Segurança teórica da informação - Information-theoretic security

A segurança teórica da informação é a segurança de um criptosistema que deriva puramente da teoria da informação ; o sistema não pode ser quebrado mesmo que o adversário tenha poder de computação ilimitado. O criptosistema é considerado criptoanaliticamente inquebrável se o adversário não tiver informações suficientes para quebrar a criptografia.

Visão geral

Um protocolo de criptografia com segurança teórica da informação não depende para sua eficácia em suposições não comprovadas sobre dureza computacional. Esse protocolo não é vulnerável a desenvolvimentos futuros no poder do computador, como a computação quântica . Um exemplo de um criptosistema de informações teoricamente seguro é o teclado de uso único . O conceito de comunicação teoricamente segura da informação foi introduzido em 1949 pelo matemático americano Claude Shannon , o inventor da teoria da informação , que o usou para provar que o sistema de teclado único era seguro. Os criptosistemas de informação teoricamente seguros têm sido usados ​​para as comunicações governamentais mais sensíveis, como cabos diplomáticos e comunicações militares de alto nível, devido aos grandes esforços que os governos inimigos envidam para quebrá-los.

Há uma variedade de tarefas criptográficas para as quais a segurança teórica da informação é um requisito significativo e útil. Alguns deles são:

  1. Esquemas de compartilhamento de segredo , como o de Shamir, são teoricamente seguros (e também perfeitamente seguros), pois ter menos do que o número necessário de compartilhamentos do segredo não fornece informações sobre o segredo.
  2. De maneira mais geral, os protocolos de computação multipartidários seguros costumam ter segurança teórica da informação.
  3. A recuperação de informação privada com múltiplos bancos de dados pode ser alcançada com privacidade teórica da informação para a consulta do usuário.
  4. Reduções entre primitivas criptográficas ou tarefas podem freqüentemente ser alcançadas teoricamente. Essas reduções são importantes do ponto de vista teórico porque estabelecem que o primitivo pode ser realizado se o primitivo puder ser realizado.
  5. A criptografia simétrica pode ser construída sob uma noção de segurança da teoria da informação chamada segurança entrópica , que assume que o adversário não sabe quase nada sobre a mensagem que está sendo enviada. O objetivo aqui é ocultar todas as funções do texto simples, em vez de todas as informações sobre ele.
  6. A criptografia quântica é em grande parte parte da criptografia teórica da informação.

Níveis de segurança

A segurança perfeita é um caso especial de segurança teórica da informação. Para um algoritmo de criptografia, se houver texto cifrado produzido que o utilize, nenhuma informação sobre o texto simples será fornecida sem o conhecimento da chave . Se E é uma função de criptografia perfeitamente segura, para qualquer mensagem fixa m , deve haver, para cada texto cifrado c , pelo menos uma chave k tal que . Matematicamente, sejam m e c as variáveis ​​aleatórias que representam as mensagens do texto simples e do texto cifrado, respectivamente; então, nós temos isso

onde representa a informação mútua entre m e c . Em outras palavras, a mensagem de texto simples é independente do texto cifrado transmitido se não tivermos acesso à chave. Foi provado que qualquer cifra com a propriedade de sigilo perfeita deve usar chaves com efetivamente os mesmos requisitos que as chaves de teclado único.

É comum que um criptosistema vaze algumas informações, mas, mesmo assim, mantenha suas propriedades de segurança, mesmo contra um adversário que possui recursos computacionais ilimitados. Esse criptossistema teria uma segurança teórica, mas não perfeita. A definição exata de segurança depende do criptossistema em questão, mas normalmente é definida como uma quantidade limitada de bits vazados:

Aqui, deve ser menor que a entropia (número de bits de informação) de m , caso contrário, o limite é trivial.

Segurança incondicional

O termo segurança da teoria da informação é freqüentemente usado de forma intercambiável com o termo segurança incondicional. O último termo também pode se referir a sistemas que não dependem de suposições de dureza computacional não comprovadas. Hoje, esses sistemas são essencialmente os mesmos que são teoricamente seguros para as informações. No entanto, nem sempre tem que ser assim. Um dia, o RSA pode se provar seguro, pois se baseia na afirmação de que fatorar grandes números é difícil, tornando-se assim incondicionalmente seguro, mas nunca será informação teoricamente seguro porque mesmo que não existam algoritmos eficientes para fatorar grandes números primos, ele poderia ainda pode ser feito em princípio com poder computacional ilimitado.

