id: Гость   вход   регистрация
текущее время 02:03 31/07/2021
создать
просмотр
ссылки

Чем лучше сжимать диски TrueCrypt под Linux и Windows ?


Может я многого хочу. Но раньше были какие-то утилиты для сжатия информации "на лету", возможно ли сегодня повесить такое на смонтированный диск TC? В доках написано, что для ОС это обычный диск с которым можно делать все тоже самое, что и с обычным логическим диском.
Какими утилитами можно их сжимать наиболее безопасно с точки зрения вероятности потери данных в томе TC ?
Интересуют все операционные системы.


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии
— unknown (03/06/2013 15:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если Алиса посылает Бобу какой-то свой шум, а Боб его оцифровывает лучше, чем генерит с нуля, это же может делать и Ева.

Как это? Не понял смысла сказанного. Что значит "Боб его оцифровывает лучше, чем генерит с нуля"?

Если оба Алиса и Боб используют внешний источник шума (Солнце, Луна) и черпают оттуда случайные биты, после согласовывая их, это же может делать и Ева.

Не обязательно так. Это даже не изначальная идея, а уже одна из поздних вариаций и не самая основная. Чаще всего рассматривается как Алиса посылает Бобу сигнал в канале с шумами (радиопомехи). Просто сейчас все привыкли, в век цифровой техники, что сырой цифровой сигнал без кодов коррекции ошибок никто не посылает и о существовании шумов знают только проектировщики, рядовой пользователь с ними не сталкивается. Поэтому нужен такой канал, где принудительной коррекции ошибок нет: собственный радиоканал, к примеру. Хотя, оптический или проводной тоже подойдёт, главное иметь к нему доступ на физическом уровне: посылать сырые, нескорректированные (но дополненные проверочным кодом) блоки битов с TRNG, с последующей возможностью оцифровки аналогового сигнала на приёмной стороне.

Ограничения на объём носителей и точность оцифровки всегда могут быть понижены. Раз может Боб, сможет и Ева.

Объём носителей фигурирует в другом виде виде инф.-теор. крипто. Не в шумовых каналах Винера. Точность оцифровки опирается на предел измерений в области неустранимых тепловых шумов и внутренних шумов приборов. Даже охлаждение в жидком азоте гелии не поможет. По крайней мере ε сводят за пределы не технических и инженерных, а физических возможностей. Хотя такой чёткой границы, как в квантовом случае здесь нет. Privacy amplification сделает так, что Боб легко сможет сделать то, что не сможет никакая Ева, допустимая законами физики.

Да, Алиса и Боб могут из общего для них шума вывести другой (о котором Ева будет знать меньше или не знать ничего), ползуясь тем, что они друг перед другом аутентифицированы (для простоты можно считать, что оба знают какую-то общую для них строку битов).

Это очевидно для предотвращения атаки "человек посредине" со стороны Евы.

Но тогда объём секрета не увеличивается между Алисой и Бобом от использования шума. Если вы в систему связи/шифрования добавите детерминистичную часть всем трём (Алисе, Бобу и Еве), размер секрета между Алисой и Бобом останется тем же.

Ева то откуда узнает начальный секрет?
Используя инф.-стойкую аутентификацию (как в QKD) начальная строка разворачивается в бесконечно обновляемую при согласовании гамму, которая черпает случайность из наложения гаммы TRNG Алисы на шум внешней среды.

Вы описываете шумовое крипто так, как будто можно гнать шум через каналы связи вместо квантовых состояний, и всё будет оставаться хорошо (при том, что даже с QKD не всё так хорошо, если смотреть на её безопасность пристально). Иначе говоря, протокол для шумового крипто тот же самый, что и для QKD, но слаться будет классический шум.

Практически так. Инф.-стойкая аутентификация использует единственный первоначальный расшаренный секрет, затем согласование, усиление приватности, экстрагирование общего ключа. Этот ключ используется одноразово для шифрования и для нового сеанса аутентификации (Information Theoretic Perfect Forward Security).

Очевидно, что шумовое не может быть безопаснее квантового, а про последнее мы знаем, какие ухищрения там нужны, чтобы всё было безопасно, и что даже эти ухищрения дают относительно пессимистичные оценки.

