18. Односторонние функции. Псевдослучайные генераторы.

Односторонние функции

Говоря неформально, односторонняя функция - это эффективно вычислимая функция, для задачи инвертирования которой не существует эффективных алгоритмов. Под инвертированием понимается массовая задача нахождения по заданному значению функции одного (любого) значения из прообраза (заметим, что обратная функция, вообще говоря, может не существовать).

Поскольку понятие односторонней функции - центральное в математической криптографии, ниже мы даем его формальное определение.

Пусть - множество всех двоичных строк длины. Под функциеймы понимаем семейство, где,. Для простоты изложения мы предполагаем, чтопробегает весь натуральный ряд и что каждая из функцийвсюду определена.

Функция называетсячестной, если существует полином такой, чтодля всех.

Определение 1. Честная функция называетсяодносторонней, если

1. Существует полиномиальный алгоритм, который для всякого вычисляет.

2. Для любой полиномиальной вероятностной машины Тьюринга выполнено следующее. Пусть строкавыбрана наудачу из множества(обозначается). Тогда для любого полиномаи всех достаточно больших

Вероятность здесь определяется случайным выбором строки и случайными величинами, которыеиспользует в своей работе.

Условие 2 качественно означает следующее. Любая полиномиальная вероятностная машина Тьюринга может по данномунайтииз уравнениялишь с пренебрежимо малой вероятностью.

Заметим, что требование честности нельзя опустить. Поскольку длина входного слова машиныравна, ей может не хватить полиномиального (от) времени просто на выписывание строки, еслислишком сильно ``сжимает'' входные значения.

Ясно, что из предположения о существовании односторонних функций следует, что PNP. Однако, не исключена следующая ситуация: PNP, но односторонних функций нет.

Существование односторонних функций является необходимым условием для стойкости многих типов криптографических схем. В некоторых случаях этот факт устанавливается достаточно просто. Обратимся опять к примеру 1. Рассмотрим функцию такую, что. Она вычислима с помощью алгоритмаза полиномиальное время. Покажем, что если- не односторонняя функция, то криптосистема нестойкая. Предположим, что существует полиномиальный вероятностный алгоритм, который инвертируетс вероятностью по крайней мередля некоторого полинома. Здесь- длина ключа. Противник может подать на вход алгоритмуключи получить с указанной вероятностью некоторое значениеиз прообраза. Далее противник подаетна вход алгоритмаи получает пару ключей. Хотяне обязательно совпадает с, тем не менее, по определению криптосистемыдля любого открытого текста. Посколькунайден с вероятностью по крайней мере, которая в криптографии не считается пренебрежимо малой, криптосистема нестойкая.

Для других криптографических схем подобный результат доказывается не столь просто. В работе Импальяццо и Луби [7] доказана необходимость односторонних функций для существования целого ряда стойких криптографических схем.

Из всего сказанного следует, что предположение о существовании односторонних функций является самым слабым криптографическим предположением, которое может оказаться достаточным для доказательства существования стойких криптографических схем различных типов. На выяснение того, является ли это условие и в самом деле достаточным, направлены значительные усилия специалистов. Трудность задачи построения криптографических схем из односторонних функций можно пояснить на следующем примере. Пусть - односторонняя функция и нам требуется построитькриптосистему с секретным ключом. В такой криптосистеме имеется только один ключ - секретный, который известен и отправителю, и получателю шифрованного сообщения. Алгоритмы шифрования и дешифрованияоба зависят от этого секретного ключаи таковы, чтодля любого открытого текста. Ясно, что если криптограммусообщениявычислять как, то противник, перехвативший, может вычислитьлишь с пренебрежимо малой вероятностью. Но во-первых, непонятно, каким образом сможет восстановить сообщениеиз криптограммы законный получатель? Во-вторых, из того, что функцияодносторонняя следует лишь, что противник не может вычислить все сообщение целиком. А это - весьма низкий уровень стойкости. Желательно, чтобы противник, знающий криптограмму, не мог вычислить ни одного бита открытого текста.

На настоящий момент доказано, что существование односторонних функций является необходимым и достаточным условием для существования стойких криптосистем с секретным ключом, а также стойких криптографических протоколов нескольких типов, включая протоколы электронной подписи. С другой стороны, имеется результат Импальяццо и Рудиха [9], который является достаточно сильным аргументом в пользу того, что для некоторых типов криптографических схем (включая протоколы распределения ключей типа Диффи-Хеллмана) требуются более сильные предположения, чем предположение о существовании односторонних функций.

Псевдослучайные генераторы

Существенный недостаток шифра Вернама состоит в том, что ключи одноразовые. Можно ли избавиться от этого недостатка за счет некоторого снижения стойкости? Один из способов решения этой проблемы состоит в следующем. Отправитель и получатель имеют общий секретный ключ длиныи с помощью некоторого достаточно эффективного алгоритмагенерируют из него последовательностьдлины, где- некоторый полином. Такая криптосистема (обозначим ее) позволяет шифровать сообщение(или совокупность сообщений) длиной добитов по формуле, где- поразрядное сложение битовых строк по модулю 2. Дешифрование выполняется по формуле. Из результатов Шеннона вытекает, что такая криптосистема не является абсолютно стойкой, т.е. стойкой против любого противника (в чем, впрочем, нетрудно убедиться и непосредственно). Но что будет, если требуется защищаться только от полиномиально ограниченного противника, который может атаковать криптосистему лишь с помощью полиномиальных вероятностных алгоритмов? Каким условиям должны удовлетворять последовательностьи алгоритм, чтобы криптосистемабыла стойкой? Поиски ответов на эти вопросы привели к появлению понятия псевдослучайного генератора, которое было введено Блюмом и Микали [3].

