Vzdálenost jednoznačnosti a absolutně

Podobné dokumenty
SHANNONOVA TEORIE TAJNÉ KOMUNIKACE

Konstrukce šifer. Andrew Kozlík KA MFF UK

Algoritmy komprese dat

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Substituční šifry a frekvenční analýza. Mgr. Radim Janča ijanca@fit.vutbr.cz

4. Teorie informace, teorie složitosti algoritmů. doc. Ing. Róbert Lórencz, CSc.

Diffieho-Hellmanův protokol ustanovení klíče

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Šifrová ochrana informací historie KS4

Andrew Kozlík KA MFF UK

Hashovací funkce. Andrew Kozlík KA MFF UK

Šifrová ochrana informací historie PS4

Pravděpodobnost a statistika

Matematická analýza pro informatiky I. Limita posloupnosti (I)

Psaní na mokrý papír. Andrew Kozlik KA MFF UK

I. D i s k r é t n í r o z d ě l e n í

p(x) = P (X = x), x R,

NMAI059 Pravděpodobnost a statistika

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Šifrová ochrana informací historie PS4

Generátory náhodných a

Proudové šifry a posuvné registry s lineární zpětnou vazbou

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Informatika / bezpečnost

Kryptografie - Síla šifer

Komprese dat (Komprimace dat)

Šifrová ochrana informací věk počítačů PS5-2

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

doc. Ing. Róbert Lórencz, CSc.

Matematické základy šifrování a kódování

ŠIFROVACÍ METODA ZALOŽENÁ NA FRAKTÁLNÍ KOMPRESI. 1. Úvod. V posledních letech se ukázalo, že teorii fraktálů lze využít v mnoha teoretických

Matematika 2 Úvod ZS09. KMA, PřF UP Olomouc. Jiří Fišer (KMA, PřF UP Olomouc) KMA MA2AA ZS09 1 / 25

Ukázkyaplikacímatematiky

Ukázky aplikací matematiky. Kapitola 1. Jiří Tůma. Úvod do šifrování. Základní pojmy- obsah. Historie šifrování

Úvod do teorie her. 6. Koaliční hry

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

MFF UK Praha, 22. duben 2008

Kryptografie založená na problému diskrétního logaritmu

prof. RNDr. Roman Kotecký DrSc., Dr. Rudolf Blažek, PhD Pravděpodobnost a statistika Katedra teoretické informatiky Fakulta informačních technologií

HL Academy - Chata Lopata Emu (Brkos 2012) Řetězové zlomky / 27

populace soubor jednotek, o jejichž vlastnostech bychom chtěli vypovídat letní semestr Definice subjektech.

KRYPTOGRAFIE VER EJNE HO KLI Č E

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Komprese dat. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

11. cvičení z PSI prosince hodnota pozorovaná četnost n i p X (i) = q i (1 q), i N 0.

Kryptografie a počítačová bezpečnost

3. Podmíněná pravděpodobnost a Bayesův vzorec

KOMPRESE OBRAZŮ. Václav Hlaváč, Jan Kybic. Fakulta elektrotechnická ČVUT v Praze katedra kybernetiky, Centrum strojového vnímání.

Greenova funkce pro dvoubodové okrajové úlohy pro obyčejné diferenciální rovnice

Jak funguje asymetrické šifrování?

Problematika převodu zprávy na body eliptické křivky

Šárka Došlá. Matematicko-fyzikální fakulta Univerzita Karlova v Praze. Bimodální rozdělení. Šárka Došlá. Motivace. Základní pojmy

Kvantové algoritmy a bezpečnost. Václav Potoček

Definice. Vektorový prostor V nad tělesem T je množina s operacemi + : V V V, tj. u, v V : u + v V : T V V, tj. ( u V )( a T ) : a u V které splňují

Je založen na pojmu derivace funkce a její užití. Z předchozího studia je třeba si zopakovat a orientovat se v pojmech: funkce, D(f), g 2 : y =

0.1 Úvod do matematické analýzy

Šifrová ochrana informací věk počítačů PS5-2

Výběrové charakteristiky a jejich rozdělení

pravděpodobnosti Pravděpodobnost je teorií statistiky a statistika je praxí teorie pravděpodobnosti.