Не может, это верно. Весь вопрос, насколько? Аналоговые неквантовые TRNG тоже имеют право на существование. Если нужен миниатюрный портативный проверяемый генератор, который можно собрать даже самому или развиваемые сейчас микросхемы, которые можно ставить в микроустройства, то это м.б. более разумное решение, чем фирменный квантовый свисток.

Было бы всё так просто, как вы описываете, никто б не страдал ерундой с QKD. И отсутствие статьи в wiki про шумовое крипто как бы символизирует.

Авторов, ведущих регулярные исследования, таких как Кирилл Морозов, мало. Хотя в архиве достаточно публикаций на тему.

Может и стоило бы классическое шумовое крипто рассматривать как устаревшую или тупиковую идею, раз есть квантовое. Но важен ряд причин:

  1. Есть шанс построить систему на примитивном, портативном, рядовом железе. Т.е. в домашних условиях будет попроще, чем QKD.
  2. Упомянутый выше (полу)броадкастинг, невозможный в QKD. Точнее, ненаправленная беспроводная передача, связь с подвижным объектом или с таким, местоположение которого точно неизвестно.
  3. Больше вариантов канала передачи, в т.ч. беспроводного. Организовать квантовый канал со спутником сложновато, а радиоканал — без проблем. Также как и другую радиосвязь на дальние расстояния (хоть межпланетную) без ретрансляторов, зато с нужными для этого неустранимыми шумами внешней среды.
— Гость (03/06/2013 19:29)   <#>

Имелось в виду, что Боб, получая сигнал от Алисы, может совершить ошибку при оцифровывании или не совершить. В предельном случае большой ошибки можно считать, что он вообще ничего не оцифровывает, а просто берёт какие-то случайные биты с потолка и считает, что они были посланы Алисой.


Хорошо. Т.е., вы считаете, что иногда Боб будет ошибаться, измеряя сигнал, а иногда Ева, так? И что потом Боб с Алисой по открытому, но аутентифицированному каналу выясняют, в каких битах Боб ошибся, а в каких нет, сравнивая синдромы. Далее, за счёт reconciliantion и privacy amplification Алиса и Боб могут выкинуть те битовые блоки, которые в которых ошибка есть, оставив только те, где её нет, т.е., совпадающие. У Евы же так хорошо не получится: если она в каком-то блоке сделала ошибку, никто её блок не выкинет, а какой блок должен быть правильным, она не знает. Соответственно, после этапа переговоров у Алисы и Боба появляется идентичный набор битов на обоих концах, а у Евы нет, у неё есть отличие. Далее Алиса и Боб могут применить экстрактор и сжать свои битовые строки в более короткий, окончательно выдавив ту часть информации, которая доступна Еве. — В этом ваша идея? Так работает QKD.

Отличие от шумового крипто в том, что в QKD наличие искажений при получении данных Бобом трактуется, как ошибка. Если канал идеальный, Боб совершит ошибку в определённом проценте случаев, и этот процент в квантовом канале можно строго оценить. Если же Ева вмешивается, Боб совершит ошибку в большем числе случаев, т.е., у Алисы с Бобом будет больше различающихся битов по окончании передачи. В QKD есть оценки, которые говорят о том, сколько максимум получила информации Ева, если отклонение от стандартного процента такое-то. В зависимости от этой информации, полученной Евой и оцененной по числу ошибок в канале, Алиса с Бобом по-разному делают privacy amplification. В частности, если уровень шума/искажений превосходит некоторый размер, шифрованый канал между Бобом и Алисой установить вообще нельзя.

Вопрос первый: как вы построете универсальную оценку на то число информации, которое утекло Еве? Вы же не знаете, в каком числе случаев она ошиблась.

