阅读 352

密码学基础(四)算法的安全性

区块链兄弟社区,区块链技术专业问答先行者,中国区块链技术爱好者聚集地

作者:于中阳

来源:区块链兄弟

原文链接:www.blockchainbrother.com/article/83

著权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

算法的安全性

根据被破译的难易程度,不同的密码算法具有不同的安全等级。如果破译算法的代价大于加密数据的价值,那么一般不会有人想去破译它,即你可能是“安全的”。如果破译算法所需的时间比加密数据保密的时间更长,那么你可能也是“安全的”。如果用单密钥加密的数据量比破译算法需要的数据量少得多,那么你也可能是“安全的”。

在这里说“可能”,是因为在密码分析中总有新的突破。另一方面,随着时间的推移,大多数数据的价值会越来越小。

Lars Knudsen曾把破译算法分为不同的类别,安全性的递减顺序为:

(1)全部破译(total break)。密码分析者找出密钥K,这样就能得到attachments-2017-10-1rYmnoVw59f6cf262270c.png

(2)全盘推导(global deduction)。密码分析者找到一个替代算法A,在不知晓密钥K的情况下等价于得到attachments-2017-10-uu8dTUVg59f6cf997a115.png

(3)实例(或局部)推导(instance (or local) deduction)。密码分析者从截获的密文中找出明文。

(4)信息推导(information deduction)。密码分析者获得一些有关密钥或明文的信息。这些信息可能是密钥的几位、有关明文格式的信息等。

若不论密码分析者获得多少密文,都没有足够的信息恢复出明文,那么这个算法就是无条件保密的(unconditionally secure)。事实上,只有一次一密乱码本,才是不可破的(给出无限多的资源仍然不可破)。所有其他的密码系统在唯密文攻击中都是可破的,只要简单的一个接一个的去尝试每种可能的密钥,并检查所得明文是否有意义,这种方法称为蛮力攻击(brute-force attack)。

在密码学中,更关心在计算上不可破译的密码系统。如果算法用(现在或者将来)可得到的资源都不能破译,这个算法则被认为是计算安全的(computationally secure)。准确的说,“可用资源”就是公开数据的分析整理。

可以采用不同的方式衡量攻击方法的复杂性:

1)数据复杂性(data complexity)。用于攻击输入所需要的数据量。

2)处理复杂性(processing complexity)。完成攻击所需要的时间,也经常称作工作因素(work factor)。

3)存储需求(storage requirement)。进行攻击所需要的存储量。

作为一个法则,攻击的复杂性取这三个因数的最小值。有些攻击包括这三种复杂性的折中:存储需求越大,攻击可能越快。

复杂性用数量级来表示。如果算法的处理复杂性是2的128次方,那么破译这个算法也需要2的128次方次运算(这些运算可能非常复杂和耗时)。假设我们拥有足够的计算速度去完成每秒100万次的运算,并且用100万个并行处理器完成这个任务,那么仍然需要花费10的19次方年以上才能找到密钥。(而这是宇宙年龄的10亿倍)。

当攻击的复杂性是常数时(除非一些密码分析者发现更好的密码分析攻击),就只取决于计算能力了。在过去的半个世纪中,计算能力已经得到了显著的提高,并且现在这种趋势还在发展。许多的密码分析攻击用并行处理的机制进行计算非常理想,一个任务可以分成亿万个子任务,并且处理之间不需要相互作用。一种算法在现有技术条件下不可破译就草率的宣称是安全的,是很冒险的。从中我们可以得出,一个好的密码系统应设计成能抵御未来多年后的计算能力的发展。

注:上面提到的一次一密乱码本(one-time pad),是由Major Joseph Mauborgne 和AT&T公司的Gilbert Vernam在1917年发明的。(事实上,一次一密乱码本是门限方案的特殊情况)感兴趣的朋友可以查阅相关资料深入了解,在此我就不展开描述了。

文章发布只为分享区块链技术内容,版权归原作者所有,观点仅代表作者本人,绝不代表区块链兄弟赞同其观点或证实其描述


文章分类
阅读