Definice 7.1 Nechť je dán pravděpodobnostní prostor (Ω, A, P). Zobrazení. nebo ekvivalentně

Limitní věty teorie pravděpodobnosti. Jiří Neubauer. Katedra ekonometrie, FVL, UO Brno kancelář 69a, tel

KMA/P506 Pravděpodobnost a statistika KMA/P507 Statistika na PC

Síla a významnost asociace mezi proměnnými v systému

Data Encryption Standard (DES)

1. Posloupnosti čísel

Lékařská biofyzika, výpočetní technika I. Biostatistika Josef Tvrdík (doc. Ing. CSc.)

Experimentální stanovení entropie českého textu

Posloupnosti a jejich limity

2 Hlavní charakteristiky v analýze přežití

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

KOMPRESE OBRAZŮ. Václav Hlaváč. Fakulta elektrotechnická ČVUT v Praze katedra kybernetiky, Centrum strojového vnímání. hlavac@fel.cvut.

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Základy teorie pravděpodobnosti

Pravděpodobnostní algoritmy

Teorie informace: řešené příklady 2014 Tomáš Kroupa

Univerzita Karlova v Praze procesy II. Zuzana. funkce

3 Bodové odhady a jejich vlastnosti

II. Symetrické šifrovací systémy

Matematika (KMI/PMATE)

IV. Základní pojmy matematické analýzy IV.1. Rozšíření množiny reálných čísel

Kapitola 1: Reálné funkce 1/13

Numerická stabilita algoritmů

= je prostý orientovaný graf., formálně c ( u, v) 0. dva speciální uzly: zdrojový uzel s a cílový uzel t. Dále budeme bez

Cvičení ze statistiky - 7. Filip Děchtěrenko

Komerční výrobky pro kvantovou kryptografii

6. ANALYTICKÁ GEOMETRIE

Riemannův určitý integrál

0.1 Úvod do lineární algebry

Uvod Modely n-tic Vyhodnocov an ı Vyhlazov an ı a stahov an ı Rozˇ s ıˇ ren ı model u n-tic Jazykov e modelov an ı Pavel Smrˇ z 27.

BCH kódy. Alena Gollová, TIK BCH kódy 1/27

Algoritmizace. Jiří Vyskočil, Marko Genyg-Berezovskyj 2010

Necht tedy máme přirozená čísla n, k pod pojmem systém lineárních rovnic rozumíme rovnice ve tvaru

Odpřednesenou látku naleznete v kapitole 3.3 skript Diskrétní matematika.

Základy počtu pravděpodobnosti a metod matematické statistiky

Přednáška 6, 7. listopadu 2014

Nestranný odhad Statistické vyhodnocování exp. dat M. Čada

Limita a spojitost funkce a zobrazení jedné reálné proměnné

Pravděpodobnost a její vlastnosti

Diskrétní matematika. DiM /01, zimní semestr 2016/2017

Transkript:

Vzdálenost jednoznačnosti a absolutně bezpečné šifry Andrew Kozlík KA MFF UK

Značení Pracujeme s šifrou (P, C, K, E, D), kde P je množina otevřených textů, C je množina šifrových textů, K je množina klíčů, E : K P C je šifrovací algoritmus, D : K C P je dešifrovací algoritmus. Množinám K, P a C odpovídají náhodné veličiny: K : Ω K (pravděpodobnostní rozdělení klíčů), P : Ω P (pravděpodobnostní rozdělení otevřených textů), C : Ω C (pravděpodobnostní rozdělení šifrových textů). Předpokládáme, že veličiny K a P jsou nezávislé.

Tvrzení H(K C) = H(K) + H(P) H(C). Důkaz. Výraz H(K, P, C) rozepíšeme dvěma způsoby: H(K, P, C) = H(P, (K, C)) = = H(K C) + H(C), H(K, P, C) = H(C, (K, P)) = = H(K) + H(P). Podle předpokladu jsou K a P nezávislé. 0 {}}{ H(P (K, C)) + H(K, C) 0 {}}{ H(C (K, P)) + H(K, P)

Příklad Máme šifrový text WNAJW. Vznikl zašifrováním anglického slova Caesarovou šifrou. Průchodem všech 26 klíčů najdeme jen 2 možnosti: river (klíč = +5), arena (klíč = +22). Využíváme redundanci lidského jazyka: Písmena otevřeného textu nejsou nezávislé náhodné veličiny. Čím víc šifrového textu máme, tím víc klíčů umíme vyloučit. Kolik šifrového textu je v průměru třeba, abychom mohli klíč určit jednoznačně?

