Однако существует еще одно понятие безопасности — теоретико-информационная безопасность — что означает, что даже противник с неограниченной вычислительной мощностью не может извлечь полезную информацию из зашифрованного сообщения. Были разработаны криптографические схемы, которые обещают теоретико-информационную безопасность, но они слишком сложны, чтобы быть практичными.
В серии статей, представленных на конференции Allerton по коммуникациям, управлению и вычислениям, исследователи из Массачусетского технологического института и Университета Мейнута в Ирландии показали, что существующие практические криптографические схемы имеют свои собственные теоретико-информационные гарантии: некоторые данные, которые они кодируют, могут не могут быть извлечены даже вычислительно неограниченным противником.Исследователи показывают, как рассчитать минимальные гарантии безопасности для любой конкретной схемы шифрования, которые могут позволить менеджерам по работе с информацией принимать более обоснованные решения о том, как защитить данные.«Изучая эти ограничения и описывая их, вы можете получить некоторое представление о производительности этих схем и о том, как можно использовать инструменты из других областей, таких как теория кодирования и т. Д., Для проектирования и понимания систем безопасности», — говорит Флавио. дю Пин Кальмон, аспирант в области электротехники и информатики и первый автор всех трех статей Аллертона.
Его советник, Мюриэл Медард, профессор электротехники и компьютерных наук Сесила Э. Грина, также участвует во всех трех статьях; к ним присоединились коллеги, в том числе Кен Даффи из Мейнута и Маянк Вариа из лаборатории Линкольна Массачусетского технологического института.Математическая основа исследователей также применима к проблеме конфиденциальности данных или к вопросу о том, сколько информации можно почерпнуть из агрегированных — и якобы «анонимных» — данных об онлайн-историях пользователей Интернета.
Если, например, Netflix публикует данные о предпочтениях пользователей в отношении фильмов, не раскрывает ли он также непреднамеренно данные об их политических предпочтениях? Метод Калмона и его коллег может помочь менеджерам данных либо изменить агрегированные данные, либо структурировать их представление таким образом, чтобы минимизировать риск нарушения конфиденциальности.Оставаться рядом
Чтобы получить представление о том, как работает этот метод, представьте схему шифрования, которая принимает только три возможных входа или открытых текстов — «A», «B» и «C» — и производит только три возможных выхода, или зашифрованные тексты. Для каждого зашифрованного текста существует некоторая вероятность того, что он кодирует каждый из трех открытых текстов.Шифрованные тексты могут быть представлены как точки внутри треугольника, вершины которого представляют три возможных открытых текста. Чем выше вероятность того, что данный зашифрованный текст кодирует конкретный открытый текст, тем ближе он к соответствующей вершине: шифротексты с большей вероятностью кодируют A, чем B или C, ближе к вершине A, чем к вершинам B и C. в котором точки, описывающие зашифрованные тексты, сгруппированы вместе, а не разбросаны по треугольнику.
Это означает, что никакой зашифрованный текст не дает злоумышленнику больше информации о схеме, чем любой другой.Конечно, для большинства зашифрованных сообщений существует более трех возможных соответствующих открытых текстов. Даже такой простой текст, как девятизначное число, имеет миллиард возможных значений, поэтому вероятности, соответствующие закодированному номеру социального страхования, описывают точку в миллиардном пространстве.
Но общий принцип тот же: схемы, которые дают близко сгруппированные точки, хороши, а схемы, которые не дают.Злоумышленник на самом деле не знает вероятностей, связанных с каким-либо данным зашифрованным текстом.
Даже тот, кто имеет доступ к закрытому ключу схемы шифрования, столкнется с трудностями при их вычислении. Для своего анализа Калмон, Медард и их коллеги разработали показатели безопасности, применимые к широкому диапазону распределений, и дополнили их точным расчетом наихудших случаев — точек, наиболее удаленных от центра основного кластера.
Но математическое описание степени кластеризации вероятностей является прямым показателем того, сколько информации злоумышленник может, в принципе, извлечь из зашифрованного текста.Целенаправленная защитаВ своей первой статье Аллертона в 2012 году исследователи использовали эту вероятностную структуру, чтобы продемонстрировать, что, хотя зашифрованный текст в целом может быть небезопасным с теоретической точки зрения, некоторые из его битов могут быть безопасными.
Таким образом, должно быть возможно разработать схемы шифрования, которые не могут гарантировать идеальную безопасность по всем направлениям, но могут предоставить ее для определенных данных — например, номера социального страхования.«В разговоре с криптографами они всегда спрашивали нас:« О, круто! Вы можете гарантировать, что независимо от того, что вы делаете, вы можете скрыть отдельные символы.
А как насчет функций открытого текста? », — говорит Калмон. «Стандартные криптографические определения безопасности заботятся об этом».То есть схема шифрования может гарантировать, что злоумышленник не сможет извлечь закодированный номер социального страхования; но он все еще может позволить противнику извлечь последние четыре цифры номера.
Точно так же это может помешать злоумышленнику определить возраст объекта; но это может позволить противнику сделать вывод, что, скажем, субъекту от 30 до 40 лет.Это проблема, над которой исследователи обращаются в своих последних двух статьях Аллертона.
Там Калмон, Медард и Вариа показывают, что если вы можете определить, что конкретную функцию трудно или легко извлечь из зашифрованного текста, то это означает и множество коррелированных функций. Помимо решения проблем криптографов по поводу функций открытого текста, этот подход имеет то преимущество, что не требует анализа многомерных вероятностных пространств.
Информация о безопасности отдельной функции, которую часто можно определить с помощью довольно простого анализа, может обеспечить надежные гарантии безопасности схемы шифрования в целом.