Вопрос второй: как вы защититесь от MITM? Я имею в виду intercept & resend. В QKD, если Ева тупо начнёт делать I&R-атаку, число ошибок у Боба превысит критический предел, и Алиса с Бобом поймут, что установить шифрованный канал нельзя. В шумовой же криптографии что мешает Еве просто прочитать все данные, посланные Алисой, разорвать канал, а затем передать их Бобу без ошибок? В QKD вы доверяете, условно говоря, только ящикам, но не проводу, в них воткнутому. Если считать так же в шумовой криптографии, то Ева всегда сможет сделать так, контролируя канал, что прибор Боба получит именно такие биты, какие она будет знать дословно и без ошибок. В итоге биты у Боба и Евы будут идентичными и похожими на те, что у Алисы. Следовательно, Ева, слушая открытый (хотя и аутентифицированный) канал между Алисой и Бобом, выяснит, какие блокие будут использоваться для генерации ключа, и получит весь ключ целиком. Вы именно эту проблему и имели в виду, когда писали «нужен безопасный пространственный периметр»? Ну, помните же, сколько ругали QKD за разного рода MITM'ы? А тут мы заранее выносим MITM за рамки модели? Ну, это круто: шифрованный канал, который не защищён от MITM. :)


Разрабатывались устройства QKD по воздуху, работающие между ATM и чем-то типа кардридера. На SECOQC в 2008-ом был даже прототип размером с небольшой ящик (размеры не знаю, может, 20cm x 20cm). Идея: вы подходите к банкомату и производите операции на своей портативной машинке-кардридере. Соединение между машиной и банкоматом шифруется с помощью QKD. Вы же вроде как FSO QKD интересовались. Вот статья на эту тему от 2006-го, в разработке устройства HP постарался. Тут фотографии живого прибора есть, но он на стенде.
— Гость (03/06/2013 19:36)   <#>
P.S. «Low cost QKD» (заголовок статьи) автоматически ассоциируется с китайским г-ном, который будут пытаться всем впарить. Не знаю даже, почему.
— unknown (04/06/2013 10:41, исправлен 04/06/2013 12:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В предельном случае большой ошибки можно считать, что он вообще ничего не оцифровывает, а просто берёт какие-то случайные биты с потолка и считает, что они были посланы Алисой.

Такой случай должен быть явно выведен из протокола. Нельзя получить инф.-стойкую случайность "из ничего".



В общем виде, я так себе это представляю. Допускаю, что какие-то тонкости, отличающие от QKD, имеют место. Не разбирался настолько подробно.



Проблема вбрасывания шумов активным атакующим — самая серьёзная, признаётся исследователями. Насколько плохо или хорошо обоснованны их оценки, я сделать вывод не могу.



Должны быть какие-то проверки целостности переданных блоков, которые Ева не сможет обойти. Ева примет блок с ошибками и не сможет переклеить на него корректный проверочный код, не зная аутентификационного ключа. Возможно, она даже не сможет проверить его корректность. Возможно, в конце проверяется число блоков и время передачи. Надо конкретно изучать протоколы, наверняка там всё предусмотрено. По-крайней мере, не видно причин, которые принципиально бы этому мешали, так, чтобы легко зарубить всю идею на корню.



Нет конечно, я не разбирал все варианты этих экзотических протоколов столь подробно, но такой тривиальный момент явно дожен быть предусмотрен. Хотя, возможно, его реализация не так тривиальна, как кажется.



Проблема в том, что если Ева находится очень близко к передатчику Алисы, то для неё действительно оценки по шумам становятся столь выгодными по сравнению с Бобом, что понадобится почти бесконечное время для безопасного согласования, т.к. она будет получать почти все биты без ошибок. В отличие от.


Вот по отношению к этому месту очень верно подмечено, что точно нельзя определить количество ошибок в неквантовом шумовом канале и высчитать параметры согласования, безопасно против Евы, особенно если она активный и адаптивный атакующий, манипулирующий шумами в канале (а не передаваемыми данными, что точнее). Т.е., проблема ещё сильнее в том, что она может искусственно имитировать повышенный шум, который будет отсылаться Бобу и портить ему блоки, но не касаться её, что повысит её информационное преимущество.


Всё это в работах описано, как ключевые проблемы, отмечено вами в целом верно, методы преодоления этого тоже описаны, но в их эффективности и обоснованности я не разбирался.


До сих пор проходят конференции по инф.-теоретической безопасности, где помимо квантовых, продолжают рассматриваются и классические шумовые каналы, Wyner channels, wiretap channels и пр. Вот ещё пример исследовательского проекта. Или они там просто гранты пилят?


Вот интересная подборка публикаций. Оказывается, есть инф.-теор. стойкие подписи. Точнее, псевдоподписи, т.к. они нетрансферабельны (в общих случаях не могут быть переданы третьим сторонам для проверки). Кстати, автор занимается одновременно и квантовой криптографией и шумовой.


Шумы в каналах и файлах важны не только для обычной стеганографии, но и fileинф.-теор. стойкой.


А вот что-то похожее на информационно-стойкое усиление (дискового?) шифрования: fileInformation-Theoretic Forward-Secure Storage Schemes.

Informally, FSS is an encryption scheme (Encr, Decr) that has the following non-standard property: if the adversary has only partial information about the ciphertext C = Encr(K, M), he should have essentially no information on the corresponding
plaintext M, even if he learns the key K.

А то, сжимать диск перед шифрованием кто-то там хотел :)


Эту модель развивает департамент атомной энергетики и лаборатория Sandia (та самая, где разрабатывают ядерное оружие, УТС и пр.), Key Management and Encryption under the Bounded Storage Model — здесь как раз используется ограниченность противника в ресурсах памяти, а не вычислений. (Bounded storage model, оцифровка данных радиотелескопов, но это не шумовая криптография Винера, а скорее Маурера). То, что вами раскритиковано выше.


А в вики много каких статей нет, про крипткодинг и шифрование на квазигруппах, к примеру. Хотя, да — это косвенный показатель, что направление близко к маргинальному и упорно "не взлетает".


Вот ещё диссертация в копилку ссылок: filehttp://www.is.titech.ac.jp/~ch.....t/Por_Phd-thesis.pdf — Information-Theoretic Security
beyond the One-Time Pad. В частности:

In particular, we show that information-theoretic perfect non-malleability is equivalent to perfect secrecy of two different messages. This implies that for n-bit messages a shared secret key of length roughly 2n is necessary to achieve non-malleability, which meets the previously known upper bound.

— Гость (05/06/2013 01:54)   <#>

Из этих ваших цитат следует, что шумовая криптография требует ещё и предрасшаренного секрета между Алисой и Бобом. Насколько мне известно, в QKD это не требуется. Вы можете хоть по телефону диктовать друг другу, какие базисы у вас были выбраны и совпали / не совпали. Т.е., аутентифицированный канал между A и B — это не то же самое, что предрасшаренный секрет между A и B.


Во-первых, не понятно, откуда возьмутся проверочные коды, если предрасшаренного секрета нет (как в QKD). Во-вторых, если Ева хочет гарантировать доставку Бобу незашумлённых сообщений, ей не нужно переклеивать проверочные коды:

В QKD вы доверяете, условно говоря, только ящикам, но не проводу, в них воткнутому. Если считать так же в шумовой криптографии, то Ева всегда сможет сделать так, контролируя канал, что прибор Боба получит именно такие биты, какие она будет знать дословно и без ошибок. В итоге биты у Боба и Евы будут идентичными и похожими на те, что у Алисы. Следовательно, Ева, слушая открытый (хотя и аутентифицированный) канал между Алисой и Бобом, выяснит, какие блокие будут использоваться для генерации ключа, и получит весь ключ целиком.

То есть, Ева садится близко к Бобу, получает информацию от Алисы и шлёт её в прибор Боба так, чтобы результат Боба был для неё, Евы, детерминистичен. Если никакого дополнительного секрета между Алисой и Бобом нет, нет и никаких отличий Евы от Алисы: слушая согласование блоков, она получит ровно тот же ключ.

Если предрасшаренный ключ всё же используется, он становится единственным секретом, который отличает Еву от Боба. Можно ли из этого небольшого единственного секрета Алисе с Бобом получить сколько угодно длинную безопасную гамму, о которой Ева будет знать ε-мало? Не получится ли так, что степень безопасности гаммы будет равна не её длине, а длине предрасшаренного секрета? Я опять возвращаюсь к факту:

Но тогда объём секрета не увеличивается между Алисой и Бобом от использования шума. Если вы в систему связи/шифрования добавите детерминистичную часть всем трём (Алисе, Бобу и Еве), размер секрета между Алисой и Бобом останется тем же.

Или ещё так можно сказать: вы записали случайные данные на диск, сделали три его копии и раздали всем трём. У Алисы с Бобом ещё есть небольшой предрасшаренный секрет друг с другом, которого нет у Евы — таковы условия задачи. Вопрос: как, использя этот секрет, Алиса с Бобом получат длинную гамму для одноразового блокнота?


«Не видно причин, которые принципиально бы этому мешали» — в таком темпе можно быстро дойти до аргументов, которые потребовали написать что-то такое. Из отсутствия принципиальных причин небезопасности безопасность не следует. Между общими идеями и протоколом с доказанной безопасностью — каньон с горой трупов. На примере QKD: Визнер предложил идею в в 1960-ых, послал креатив в IEEE Trans. Inf. Theory, его там, естественно, завернули. О том, как анализировать безопасность QKD в самом общем случае, тогда никто не знал, не говоря уже о самом доказательстве. Безопасность от коллективных и индивидуальных атак, а также вывод границы на скорость передачи сообщений по QKD, так называемый Devetak-Winter rate, — 2003-ий год. До 2003-его не было обоснованных оценок на безопасность против даже простейших атак, не было даже самых тухлых оценок на то, сколько информации можно безопасно передать, если в канале содержится определённая доля шума (я так понимаю, в шумовой криптографии и этого нет?). Безопасность против когерентных атак — это 2005-ый год. Но и то и другое — это оценка асимптотическая. Вдруг, чтобы её достичь, Алиса и Боб должны использовать свой QKD-канал миллион лет? Оценка безопасности при конечном числе использований канала — 2008-ой год. И это не всё, это были только общие энтропийные оценки. Как я понимаю, Ева может оптимизировать свою атаку в зависимости от того, как Алиса с Бобом будут обрабатывать свои сырые данные по классическому протоколу, это породило ещё кучу работ, начиная с типа таких, т.е., даже скорость Деветака-Винтера — это не конец, это ещё только начало. Перефразируя Раадта, «глупо думать, что тысячи людей, которые за 50 лет не могут довести до ума QKD, вдруг внезапно соберутся и сделают безопасное шумовое крипто при том, что там изначально куда больше ограничений, условий и шире вектор атак». Безопасность QKD потому и unconditional, что никаких условий на Еву QKD не налагает вообще, Ева вольна делать в канале всё, что хочет. Да, криптографы под словом «unconditional» понимают нечто другое. :)

Или вот ещё другой пример слегка троллинговый, но всё же: посмотрите на RC4. Вам кто-то может с пеной у рта утверждать, что там всё ОК, просто его надо «правильно готовить»; не нарушать те требования к использованию на практике, которые делают шифр слабым; гарантировать отсутствие ряда ситуаций с выкачкой большого трафика клиентов и т.д. Я не исключаю, что всё так и есть: при соблюдении всех до одного из сотни условий практический взлом RC4 сомнителен, поэтому скорость — важное преимущество, а не высоконагруженных серверах он по заслугам составляет конкуренцию AES. Тем не менее, вы же понимаете, что место RC4 — только на помойке не таких серверах?

Когда вы собираете из кирпичиков протокол, кажется, что его всегда можно собрать, если каждый кирпич неплохой, но на самом деле (в общем случае) это не так. Может получиться так, что оценки на безопасность потребуют сделать то, что сделать невозможно, используя неидеальные кирпичи — это один случай. Например, в QKD невозможно создать гамму для одноразового блокнота, о которой бы атакующий не знал ничего, остаётся довольствоваться только ε-безопасностью. Кроме того, есть достаточно пессимистичные оценки на безопасность гаммы при конечном числе посылок информации через канал. Может так получиться, что это тоже фундаментальное ограничение (медленная сходимость к той безопасности, которая достижима на бесконечном числе использований канала). Ну, или оценки таковы, что если Алиса и Боб имеют n бит общей информации, атакующему утечёт n+ε бит информации об исходном n. Если совсем петросянить, то «не каждый ряд с убывающими членами сходится», поэтому тот факт, что Ева знает меньше, или тот, что «информацию Евы можно универсально ограничить сверху» остаются общими словами, пока нет строгих оценок в рамках конкретного протокола, тем более, что все эти оценки зависят от параметров протокола, которые можно варьировать. Т.е., вопрос не в числе, вопрос в том, какая там зависимость.


Есть ли обзоры, где перечислены все условия? Бывает, что берут протокол, доказывают его безопасность при условии чего-то там, публикуют. Потом предлагают другой протокол, доказывают про него что-то в каких-то других рамках, тоже публикуют. Через n лет мы имеем сотни десятки работ по какой-то теме, но ни для одного протокола так полностью и не выписан список всех условий, когда он работает. А если и выписан, то безопасность доказана не при таком списке условий, а при более коротком. Исследователи всегда могут сказать «мы надкусили яблоко сделали первые шаги». А кто будет делать завершающие шаги? Вас не удивляет, что доказательства безопасности для кучи QKD-протоколов нет? Что безопасность CV QKD — это такая тумманность, что вообще не понятно, что там происходит? Что безопасность всяких там двусторонних QKD и прочих модификаций тоже недоказана? Есть доказательство безопасности от конкретных атак, но всё равно никто не заявляет «я поставил точку в вопросе доказательства безопасности протокола».


Жизан тоже думал, что всё предусмотрено, но потом пришёл Макаров и доказал обратное несмотря на массу внимания к теме QKD, а также тысячи теоретических и экспериментальных работ, утверждающих, что всё хорошо. После этого невольно задумываешься, сколько там всего может вылезти в шумовой криптографии, если её будут пытаться сделать безопасной. Мне интуитивно кажется, что простейшие взломы будут делать школьники студенты на лабораторных работах.

Я видел статьи, постеры по гибридам чего-то типа шумовой криптографии и квантовой, Y-00 протоколы, вот это всё. Надо бы закинуть их ссылками на форум. Попытка чего-то допытаться от авторов к успеху не приводит. Впечатление такое, что «мы сделали, оно работает, не спрашивайте, почему оно безопасно». Неаккуратно оформленные статьи, где одно бла-бла-бла, ну и журналы, где оно публикуется, тоже большого доверия не внушают. Одно дело — предложить идею, другое — доказать безопасность. Конечно, ряд ссылок из тех, что вы привели (и тех, которые приводили ранее) внушают какое-то доверие, но без вникания в детали трудно что-то сказать помимо спекуляций как бабки на лавочке («не видел, но осуждаю»).


В моём случае всё так же:

ссылки годные, интересные, надо теперь читать и думать

Не зная конкретно, что утверждается и при каких условиях, к сожалению, из общих соображений рождается только пустой флуд.


Я не разбирался с направлением, мне сказать нечего. Даже то, что говорю — это работа gw'ем между вами и тем, кто статьи по шумовому крипто всё же читал и разбираться с ними пытался. Мне интуитивно кажется, что если бы оно было столь хорошо, как пропагандируют авторы, оно бы уже давно было повсеместно. В чём его ключевой затык — мне трудно сказать. Это могут быть и требования, которые редко когда в реальности выполняются, и отсутствие полного анализа безопасности для конкретных реализаций протокола.


Надо же, как много знакомых лиц упоминается. Израиль Истина должна быть где-то рядом. :)


Это про шумовое крипто или про что? Нужно предрасшарить 2n-битовый ключ, чтобы потом через шумовой канал выработть n бит ключа?! Так Боб с Алисой быстро в минуса уйдут.
— unknown (05/06/2013 10:21, исправлен 05/06/2013 11:49)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Из этих ваших цитат следует, что шумовая криптография требует ещё и предрасшаренного секрета между Алисой и Бобом. Насколько мне известно, в QKD это не требуется.