Пусть - функция, вычислимая за полиномиальное (от) время. Такая функция называется генератором. Интуитивно, генераторявляется псевдослучайным, если порождаемые им последовательности неотличимы никаким полиномиальным вероятностным алгоритмом от случайных последовательностей той же длины. Формально этот объект определяется следующим образом.

Пусть - полиномиальная вероятностная машина Тьюринга, которая получает на входе двоичные строки длиныи выдает в результате своей работы один бит. Пусть

Вероятность здесь определяется случайным выбором строки и случайными величинами, которыеиспользует в своей работе. Пусть

Эта вероятность определяется случайным выбором строки и случайными величинами, которыеиспользует в своей работе. Подчеркнем, что функциявычисляется детерминированным алгоритмом.

Определение 2. Генератор называетсякриптографически стойким псевдослучайным генератором, если для любой полиномиальной вероятностной машины Тьюринга , для любого полиномаи всех достаточно больших

Всюду ниже мы для краткости будем называть криптографически стойкие псевдослучайные генераторы просто псевдослучайными генераторами. Такое сокращение является общепринятым в криптографической литературе.

Нетрудно убедиться, что для существования псевдослучайных генераторов необходимо существование односторонних функций. В самом деле, сама функция должна быть односторонней. Доказательство этого простого факта мы оставляем читателю в качестве упражнения. Вопрос о том, является ли существование односторонних функций одновременно и достаточным условием, долгое время оставался открытым. В 1982 г. Яо [10] построил псевдослучайный генератор, исходя из предположения о существовании односторонних перестановок, т.е. сохраняющих длину взаимнооднозначных односторонних функций. За этим последовала серия работ, в которых достаточное условие все более и более ослаблялось, пока наконец в 1989-1990 гг. Импальяццо, Левин и Луби [8] и Хостад [6] не получили следующий окончательный результат.

Теорема 1.   Псевдослучайные генераторы существуют тогда и только тогда, когда существуют односторонние функции.

Псевдослучайные генераторы находят применение не только в криптографии, но и в теории сложности, и в других областях дискретной математики. Обсуждение этих приложений выходит за рамки настоящей главы. Здесь же в качестве иллюстрации мы рассмотрим описанную в начале данного раздела криптосистему , использующую псевдослучайный генератор в качестве алгоритма. Прежде всего, нам необходимо дать определение стойкости криптосистемы с секретным ключом.

Пусть - алгоритм шифрования криптосистемы с секретным ключом. Обозначим результат его работы, здесь- секретный ключ длинойбитов, а- открытый текст длинойбитов. Черезобозначается-ый бит открытого текста. Пусть- полиномиальная вероятностная машина Тьюринга, которая получает на вход криптограммуи выдает пару, где,. Интуитивно, криптосистема является стойкой, если никакая машина Тьюрингане может вычислить ни один бит открытого текста с вероятностью успеха, существенно большей, чем при простом угадывании.

Определение 3. Криптосистема называется стойкой, если для любой полиномиальной вероятностной машины Тьюринга , для любого полиномаи всех достаточно больших

Эта вероятность (всюду ниже для краткости мы ее обозначаем просто ) определяется случайным выбором секретного ключа, случайным выбором открытого текстаиз множества всех двоичных строк длиныи случайными величинами, которыеиспользует в своей работе.

Покажем, что криптосистема с псевдослучайным генератором в качествеявляется стойкой в смысле данного определения. Предположим противное, т.е. что существуют полиномиальный вероятностный алгоритми полиномтакие, чтодля бесконечно многих. Рассмотрим алгоритм, который получает на входе двоичную строкудлины, выбирает, вычисляети вызываеткак подпрограмму, подавая ей на вход строку. Получив отпару,проверяет, действительно лии если да, то выдает 1, в противном случае - 0, и останавливается. Легко видеть, чтоработает за полиномиальное (от) время. Убедимся, что алгоритмотличает псевдослучайные строки, порожденные генератором, от случайных строк длины. В самом деле, если строки, поступающие на вход, являются случайными, то- криптограмма шифра Вернама и, согласно теореме Шеннона,. Если строкипорождены генератором, то криптограммыимеют такое же распределение вероятностей, как в криптосистеме, и, согласно предположению,для бесконечно многих. Полученное противоречие с определением псевдослучайного генератора доказывает утверждение о стойкости криптосистемы.

Разумеется, стойкость криптосистемы с секретным ключом можно определять различным образом. Например, можно рассматривать стойкость против атаки с выбором открытого текста: противник может предварительно выбрать полиномиальное количество открытых текстов и получить их криптограммы, после чего он получает ту криптограмму, по которой ему требуется вычислить хотя бы один бит соответствующего открытого текста. Нетрудно убедиться, что криптосистема с псевдослучайным генератором в качествеявляется стойкой и против атаки с выбором открытого текста.

Таким образом, мы убедились, что с помощью псевдослучайных генераторов можно строить стойкие криптосистемы. Основное направление исследований в данной области - поиск методов построения эффективных псевдослучайных генераторов на основе различных криптографических предположений. Показателем эффективности здесь служит количество операций, затрачиваемых на вычисление каждого очередного бита псевдослучайной последовательности.