Учитывая RSA, почему мы не знаем, возможна ли криптография с открытым ключом?


23

Я был в Википедии в списке нерешенных проблем информатики и обнаружил следующее: возможна ли криптография с открытым ключом?

Я думал, что шифрование RSA было формой криптографии с открытым ключом? Почему это проблема?


5
Мы даже не знаем, может ли симметричное шифрование быть безопасным, и это гораздо слабее, чем шифрование с открытым ключом.
CodesInChaos,

@CodesInChaos Это так до тех пор, пока мы говорим о безопасности, основанной на сложности вычислений. Но если вы рассматриваете теоретическую защиту информации, то существуют надежно защищенные конструкции, такие как одноразовая панель для шифрования и Вегман-Картер для аутентификации сообщений.
Касперд

Ответы:


31

Мы не знаем наверняка, что RSA безопасно. Может случиться так, что RSA может быть нарушен за полиномиальное время, например, если факторинг может быть выполнен эффективно. Открытым является существование надежно защищенной криптосистемы с открытым ключом. Мы не знаем наверняка, что такая криптосистема вообще существует; Насколько мы знаем, каждая криптосистема может быть эффективно взломана.

Другая, не связанная с этим проблема с RSA состоит в том, что он может быть сломан квантовыми компьютерами. Это не связанная проблема, поскольку для определения защищенной криптосистемы с открытым ключом требуется, чтобы криптосистема не была взломана классическими (не квантовыми) компьютерами.

Тем не менее, на практике RSA кажется безопасным и используется все время. Это связано с разрывом между теорией и практикой. Хотя теоретически мы не знаем наверняка, что RSA является безопасным, практически мы должны использовать некоторую криптосистему с открытым ключом, и RSA является хорошим выбором, так как люди пытались сломать его и потерпели неудачу. Вообще говоря, известная криптосистема, о которой заботятся люди, более безопасна, чем неясная, поскольку она сопротивляется попыткам криптографов. Это не является доказательством того, что это безопасно - это вполне может быть не так - но это лучшее, что мы можем сделать.


4
В двух словах: пока не сломано.
Исмаэль Мигель

2
Отличный ответ. Я также добавил бы, что любая криптография предоставляется только с временными рамками низкой вероятности взлома. Никто не поставляет криптосистему и заявляет, что она безопасна. Они всегда говорят, что это вряд ли будет сломано в ближайшие 5 лет или около того. Это небольшая проблема для продаж, поскольку, как правило, нетехнические клиенты видят в этом заявленную слабость.
RSinohara

На самом деле это общий недостаток компьютерной науки: CS очень хорошо доказывает, сколько времени займет алгоритм, но очень слабо доказывает, что более быстрых алгоритмов нет.
RBarryYoung

3

Вот некоторые другие аспекты / детали по этому вопросу, более конкретные и в целом. Как пишет YF в комментарии, несмотря на внешность, RSA не оказался настолько сложным, как факторинг. Взлом RSA включает проблему дискретного журнала, которая, конечно, тесно связана с учетом сложности, но не доказана, что она та же сложность. Но (как указано) даже факторинг не доказал свою трудность.

YF также упоминает квантовые вычисления. Как хорошо известно инсайдерам, RSA не защищен от квантовых вычислений, которые, как доказывают, способны учитывать P-время с помощью алгоритма Шорса . Алгоритм Шорса в то время считался прорывом. И еще один прорыв, который стоит упомянуть в «соседнем» районе, это алгоритм простоты AKS, который доказал, что тестирование простоты есть в P. Теоретические прорывы в теории сложности редки, но не неслыханны.

YF не упоминает, но всегда скрывается на фоне этих вопросов, «большой вопрос» P =? NP все еще открыт. Принято считать, что «алгоритмическая криптография может быть невозможной» (за исключением одноразовых планшетов), если P = NP, что, как правило, не верит специалистам.

Отличный способ научного осмысления этого - миры Impagliazzos 5 , обзор от Kabanets . Примечательно, что теоретики сложности не знают, «в каком из 5 миров мы живем», хотя существуют косвенные доказательства, указывающие на некоторые пути. В каком мире мы живем, зависит от гипотез теории открытой сложности. Они также относятся к открытым проблемам существования функций люка и односторонних функций . ( Предполагается, что RSA будет и тем и другим.) В 2009 году была проведена научно-исследовательская конференция, посвященная мирам Импальяццо.


1
см. также статус миров Импальяццо / Теоретическая информатика . короче говоря, эксперты считают, что RSA правдоподобно или вероятно надежно, но не доказано, что это безопасно, и этот пробел затрагивает многие из самых больших открытых вопросов в этой области.
ВЗН

2

Одна вещь, которая должна быть определена здесь, это определение возможного. Есть два способа ответить на это. Во-первых, можно ли считать криптосистему с открытым ключом теоретически защищенной информацией? В самом широком смысле это требует, чтобы алгоритм был безопасным, даже когда он подвергается атаке с бесконечной вычислительной мощностью. Есть одна известная система, которая достигла этого, единая временная панель, однако это только теоретически, поскольку мы не можем создать действительно требуемые случайные числа, и это закрытый ключ. Второй способ рассмотрения вопроса заключается в том, можно ли считать криптосистему с открытым ключом безусловно безопасной? Это второе определение слабее. В случае RSA, если кто-то докажет, что целочисленная факторизация была такой же сложной, как мы в настоящее время думаем, и докажем, что в системе не было других допущений или недостатков, тогда RSA будет безоговорочно безопасным. Безусловная безопасность устраняет требование бесконечной вычислительной мощности и делает его невозможным в физической вселенной. Поскольку все наши алгоритмы с открытым ключом основаны на массивных предположениях о вычислимости, они не соответствуют второму определению.


Нарушение RSA не эквивалентно факторингу; это потенциально проще.
Юваль Фильмус

Этот ответ запутан. Одноразовый блокнот не является криптосистемой с открытым ключом, поэтому неверно, что одноразовый блокнот достиг этого. Ответ на вопрос «Можно ли считать криптосистему с открытым ключом теоретически защищенной информацией?» нет". Кроме того, нет известных доказательств того, что «факторинг сложен» подразумевает «безопасность RSA»; действительно, есть основания подозревать, что не может быть никакого сокращения этой формы.
DW
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.