Definice Nechť (P, C, K, E, D) je šifra. Definujeme náhodnou veličinu s pravděpodobnostním rozdělením, které odpovídá n po sobě jdoucím blokům otevřeného textu: P n : Ω P n. Pro každé y C n definujeme množinu všech možných klíčů K(y) := { k K : Pr ( P n =D(k, y) ) > 0 } Příklad V případě Caesarovy šifry máme K( WNAJW ) = {5, 22}. Bloky otevřeného textu mohou být například písmena.

Četnost písmen v anglickém jazyce

Četnost nejčastějších bigramů v anglickém jazyce v % TH 2,71 RE 1,41 EN 1,13 OR 1,06 NG 0,89 HE 2,33 ES 1,32 AT 1,12 EA 1,00 AL 0,88 IN 2,03 ON 1,32 ED 1,08 TI 0,99 IT 0,88 ER 1,78 ST 1,25 ND 1,07 AR 0,98 AS 0,87 AN 1,61 NT 1,17 TO 1,07 TE 0,98 IS 0,86 Četnost nejčastějších trigramů v anglickém jazyce v % THE 1,81 HER 0,36 ERE 0,31 ATI 0,26 AND 0,73 FOR 0,34 TIO 0,31 HAT 0,26 ING 0,72 THA 0,33 TER 0,30 ATE 0,25 ENT 0,42 NTH 0,33 EST 0,28 ALL 0,25 ION 0,42 INT 0,32 ERS 0,28 ETH 0,24

Redundance jazyka Kolik informace je v jednom písmeně jazyka? Jazyk s nulovou redundancí: log 2 26 4,70. Anglický jazyk v 1. přiblížení: Podle pravděpodobnostního rozdělení písmen H(P) 4,19. Anglický jazyk ve 2. přiblížení: Podle pravděpodobnostního rozdělení bigramů 1 2 H(P2 ) 3,90. Průměrné množství informace v jednom písmeni bigramu. Hodnota 1 n H(Pn ) klesá s rostoucím n. (S rozšiřujícím se kontextem klesá informační hodnota písmene.)

Definice Nechť L je jazyk, P n je náhodná veličina, jejíž rozdělení odpovídá n-gramům v jazyce L. Entropii jazyka L definujeme jako H(P n ) H L := lim. n n Redundanci jazyka L definujeme jako R L := 1 H L log 2 P.

Definice Nechť L je jazyk, P n je náhodná veličina, jejíž rozdělení odpovídá n-gramům v jazyce L. Entropii jazyka L definujeme jako H(P n ) H L := lim. n n Redundanci jazyka L definujeme jako počet bitů v jednom znaku % nevyužitého prostoru R L := 1 H L log 2 P. maximální možný počet bitů v jednom znaku

Statistiky pro anglický jazyk 1,0 H L 1,5 Každé písmeno nese pouze cca 1,25 bitu informace. 0,68 R L 0,79 V anglickém textu je 75 % znaků informačně zbytečných. Přesněji, pro dostatečně velké n existuje kódování n-gramů, kterým lze v průměru docílit o 75 % kratšího textu.

Věta Nechť (P, C, K, E, D) je šifra, R L je redundance jazyka otevřených textů, K má rovnoměrné rozdělení. Pak střední hodnota počtu možných klíčů pro šifrový text délky n bloků je E K(C n ) K P n(1 R L) C n.

Důkaz. Podle věty o maximální entropii je H(C n ) log 2 C n = log 2 C n. Posloupnost 1 n H(Pn ) klesá k hodnotě H L, čili 1 n H(Pn ) H L = (1 R L ) log 2 P. Veličina K má rovnoměrné rozdělení: H(K) = log 2 K. Už jsme dokázali H(K C n ) = H(K) + H(P n ) H(C n ) log 2 K + n(1 R L ) log 2 P log 2 C n = log 2 K P n(1 R L) C n.

Pokračování důkazu Máme tedy spodní odhad: Uděláme ještě horní odhad: H(K C n ) log 2 K P n(1 R L) C n. definice podmíněné entropie H(K C n ) = y C n Pr(C n =y) H(K C n =y) věta o maximální entropii Jensenova nerovnost y C n Pr(C n =y) log 2 K(y) log 2 y C n Pr(C n =y) K(y) = log 2 E K(C n ). Složením odhadů dostaneme: log 2 E K(C n ) log 2 K P n(1 R L) C n.

