Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
   Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 14.1.5 Функции с секретом Вверх: 14.1 Односторонние функции Назад: 14.1.3 Криптографические односторонние функции   Содержание   Предметный указатель

14.1.4 Гипотеза о существовании односторонних функций

В теоретической криптографии рассматриваются два типа стойкости криптографических схем. Теоретико-информационная стойкость означает, что противник, атакующий схему, не получает достаточной информации для того, чтобы угрожать безопасности ее использования. Примерами могут служить одноразовые ключи Вернама, схемы разделения секрета и некоторые другие схемы. Если же задача противника в принципе разрешима, но является, предположительно, вычислительно трудной, то говорят о теоретико-сложностной стойкости. Все криптографические схемы с открытым ключом могут быть стойкими лишь в теоретико-сложностном смысле, поскольку, как отмечали еще Диффи и Хеллман [DH], задача противника никогда не выводит за пределы класса NP.

Если под стойкостью криптографической схемы понимать отсутствие у противника эффективного алгоритма осуществления данной угрозы (на основе данной атаки), то из предположения о существовании таких схем следует существование односторонних функций. Это легко увидеть на примере криптографических схем с открытым ключом. Одним из компонентов последних (например, криптосистем с открытым ключом или схем электронной подписи) является алгоритм генерации ключей $ G$. На входе $ r\in\Sigma^n$ алгоритм $ G$ вычисляет пару $ (x,y)\in\Sigma\times\Sigma$, где $ x$ -- секретный ключ, а $ y$ -- открытый ключ. Тогда функция $ f\colon\Sigma\to\Sigma$, где $ f(r)=y$, если $ G(r)=(x,y)$ для некоторого $ x\in\Sigma$, обязана быть односторонней. В противном случае алгоритм, который инвертирует функцию $ f$, можно использовать для вычисления значения $ r'$ из прообраза $ y$. Но $ G(r')=(x',y)$ для некоторого $ x'$. Таким образом, противник может найти секретный ключ $ x'$ (не обязательно совпадающий с $ x$), который соответствует открытому ключу $ y$.

В работе Импальяццо и Луби [IL] предложен общий метод доказательства необходимости односторонних функций для существования стойких криптографических схем различных типов.

Хотя это -- результаты чисто теоретического плана, из них можно извлечь следующую рекомендацию: в качестве первого шага анализа любой конкретной криптографической схемы следует выделить из ее описания ту функцию, которая должна быть односторонней, и оценить, насколько правдоподобным представляется такое предположение.

Поскольку предположение о существовании односторонних функций необходимо для стойкости, задача выявления тех криптографических схем, для которых это условие является также и достаточным, стало одним из основных направлений исследований в теоретической криптографии. Доказано, что существование односторонних функций необходимо и достаточно для существования стойких криптосистем с секретным ключом (см. раздел 14.2) и схем электронной подписи (см. главу 4). С другой стороны, есть основания считать, что для существования стойких криптосистем с открытым ключом и схем распределения ключей (см. главу 6) требуются более сильные предположения.

Вперед Вверх Назад Содержание Предметный указатель
Вперед: 14.1.5 Функции с секретом Вверх: 14.1 Односторонние функции Назад: 14.1.3 Криптографические односторонние функции   Содержание   Предметный указатель

Проект осуществляется при поддержке:
 Геологического факультета МГУ,
РФФИ
    
TopList Rambler's Top100