente este no es un esquema

    38
    00:02:34,055 --> 00:02:37,962
    de cifrado correcto porque simplemente
    la mitad del texto no esta cifrado. M0 esta
  • 2:42 - 2:46
    39
    00:02:37,962 --> 00:02:42,185
    completamente disponible para el atacante
    aun cuando el no pueda recuperar completamente
  • 2:46 - 2:51
    40
    00:02:42,185 --> 00:02:46,462
    todo el texto plano, ya que el el capaz de recuperar
    mucho del texto plano y esto es claramente
  • 2:51 - 2:55
    41
    00:02:46,462 --> 00:02:50,658
    Inseguro. Por supuesto que nosotros contamos con la
    solicion y esta es tomada de la
  • 2:55 - 2:59
    42
    00:02:50,658 --> 00:02:54,747
    definición de Shanos de la seguridad perfecta de la
    secrecia, donde la idea de Sahnnon es que de
  • 2:59 - 3:03
    43
    00:02:54,747 --> 00:02:58,835
    facto cuando el atacante intercepta un texto
    cigrado, el no puede apredender nada acerca de

    44
    00:02:58,835 --> 00:03:02,818
    la información contenida en el texto plano.
    El ni siquiera deberia aprender un poco acerca de
  • 3:03 - 3:07
    45
    00:03:02,818 --> 00:03:07,221
    texto plano o aún, el no deberia ser capaz de
    predecir ni un pequeńo bit acerca
  • 3:07 - 3:11
    46
    00:03:07,221 --> 00:03:11,205
    de
    de nuestro texto plano, esto es, absolutamente
    nada acerca de nuestro texto plano
  • 3:11 - 3:15
    47
    00:03:11,205 --> 00:03:14,926
    Así que vamos a recordar muy brevemente
    el concepto de Shannon de la secrecia perfeta
  • 3:15 - 3:19
    48
    00:03:14,926 --> 00:03:19,442
    basicamente el nos dijo que dato un texto
    cifrado, decimos que el cifrado tiene secrecia
  • 3:19 - 3:25
    49
    00:03:19,442 --> 00:03:25,069
    perfecta si datos dos mensajes del mismo tamańo
    se da la circuntancia que la distribución en los
    it so happens that the distribution
  • 3:25 - 3:30
    50
    00:03:25,069 --> 00:03:30,167
    textos cifrados es igual. Pero si tomamos una clave
    aleatoria y miramos en la distribución de

    51
    00:03:30,167 --> 00:03:34,838
    los textos cifrados, encontramos que M0 tendrá
    exactamente la misma distribucion que cuando
  • 3:30 - 3:35
    52
    00:03:34,838 --> 00:03:39,257
    cifremos M1. La intuciones es que si un observado
    mira los textos cifrados

    53
    00:03:39,257 --> 00:03:43,839
    el no es capaz de hacer nada con la
    distribución del resultado del cifrado

    54
    00:03:43,839 --> 00:03:48,203
    M0 ya que su distribucione es similar a la
    distribución de encriptar M1. Y como resultado
  • 3:35 - 3:39
    55
    00:03:48,203 --> 00:03:52,513
    el observador no nos puede decir si es el
    cifrado de M0 o de M1. Y esto es verdadero para todos
  • 3:39 - 3:44
    56
    00:03:52,513 --> 00:03:56,877
    los mensajes de la misma longitud y como
    resultado nuestro pobre atacante no puede conocer
  • 3:44 - 3:48
    57
    00:03:56,877 --> 00:04:01,212
    que mensaje fue encriptado. Por supuesto nosotros no
    Por supuesto, ya hemos dicho que esta definición es demasiado
  • 3:48 - 3:53
    58
    00:04:01,212 --> 00:04:05,400
    fuerte en el sentido de que requiere que las claves de cifrado
    realmente largas, si el cifrado fue corto
  • 3:53 - 3:57
    59
    00:04:05,400 --> 00:04:09,535
    las claves posiblemente no puedan satisfacer esta definición
    en un flujo de cifrado particular
  • 3:57 - 4:01
    60
    00:04:09,535 --> 00:04:14,328
    Bueno, vamos a intentar debilitar
    la definicion en un pequeńo bit
  • 4:01 - 4:05
    61
    00:04:14,328 --> 00:04:19,114
    y pensar en lo que se vio en el segmento anterior
    y nosotros vamos a decir que en lugar de requerir
  • 4:05 - 4:10
    62
    00:04:19,114 --> 00:04:23,841
    de dos distribuciones que sean absolutamente
    identicas que es lo que nosotros podemos requerir, esto es

    63
    00:04:23,841 --> 00:04:28,686
    que las dos distribuciones sean computacionalmente
    indistinguibles. En otras palabras, que un pobre atacante