Vzdálenost jednoznačnosti Kolik šifrového textu potřebujeme pro known-ciphertext attack? Neřešíme časovou náročnost. Řešíme možnost teoreticky uspět, např. hrubou silou. Pro šifrový text y lze útok úspěšně provést, jestliže K(y) je jednoprvková. Dosadíme-li E K(C n ) = 1, dostaneme podmínku: K P n(1 R L) C n 1. Upravíme ji, abychom vyjádřili n: n log 2 K log 2 C (1 R L ) log 2 P vzdálenost jednoznačnosti

Vzdálenost jednoznačnosti Pokud C = P, nerovnost se zjednoduší: n log K R L log P. Příklad Mějme substituční šifru na anglickém textu: K = 26! P = C = 26 RL = 0,75 Po dosazení dostaneme podmínku n 25,07. K jednoznačnému dešifrování může stačit pouhých 26 znaků šifrového textu!

Absolutní bezpečnost Definice Říkáme, že šifra (P, C, K, E, D) je absolutně bezpečná, jestliže Pr(P=x C=y) = Pr(P=x) pro všechna x P a y C taková, že Pr(C=y) 0.

Tvrzení Šifra je absolutně bezpečná, právě když P a C jsou nezávislé. Důkaz. Následující podmínky jsou ekvivalentní: Šifra je absolutně bezpečná. Pr(P=x, C=y) Pr(P=x) = Pr(P=x C=y) = Pr(C=y) pro všechna x P a y C taková, že Pr(C=y) 0. Pr(P=x) Pr(C=y) = Pr(P=x, C=y) pro všechna x P a y C. platí triviálně, pro případ Pr(C=y) = 0 P a C jsou nezávislé.

Důsledek Následující podmínky jsou ekvivalentní: 1. Šifra je absolutně bezpečná. 2. H(P C) = H(P). 3. H(C P) = H(C).

Věta Jestliže klíč je volen náhodně s rovnoměrným rozdělením, pak Vernamova šifra je absolutně bezpečná. Důkaz. Pro všechna x P a y C platí Pr(P=x, C=y) = Pr(P=x, K=x y) = Pr(P=x) Pr(K=x y) = Pr(P=x) K 1. Podle věty o úplné pravděpodobnosti: Pr(C=y) = x P Pr(P=x, C=y) = x P K 1 Pr(P=x) = K 1. Spojením obou výsledků zjišťujeme, že Pr(P=x, C=y) = Pr(P=x) Pr(C=y) x P, y C.

Lemma H(C) H(P) Důkaz. H(C) H(C K) = H(P K) = H(P). obecná vlastnost entropie P a K jsou nezávislé znalost klíče dává jednoznačnou korespondenci mezi otevřenými a šifrovými texty

Věta (Shannon) Jestliže je šifra absolutně bezpečná, pak H(K) H(P). Důkaz. H(K) + H(P) = H(K, P) = H(K, P, C) H(P, C). P a K jsou nezávislé známe-li otevřený text a klíč, pak šifrový text je určen jednoznačně obecná vlastnost entropie H(K) H(P, C) H(P) = H(C P) = H(C) H(P). právě jsme dokázali obecná vlastnost entropie absolutní bezpečnost předchozí lemma

Závěr Má-li P rovnoměrné rozdělení, pak pro Vernamovu šifru H(K) H(P). Z Shannonovy věty tedy plyne: Má-li P rovnoměrné rozdělení, pak žádná absolutně bezpečná šifra není z hlediska délky klíče efektivnější než Vernamova šifra. Absolutní bezpečnost je nepraktická.

Další typy bezpečnosti Výpočetní bezpečnost Kryptografický systém je výpočetně bezpečný, jestliže nejlepší známý útok, kterým ho lze prolomit vyžaduje alespoň N operací, kde N je velké číslo převyšující výpočetní možnosti útočníka. V současné době alespoň N 2 85. Dokazatelná bezpečnost Říkáme, že kryptografický systém je dokazatelně bezpečný, jestliže jeho prolomením by bylo možné současně řešit nějaký dobře zkoumaný matematický problém, pro který není známa efektivní metoda řešení. Například problém faktorizace nebo diskrétního logaritmu.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář