信息论安全性
一个密码系统具有信息论安全性(英语:Information-theoretic security),意思是说它的安全性完全是以信息论为基础的。这种安全性要求即使攻击者有无限的计算能力也不能破解它。由于一定要使对手根本没有足够的资讯来破解,所以这些密码系统被认为是不能以密码分析破解的。关于计算强度有一些不能证明的假设,具有信息论安全性的加密协议不依靠这种假设,所以当未来电脑有新的发展,例如量子计算,它不容易受到影响。一个具有信息论安全性的例子是一次性密码本。信息论安全性通讯的概念是在1949年由信息论的发明者,美国数学家克劳德·香农提出来,并用来证明一次性密码本的系统是安全的[1]。具有信息论安全性的密码系统已被用于最敏感的政府通讯,因为敌方政府会尽最大努力试图破解。
有一个有趣的特例是完善保密性:密码系统产生的密文,在没有密钥的情况下,除了总长度以外,不可能泄漏任何有关明文的资讯。这其实就是一次性密码本的保密原理。如果 E 是一个具有完善保密性的加密函数,就任何已知的明文 m 对每个密文 c 至少存在一个密钥 k 满足 c = E(k,m) 。可以确定具有完善保密性的任何密码系统,都必须使用与一次性密码本效用相同的密钥。[1]
在面对拥有无限计算能力的对手时,常常可以见到一些密码系统会泄漏部分的资讯,但仍然可以维持它的安全性。这类型的密码系统具有信息论安全性,但是没有完善保密性。这里的安全性是以案例中密码系统的需求为准。
对很多加密作业而言信息论安全性是有用而且有意义的。例如这几项:
- 秘密分享方案例如 Shamir's 在少于分享机密的人数时,不会泄漏任何机密资讯,所以具有信息论安全性 (也具有完善保密性)。
- 基本上,安全多方计算协议通常,但不是一定具有信息论安全性。
- 具有多重数据库的 Private information retrieval 对用户的查询可以达成信息论安全性。
- 在各种加密基元或操作之间的归约通常可以达成信息论安全性。以理论的角度而言这种归约很重要,因为可以借此确认如果基元 可以实现,那么基元 也可以实现。
- 对称密钥加密 可以用一种叫做 entropic security 的信息论概念来架构,这个概念假设对手几乎不知道一点有关于被发送的消息。注意这时要达成的目标是隐藏关于明文的‘所有作用’而不是“所有的消息”。
- 量子密码学 是信息论密码学中的一大课题。
参考文献
- ^ 1.0 1.1 Shannon, Claude E. Communication Theory of Secrecy Systems (PDF). Bell System Technical Journal (USA: AT&T Corporation). October 1949, 28 (4): 656–715 [2011-12-21]. (原始内容 (PDF)存档于2012-01-20).