Требуется абсолютно также или вы переворачиваете мои представления о текущем положении дел на уровне самых основ :)


Доводы в пользу квантового распределения ключей:


В порядке защиты против атак "человека посредине", большинство классических коммуникаций QKD должны быть аутентифицированы. Аутентификация может быть достигнута с помощью безусловной стойкости на основе коротких совместно используемых ключей или на основе вычислительной стойкости при использовании криптографии с открытым ключом.

Аутентификация с симметричным ключом может обеспечить безусловно стойкую аутентификацию, но ценой необходимости иметь предустановленную пару симметричных ключей.

6.1 Симметричная аутентификация ключей
Стороны, у которых уже есть совместно используемый закрытый ключ могут использовать безусловно стойкие коды аутентификации для своих сообщений. Первый такой метод был описан Вегманом и Картером и был усовершенствоваан для использования в QKD. Это одна из причин, по которой квантовое распределение ключей называют квантовым расширением ключа: можно взять короткий совместно используемый ключ и расширить его до информационно-теоретически безопасного большого совместно используемого ключа.


Их не может не быть. М.б. вы просто не рассматривали полное описание инф.-теор. стойкого QKD на аутентификации Вегмана-Картера или аналогах? Симм. ключ должен быть хотя бы один раз предзагружен (расшарен) на обе стороны. Что в квантовые девайсы, что в шумовые. В отличие от шифрования (одноразовый блокнот), размер ключа для инф.-стойкой аутентификации по Вегману-Картеру меньше размера сообщения.


Далее, кроме первого сеанса, исходный ключ не будет нужен: каждый последующий сеанс инф.-стойко использует часть совместно выведенного от предыдущего сеанса ключа для аутентификации в новом сеансе. Главное, не сорвать синхронизацию сеансов или не нарваться на какой-нибудь сбой из-за которого понадобится запасной аутентификационный ключ.


Если предрасшаренный ключ всё же используется, он становится единственным секретом, который отличает Еву от Боба. Можно ли из этого небольшого единственного секрета Алисе с Бобом получить сколько угодно длинную безопасную гамму, о которой Ева будет знать ε-мало? Не получится ли так, что степень безопасности гаммы будет равна не её длине, а длине предрасшаренного секрета? Я опять возвращаюсь к факту:

Нет! речь об аутентификации, а не шифровании. Для инф.-стойкой аутентификации размер ключа не должен быть равен или больше размера сообщения. Он м.б. короткий. См. Authentication in quantum key growing.


Инф.-теор. (IT)-стойкое QKD выращивает предрасшаренный ключ (quantum key growing) в бесконечную гамму в ходе QKD-сеансов. Также как и шумовое.


Как можно получить IT-стойкую аутентификацию вообще с нуля, без предрасшаренного ключа, я не знаю. Это противоречит моим представлениям о мире. Асимметричное QKD и IT-стойкие подписи теоретически есть, но насколько это осуществимо на практике — не знаю. Иначе (на уровне осторожного дилетантского предположения), легко бы можно было строить квантовые сети без репитеров, ретранслирующих квантовые состояния.


Хотя, японцы предлагают асимметричное шифрование Unconditionally Secure Anonymous Encryption and Group Authentication с вполне приемлемыми параметрами:

For example, in our model, required memory sizes for ciphertext, encryption key and decryption key are at least log2|M| + log2|S| bits, log2|M| + log2|S| bits and (k + 1) log2|M| bits respectively, where M is the message space, S is the set of all senders and k is the maximum number of dishonest senders.

Но IT-стойкость у него как раз возможна только в квантовом, шумовом, разделяющем секреты или исчерпывающем память канале:


Since no computational difficulty is assumed in USAE, it is impossible for a sender to secretly transmit a message using only the public information. This means that in order to construct a USAE, a different assumption (rather than computational assumptions) will be required, e.g. existence of a noisy channel, that of a quantum channel, bounds of memory or threshold of the number of malicious users.

Или ещё так можно сказать: вы записали случайные данные на диск, сделали три его копии и раздали всем трём. У Алисы с Бобом ещё есть небольшой предрасшаренный секрет друг с другом, которого нет у Евы — таковы условия задачи. Вопрос: как, использя этот секрет, Алиса с Бобом получат длинную гамму для одноразового блокнота?

