目录
一次一密,英语写做one time pad。
在1917年,Vernam提出了一个完美安全的加密方案,后世将其称之为一次一密。在当时,完美安全的概念还没有引出,大约25年后,Shannon提出了完美安全的定义,并且证明了一次一密是符合完美安全的(perfect secrecy)。
假定a为长度为l的比特串,如下:
同理有个相同长度的比特串b,如下:
两者的异或运算,写做bitwise exclusive,也就是XOR运算,如下:
在一次一密方案中,密钥,消息,密文的长度均相等。并且要求密钥是均匀且随机的比特串,紧跟着对密钥和密文做异或运算即可以得到密文。
固定一个整数l>0,消息,密钥和密文均为长度l的比特串。也就是消息空间M,密钥空间K和密文空间C,均为:
(1)Gen密钥生成算法
密钥生成算法会根据均匀分布,从密钥空间K中选择一个密钥。密钥空间为,所以每个密钥被选择的概率都是相等的,均为:
(2)Enc加密算法、
给定一个密钥k和一个明文m,格式均满足:
加密算法可计算密文如下:
(3)Dec解密算法
给定一个密钥k和密文c,格式均满足:
解密算法可计算得到明文,如下:
对于任意的密钥k和消息m,我们都可以得到:
很显然,一次一密的方案是正确的。
无论明文是什么,如果都能证明密文是均匀分布的,则可以说明一次一密方案是完美安全的。接下里,我们将利用一种严格的形式来证明完美安全性。
对于任意明文m是可取的,也就是Pr[M=m]>0,我们来看此时密文的分布情况:
第一个等号:方案对加密的定义,要注意此时明文为m是固定的
第二个等号:异或运算的性质;
第三个等号:密钥K是均匀且随机分布的l比特串,且跟M无关,所以可计算其概率。
接着我们来计算密文为c的概率:
第一个等号:考虑所有明文的情况;
第二个等号:刚才的结论;
第三个等号:求和概率
接着利用Bayes定理,也就是条件概率,可计算为:
第一个等号:条件概率的性质
第二个等号:带入以上计算结果
第三个等号:化简
根据以上可得已知密文对明文没有任何的影响,所以该方案为完美安全的。
在20世纪中期,一次一密方案被应用于很多国家情报机构(national intelligence agency),主要用来加密对时间敏感的数据。比如,白宫(white house)和克里姆林宫(Kremlin)在冷战时期的通信就通过“红电话”。US和USSR的政府机构可以借助可信的通讯员来交换很长的密钥,把随机的字母写在纸张上。
一次一密方案的安全性非常好,但是在网络安全中如今并不常见,其还是有很多的限制。比如,方案中我们要求密钥的长度和明文的长度一样,在加密很长的消息时,则不太实用。而且,往往合法的通信双方是无法提取预测具体消息的长度。
一次一密方案要求密钥k只能使用一次。如果使用同一个密钥来加密多个消息,会出现什么情况?比如我们假设消息m和m'都是使用k来进行加密的,此时我不知道具体的k是什么,但首先我们知道密文格式为:
由此可计算:
也就是m和m'的异或结果信息会被泄露,换句话说就是两个消息的区别则被获取。如果对多个消息的加密使用同一个密钥的话,那么该方案肯定不符合完美安全的要求,只要其相同消息足够多,那么借助频率攻击法,很有可能解密出明文。
历史上,VENONA项目就分析过此类的安全性。曾经,前苏联(Soviet Union)在几十年内就重复使用过密钥,美国(US)和英国(UK)就解密出明文。
在现代密码学中,保密原理指的是,系统保密性完全依赖于密钥的安全性,不依赖于加密体制或算法。
然而现有的保密通信体系不存在无条件安全的方案来分发密钥,这个过程是很难实现的。现代密码学常用对称密码体制和公钥密码体制:
常规体制不存在多项式算法复杂性的假设并未得到证明。所以我们常说密码学使用的是一种假设的安全,也就是目前不存在算法可以解决某些困难问题,至于以后有没有可能被解决那就不得而知了。
目前,长达1024比特长度的RSA体制已经被破解。
基于Hash函数的世界通行密码标准系列算法MD5等被王小云教授等人破解。
Shor的大数分解量子算法可以以低的复杂性破解RSA体制(例如,1分钟就可以破解1024比特RSA)
使用穷举破译法,量子计算机能够进行把 复杂性降低。