Kryptographie ohne Annahmen - auf der Suche nach einem Überblick

Angenommen, und ein schneller linearer Zeitalgorithmus für SAT erscheinen morgen. Plötzlich ist RSA unsicher, ein Großteil unseres modernen Kommunikationssystems ist kaputt und wir müssen überdenken, wie wir Geheimnisse voneinander fernhalten können.$P = NP$

Frage: Gibt es eine gute Einzelreferenz (oder Kurzliste), um einen umfassenden Überblick darüber zu erhalten, was in der Kryptografie (und im verwandten Bereich der "Sicherheit") ohne Annahmen zur Unlösbarkeit möglich ist? Dies könnte eines Tages die Zivilisation retten und wäre in der Zwischenzeit auch schön zu lesen.

Diskussion: Die meisten der derzeit untersuchten kryptografischen Aufgaben (OWFs, PRGs, PKE) sind in der Welt (einer Welt, die in einem einflussreichen Aufsatz von Impagliazzo als "Algorithmica" bezeichnet wird ) nachweislich unmöglich , aber einige Dinge bleiben möglich: Kommunikation mit eine einmalige Auflage ; verteilte geheime Weitergabe ; Abrufen privater Informationen ; und einige andere schöne Dinge. (Bestimmte physikalische Mechanismen, wie z. B. gesperrte Boxen , Geräte, die eine vergessene Übertragung implementieren , und Quantenzustände können ebenfalls nützlich sein. Natürlich gibt es immer eine physikalische Annahme darüber, wer welche Informationen sehen kann.)$P = NP$

Man kann zwischen informationstheoretischer Sicherheit (die gegen einen rechnerisch unbegrenzten Gegner arbeitet) und "bedingungsloser" Sicherheit (die möglicherweise einen begrenzten Gegner erfordert, aber dennoch Sicherheit ohne unbewiesene Annahmen zeigt) unterscheiden. Am meisten interessiert mich der info-theoretische Fall.

Für den Anfang ist hier eine Bibliographie zur informationstheoretischen Sicherheit (die für meine Zwecke unüberschaubar lang und unterschiedlich ist).

Die Schlüsselphrasen, nach denen Sie wahrscheinlich suchen, sind "informationstheoretische Kryptographie" und "Quantenkryptographie". Das Durchsuchen der Literatur zu diesen Themen wird eine Menge Arbeit der Art ergeben, nach der Sie suchen. Einige beispielhafte Highlights:

• Für die Vertraulichkeit: das One-Time-Pad, der Wyner-Abhörkanal, die geheime Freigabe, der Austausch von Quantenschlüsseln usw.

• Für Integrität und Authentifizierung: universelle Hash-Funktionen.

• Für Anonymität: anonyme Kommunikation (z. B. DC-Netze, zwiebelbasierte Schemata, p2p-Netze, die auf schnellem Mischen von Zufallsläufen basieren), entfernungsbegrenzende Protokolle.

• Aus Sicherheitsgründen, die auf physikalischen Annahmen beruhen: PUFs (physikalisch nicht klonbare Funktionen), Integritätscodes (Capkun et al.), Quantenkryptographie, Sicherheit mit TPMs oder manipulationssichere Hardware.

Es gibt viele Artikel zu diesen Themen; zu viele, um alle Ergebnisse in der Literatur zusammenzufassen.

Dies ist eine ziemlich komplexe Frage, da wir wirklich keinen guten Überblick über das Gebiet haben. Dies liegt zum Teil daran, dass die Informationstheorie und die Krypto-Community an ähnlichen Themen gearbeitet haben, ohne wirklich genug miteinander zu interagieren. Viele gute Punkte wurden oben gegeben. Ich möchte nur ein paar zusätzliche Bemerkungen hinzufügen:

• Wir hatten eine Vielzahl von Arbeiten, die sich mit dem Problem der Geheimschlüsselvereinbarung (und der sicheren Kommunikation) bei einem bestimmten Setup befassten. Hier bedeutet ein Setup zum Beispiel, dass die Parteien im System (etwa Alice, Bob und die gegnerische Eva) einige korrelierte Informationen teilen, die aus einer dreigliedrigen Wahrscheinlichkeitsverteilung stammen. Ein alternatives Setup kann aus lauten Kanälen bestehen (z. B. kann Alice Informationen über lauten Kanäle an Bob und Eve senden). Zusätzlich sind Alice und Bob über einen Kommunikationskanal verbunden (der authentifiziert sein kann oder nicht). Diese Linie begann mit Aaron Wyner in den 70er Jahren, der das Wiretap-Kanalmodell einführte, und wurde in den 90er Jahren von Maurer und anderen weiter aufgeräumt. Auch viele Techniken in diesem Bereich (Datenschutzerweiterung, Information Reconciliation) wurde in der Einstellung Quantum Key-Distribution (QKD) verwendet. Hier wird bis heute einiges an Arbeit geleistet, zum Beispiel in verwandten Bereichen wie nicht verformbaren Extraktoren usw. Das Modell der gebundenen Lagerung ist ebenfalls eine Einstellung, die sich von den obigen unterscheidet, jedoch ähnliche Techniken verwendet und ähnliche Eigenschaften aufweist Tore.

• Abgesehen von der geheimen Weitergabe finden Sie eine Vielzahl von Arbeiten zur informationstheoretisch sicheren Mehrparteienberechnung (MPC). Insbesondere der durch das BGW-Protokoll initiierte Arbeitsbereich ist vollständig informationstheoretisch.

• Ich bin mir auch nicht sicher, wie weit der Rahmen der Frage reicht: Wenn zum Beispiel P = NP tatsächlich gilt, wir aber die Anwesenheit eines zufälligen Orakels am Himmel irgendwie rechtfertigen können, ist symmetrische Kryptographie immer noch möglich. Manchmal werden solche Modelle tatsächlich verwendet, um die Sicherheit bestimmter kryptografischer Konstruktionen (wie Hash-Funktionen oder Blockchiffren) zu beweisen, und die Techniken sind vollständig informationstheoretisch.

• Informationstheoretische Techniken in der Kryptographie kommen auch häufig als Zwischeninstrument für komplexitätstheoretische Ergebnisse zum Einsatz, aber ich denke, dies würde den Rahmen der Frage sprengen. (Siehe Maurers Arbeit zu Zufallssystemen und zur Verstärkung der Unterscheidbarkeit als Beispiel für diese Art von Arbeit.)

Einige Forschungsgruppen in Europa haben diese Forschungsrichtung verfolgt. Insbesondere bin ich aufgrund meines Interesses an der Informationstheorie auf die Arbeit von Ueli Maurer und seiner Schule gestoßen, die sowohl aus rein informationstheoretischer Sicht (mit der ich vertrauter bin) von Bedeutung ist als auch einige praktische Herangehensweisen an die Information bietet theoretische Sicherheit.

Im Zusammenhang mit der obigen Arbeit sind einige Orte, die Sie in Betracht ziehen sollten, die Doktorarbeit von Christian Cachin und auch Renato Renner (mehr Quantum).

Natürlich gibt es einen ganz anderen Ansatz mit Stichwörtern wie BB84, Preskill-Shor, Artur Ekert usw.

Das oben Gesagte spiegelt natürlich nur meine begrenzten Erfahrungen wider, und es gibt sicherlich noch viele weitere Ansätze und interessante Arbeitsbereiche.