Criptografia sem premissas - buscando uma visão geral

Suponha que e um algoritmo rápido de tempo linear para SAT apareça amanhã. De repente, a RSA fica insegura, grande parte do nosso sistema de comunicação moderno está quebrado e precisamos reconsiderar como manter segredos um do outro.$P = NP$

Pergunta: Existe uma boa referência única (ou lista curta) para obter uma visão geral do que é possível em criptografia (e no campo aliado da "segurança") sem suposições de intratabilidade? Isso poderia salvar a civilização um dia e também seria bom examinar enquanto isso.

Discussão: A maioria das tarefas criptográficas que estudamos agora (OWFs, PRGs, PKE) é comprovadamente impossível no mundo (um mundo apelidado de "Algoritmica" em um influente ensaio de Impagliazzo), mas algumas coisas permanecem possíveis: comunicação com um bloco único ; compartilhamento secreto distribuído ; recuperação de informações privadas ; e algumas outras coisas legais. (Certos tipos de mecanismos físicos, como caixas trancadas , dispositivos que implementam transferência inconsciente e estados quânticos também podem ser úteis. É claro que sempre existe algum tipo de suposição física sobre quem pode ver quais informações.)$P = NP$

Pode-se distinguir entre segurança teórica da informação (que funciona contra um adversário computacionalmente ilimitado) e segurança "incondicional" (que pode exigir um adversário limitado, mas ainda mostra segurança sem suposições não comprovadas). Estou mais interessado no caso da teoria teórica.

Para começar, aqui está uma bibliografia de segurança teórica da informação (que, para meus propósitos, é incontrolavelmente longa e díspar).

As frases-chave que você provavelmente está procurando são "criptografia teórica da informação" e "criptografia quântica". A pesquisa na literatura sobre esses tópicos resultará em muitos trabalhos do tipo que você está procurando. Alguns exemplos são destacados abaixo:

• Para confidencialidade: o teclado único, o canal de escuta Wyner, compartilhamento secreto, troca de chaves quânticas etc.

• Para integridade e autenticação: funções de hash universais.

• Para o anonimato: comunicação anônima (por exemplo, redes DC, esquemas baseados em cebola, redes P2P baseadas na mistura rápida de passeios aleatórios), protocolos de limite de distância.

• Para segurança baseada em suposições físicas: PUFs (funções fisicamente não clonáveis), códigos de integridade (Capkun et al.), Criptografia quântica, segurança usando TPMs ou hardware resistente a violações.

Existem muitos artigos sobre esses tópicos; muitos para resumir todos os resultados na literatura.

Essa é uma pergunta bastante complexa, pois realmente não temos uma boa visão geral da área. Em parte, isso se deve ao fato de a teoria da informação e a comunidade de criptografia terem trabalhado em tópicos semelhantes sem realmente interagir o suficiente entre si. Muitos bons pontos foram dados acima. Gostaria apenas de acrescentar algumas observações extras:

• Tivemos um grande número de trabalhos lidando com o problema do contrato de chave secreta (e comunicação segura) com uma determinada configuração. Aqui, uma configuração significa, por exemplo, que as partes no sistema (digamos Alice, Bob e Eve adversária) compartilham algumas informações correlatas provenientes de uma distribuição de probabilidade tripartida. Uma configuração alternativa pode consistir em canais ruidosos (por exemplo, Alice pode enviar informações a Bob e Eve através de canais ruidosos). Além disso, Alice e Bob estão conectados através de um canal de comunicação (que pode ou não ser autenticado). Essa linha de trabalho começou com Aaron Wyner nos anos 70, que introduziu o modelo de canal Wiretap, e foi posteriormente limpo por Maurer e outros nos anos 90. Além disso, muitas técnicas nessa área (amplificação de privacidade, reconciliação de informações) acabou sendo usada na configuração Quantum Key-Distribution (QKD). Uma boa quantidade de trabalho está sendo feita aqui até hoje, por exemplo, em áreas relacionadas, como extratores não maleáveis, etc. O modelo de armazenamento limitado também é uma configuração diferente da anterior, mas usa técnicas semelhantes e possui características semelhantes. objetivos.

• Além do compartilhamento secreto, você encontrará vários trabalhos sobre computação multipartidária (MPC), teoricamente segura. Em particular, a linha de trabalhos iniciados pelo protocolo BGW é completamente teórica da informação.

• Além disso, não sei até que ponto o escopo da pergunta vai: Se, por exemplo, P = NP realmente se mantém, mas podemos de alguma forma justificar a presença de um oráculo aleatório no céu, a criptografia simétrica ainda é possível. Às vezes, esses modelos são realmente usados ​​para provar a segurança de certas construções criptográficas (como funções de hash ou cifras de bloco), e as técnicas são completamente teóricas da informação.

• As técnicas teóricas da informação em criptografia também surgem frequentemente como uma ferramenta intermediária nos resultados teóricos da complexidade, mas acho que isso está além do escopo da questão. (Veja o trabalho de Maurer em sistemas aleatórios e em amplificação indistinguível como um exemplo desse tipo de trabalho.)

Alguns grupos de pesquisa na Europa adotaram essa linha de pesquisa; mais especificamente, por causa do meu interesse pela teoria da informação, me deparei com o trabalho de Ueli Maurer e sua escola, que é significativa do ponto de vista puramente teórico da informação (com o qual estou mais familiarizado) e também oferece algumas abordagens práticas da informação. segurança teórica.

Relacionados à linha de trabalho acima, alguns lugares que você talvez queira considerar são a tese de doutorado de Christian Cachin e também Renato Renner (mais quântico).

Obviamente, existe uma abordagem totalmente diferente com palavras-chave, incluindo BB84, Preskill-Shor, Artur Ekert, etc.

O acima exposto, é claro, reflete apenas minha experiência limitada, e certamente existem muitas outras abordagens e linhas de trabalho interessantes.