Criptografia da camada física

Uma noção mais fraca de segurança, definida por Aaron D. Wyner , estabeleceu uma área de pesquisa agora florescente que é conhecida como criptografia de camada física. Ele explora o canal sem fio físico para sua segurança por meio de comunicações, processamento de sinal e técnicas de codificação. A segurança é comprovável , inquebrável e quantificável (em bits / segundo / hertz).

O trabalho inicial de criptografia da camada física de Wyner na década de 1970 apresentou o problema Alice – Bob – Eve, no qual Alice deseja enviar uma mensagem a Bob sem que Eve a decifrar. Se o canal de Alice para Bob for estatisticamente melhor do que o canal de Alice para Eva, foi demonstrado que a comunicação segura é possível. Isso é intuitivo, mas Wyner mediu o sigilo em termos da teoria da informação, definindo a capacidade de sigilo, que é essencialmente a taxa em que Alice pode transmitir informações secretas para Bob. Pouco depois, Imre Csiszár e Körner mostraram que a comunicação secreta era possível mesmo se Eva tivesse um canal estatisticamente melhor com Alice do que Bob. A ideia básica da abordagem teórica da informação para transmitir com segurança mensagens confidenciais (sem usar uma chave de criptografia) para um receptor legítimo é usar a aleatoriedade inerente do meio físico (incluindo ruídos e flutuações de canal devido ao desbotamento) e explorar a diferença entre o canal para um receptor legítimo e o canal para um bisbilhoteiro para beneficiar o receptor legítimo. Os resultados teóricos mais recentes estão preocupados com a determinação da capacidade de sigilo e alocação ótima de potência em canais de difusão de transmissão. Existem ressalvas, já que muitas capacidades não são computáveis ​​a menos que se presuma que Alice conhece o canal para Eva. Se isso fosse conhecido, Alice poderia simplesmente colocar um nulo na direção de Eve. A capacidade de sigilo para MIMO e vários bisbilhoteiros em conluio é um trabalho mais recente e contínuo, e tais resultados ainda fazem a suposição inútil sobre o conhecimento das informações de estado do canal de bisbilhoteiros.

Ainda outro trabalho é menos teórico ao tentar comparar esquemas implementáveis. Um esquema de criptografia da camada física é transmitir ruído artificial em todas as direções, exceto no canal de Bob, que basicamente bloqueia Eve. Um artigo de Negi e Goel detalha sua implementação, e Khisti e Wornell computaram a capacidade de sigilo quando apenas estatísticas sobre o canal de Eva são conhecidas.

Paralelamente a esse trabalho na comunidade da teoria da informação, está o trabalho na comunidade de antenas, que foi denominada modulação de antena direta de campo próximo ou modulação direcional. Foi demonstrado que, usando uma matriz parasita , a modulação transmitida em diferentes direções pode ser controlada de forma independente. O sigilo pode ser percebido tornando as modulações em direções indesejadas difíceis de decodificar. A transmissão de dados de modulação direcional foi demonstrada experimentalmente usando um phased array . Outros demonstraram modulação direcional com matrizes trocadas e lentes de conjugação de fase .

Esse tipo de modulação direcional é realmente um subconjunto do esquema de criptografia de ruído artificial aditivo de Negi e Goel. Outro esquema que usa antenas de transmissão reconfiguráveis ​​de padrão para Alice, chamado ruído multiplicativo reconfigurável (RMN), complementa o ruído artificial aditivo. Os dois funcionam bem juntos em simulações de canal nas quais Alice ou Bob nada é conhecido sobre os bisbilhoteiros.

Acordo de chave secreta

Os diversos trabalhos mencionados na parte anterior empregam, de uma forma ou de outra, a aleatoriedade presente no canal sem fio para transmitir mensagens de informação teoricamente seguras. Por outro lado, poderíamos analisar quanto segredo se pode extrair da própria aleatoriedade na forma de uma chave secreta . Esse é o objetivo do acordo de chave secreta .

Nessa linha de trabalho, iniciada por Maurer e Ahlswede e Csiszár, o modelo de sistema básico remove qualquer restrição aos esquemas de comunicação e assume que os usuários legítimos podem se comunicar por um canal bidirecional, público, silencioso e autenticado sem nenhum custo. Este modelo foi posteriormente estendido para atender a vários usuários e um canal barulhento, entre outros.

Veja também

Referências