    64
    00:04:28,863 --> 00:04:33,353
    no pueda distinguir entre las dos distribuciones
    aun cuando estas sean
  • 4:10 - 4:14
    65
    00:04:33,353 --> 00:04:37,815
    muy, muy, pero muy diferentes.
    Si entregamos una muestra de
  • 4:14 - 4:19
    66
    00:04:37,815 --> 00:04:42,580
    una distribucion y un ejemplo de otra
    distribucion, el atacante no podrá decirnos que
  • 4:19 - 4:24
    67
    00:04:42,580 --> 00:04:47,120
    distribución corresponde a cada ejemplo dado.
    Resulta que esta definicipin es actualmente

    68
    00:04:47,120 --> 00:04:51,716
    considerada correcta, pero aun aspi es considerada
    un poco demasiado fuerte,ya que todavía no puede satisfacer
  • 4:24 - 4:29
    69
    00:04:51,716 --> 00:04:56,200
    ańadir uno o mas restricciones y
    y es que en lugar de decir que esta
  • 4:29 - 4:33
    70
    00:04:56,200 --> 00:05:00,797
    definicion deberia ser posible para todas las M0 y M1.
    Se trata de mantener por pares sólo M0 M1
  • 4:33 - 4:38
    71
    00:05:00,797 --> 00:05:05,208
    que los atacantes puedan actualmente exhibir.
    Bueno por lo que este hecho
  • 4:38 - 4:43
    72
    00:05:05,208 --> 00:05:10,038
    nos lleva a la definición de la semántica
    de la seguridad.Y así, una vez más se trata de semántica
  • 4:43 - 4:47
    73
    00:05:10,038 --> 00:05:15,050
    segura para claves de una sola vez, en otras palbras
    cuando el atacante solo obtuvo un solo texto
  • 4:47 - 4:52
    74
    00:05:15,050 --> 00:05:19,819
    cibrado. Y así, la forma en que definimos la semántica
    de la seguridad es definiendo dos experimentos,
  • 4:52 - 4:56
    75
    00:05:19,819 --> 00:05:24,562
    Bueno, nosotros definieremos el experimento 0 y
    el experimento 1. Y mas generalmente nosotros habremos

    76
    00:05:24,562 --> 00:05:29,230
    de pensaar de etos esperimentos como B parentesis.
    donde B puede ser cero o uno. Esto esta bien si

    77
    00:05:29,230 --> 00:05:32,890
    la realización de estos experimentos es realizada como
    sigue, nosotros tenemos un adversario que esta intentando
  • 4:56 - 5:01
    78
    00:05:32,890 --> 00:05:37,161
    romper el sistema. Un adversario A, que
    es el análogo de realizar

    79
    00:05:37,161 --> 00:05:41,279
    las pruebas estadisticas en el mundo de los pseudo
    generadores aleatorios. Y entonces cuando el adversario hace
  • 5:01 - 5:05
    80
    00:05:41,279 --> 00:05:45,093
    lo siguiente, o realmente tenemos dos adversarios,
    pero los adversarios son similares
  • 5:05 - 5:10
    81
    00:05:45,093 --> 00:05:49,414
    que nosotros podemos describirlos como un
    solo adversario que en un cado toma
  • 5:10 - 5:15
    82
    00:05:49,414 --> 00:05:53,634
    la entradas de bit establecidas a cero y en
    en otros casos toma estas entradas extablecidas
  • 5:15 - 5:20
    83
    00:05:53,634 --> 00:05:57,193
    a uno. Y ahora permitamen mostrar lo que estos
    adversarios hacen. La primera cosa que el
  • 5:20 - 5:25
    84
    00:05:57,193 --> 00:06:01,349
    adversario va a realizar es probar una clave
    aleatioria y entonces el adversario
  • 5:25 - 5:29
    85
    00:06:01,349 --> 00:06:06,076
    basicamente va la salida tomada de los dos mensajes
    M0 y M1. Bueno, esto es en un par de mensajes
  • 5:29 - 5:33
    86
    00:06:06,076 --> 00:06:11,039
    explitos que el atacante quiere desafiar y es
    usual que nosotros no intentamos
  • 5:33 - 5:37
    87
    00:06:11,039 --> 00:06:15,766
    esconder la longitud de los mensajes,
    nosotros requerimos que el mensaje sea de igual
  • 5:37 - 5:41
    88
    00:06:15,766 --> 00:06:21,643
    longitud. Y entonces el adversario basicamente
    habra de obtener la salida del cifrado de M0
  • 5:41 - 5:45
    89
    00:06:21,643 --> 00:06:25,890
    o el cifrado de M!. Bueno, de hecho en el
    experimento 0, el adversario habra de tomar la salida

    90
    00:06:25,890 --> 00:06:30,301
    del cifrado de M0. En el experimento 1 el adversario
    tomara la salida del cifrado de
  • 5:45 - 5:49
    91
    00:06:30,301 --> 00:06:34,385
    M1. Bueno, esta es la diferencia entre los experimentos.
Title:
Semantic Security (16 min)
Video Language:
English
iortega edited Spanish, Mexican subtitles for Semantic Security (16 min)
iortega added a translation

Spanish, Mexican subtitles

Incomplete

Revisions

Our website uses cookies for analysis purposes.