信息论安全性

一个密码系统具有信息论安全性(英语:Information-theoretic security),意思是说它的安全性完全是以信息论为基础的。这种安全性要求即使攻击者有无限的计算能力也不能破解它。由于一定要使对手根本没有足够的信息来破解,所以这些密码系统被认为是不能以密码分析破解的。关于计算强度有一些不能证明的假设,具有信息论安全性的加密协议不依靠这种假设,所以当未来电脑有新的发展,例如量子计算,它不容易受到影响。一个具有信息论安全性的例子是一次性密码本。信息论安全性通信的概念是在1949年由信息论的发明者,美国数学家克劳德·香农提出来,并用来证明一次性密码本的系统是安全的[1]。具有信息论安全性的密码系统已被用于最敏感的政府通信,因为敌方政府会尽最大努力试图破解。

有一个有趣的特例是完善保密性:密码系统产生的密文,在没有密钥的情况下,除了总长度以外,不可能泄漏任何有关明文的信息。这其实就是一次性密码本的保密原理。如果 E 是一个具有完善保密性的加密函数,就任何已知的明文 m 对每个密文 c 至少存在一个密钥 k 满足 c = E(k,m) 。可以确定具有完善保密性的任何密码系统,都必须使用与一次性密码本效用相同的密钥。[1]

在面对拥有无限计算能力的对手时,常常可以见到一些密码系统会泄漏部分的信息,但仍然可以维持它的安全性。这类型的密码系统具有信息论安全性,但是没有完善保密性。这里的安全性是以案例中密码系统的需求为准。

对很多加密作业而言信息论安全性是有用而且有意义的。例如这几项:

  1. 秘密分享方案例如 Shamir's英语Shamir's Secret Sharing 在少于分享机密的人数时,不会泄漏任何机密信息,所以具有信息论安全性 (也具有完善保密性)。
  2. 基本上,安全多方计算协议通常,但不是一定具有信息论安全性。
  3. 具有多重数据库的 Private information retrieval英语Private information retrieval 对用户的查询可以达成信息论安全性。
  4. 在各种加密基元或操作之间的归约通常可以达成信息论安全性。以理论的角度而言这种归约很重要,因为可以借此确认如果基元 可以实现,那么基元 也可以实现。
  5. 对称密钥加密 可以用一种叫做 entropic security英语entropic security 的信息论概念来架构,这个概念假设对手几乎不知道一点有关于被发送的消息。注意这时要达成的目标是隐藏关于明文的‘所有作用’而不是“所有的消息”。
  6. 量子密码学 是信息论密码学中的一大课题。

参考文献

  1. ^ 1.0 1.1 Shannon, Claude E. Communication Theory of Secrecy Systems (PDF). Bell System Technical Journal (USA: AT&T Corporation). October 1949, 28 (4): 656–715 [2011-12-21]. (原始内容 (PDF)存档于2012-01-20).