В этом сценарии никак. Потому что в отличии от шумового или квантового крипто нет независимого от сторон (и разного для них) шума внешней среды, который включается в совместно вырабатываемую гамму и будет делать её разной для всех троих. Обратите внимание, что и асимметричное IT-стойкое шифрование из примера выше тоже опирается на свойства канала. Иначе оно превращается всего-лишь в выч.-стойкое шифрование, как в вашем примере — предельном случае.



Это к наивной схеме /comment65238. У неё (также как и одноразового блокнота) абсолютно нет свойства non-malleability. Стоит инвертировать результат ксора с гаммой, как инвертируется открытый текст. Теперь понятно, почему их надо ещё стойко перемешать, а это даст не линейный, а экспоненциальный рост. IT-стойкое усиление дискового шифрования практически невозможно.


В целом со скептическими замечаниями согласен, хотя мы оба ловим друг друга на элементарном незнании матчасти, так что я бы был более осторожен в выводах как за, так и против.


Подозреваю, что основная причина непопулярности шумового крипто — это его вспомогательная роль в военной сфере: дальняя радиосвязь без сетевой инфраструктуры (на основе собственной инфраструктуры) с какими-нибудь бункерами, кораблями, спутниками и малые перспективы коммерческого внедрения, несмотря на то, что на первый взгляд оно проще квантового.


А вот попытки сделать игрушки в виде шумового вай-фая или мобильников — не более чем популяризация, которая коммерчески неинтересна и потенциально глючна по функционалу.

— Гость (06/06/2013 02:45)   <#>

Welcome to new brave world! Переворачиваю. Если бы квантовый мир был почти как классический, но со своими тонкостями, у людей втечение 100 лет не срывало бы башню, и не переворачивалось бы представление о том, что есть реальность. Выделяю ключевые слова:

В порядке защиты против атак "человека посредине", большинство классических коммуникаций QKD должны быть аутентифицированы. Аутентификация может быть достигнута с помощью безусловной стойкости на основе коротких совместно используемых ключей или на основе вычислительной стойкости при использовании криптографии с открытым ключом.

«Может быть» ≠ «обязана» или «должна быть».

Аутентификация с симметричным ключом может обеспечить безусловно стойкую аутентификацию, но ценой необходимости иметь предустановленную пару симметричных ключей.

Она — да, «может обеспечить». Кто сказал, что нельзя обеспечить аутентификацию иным образом?

6.1 Симметричная аутентификация ключей
Стороны, у которых уже есть совместно используемый закрытый ключ могут использовать безусловно стойкие коды аутентификации для своих сообщений. Первый такой метод был описан Вегманом и Картером и был усовершенствоваан для использования в QKD. Это одна из причин, по которой квантовое распределение ключей называют квантовым расширением ключа: можно взять короткий совместно используемый ключ и расширить его до информационно-теоретически безопасного большого совместно используемого ключа.

«Могут использовать» этот метод, безусловно. Никто не сказал, что обязаны, и что других методов нет.

Так что в статье с Люткенхаусом всё верно. Впрочем, это неудивительно, Люткенхаус всё-таки один из самых известных теоретиков QKD, мне его даже Макаров рекомендовал по поводу выяснения истины в QKD-вопросах.


Специально задал вопрос коллегам, они поклялись на крови заверили, что это ЛПП не соответствует действительности.


Ваш мир классический, а должен быть квантовым, когда рассуждаете о QKD. :) На самом деле, никакого чуда нет, всё просто. Надо с самого начала фиксировать словарь понятий, чтобы не было недопонимания.

Для QKD нужен аутентификацированный канал. Как вы его сделаете — вопрос третий. Представьте, что Алиса, Боб и Ева сидят в одной комнате и все друг друга слышат. Ева может делать всё, что угодно, кроме как лезть внутрь ящиков Алисы и Боба (DI QKD пока оставим в стороне). Ева слышит абсолютно всё, что говорит Алиса Бобу, а Боб Алисе. Никакого предрасшаренного секрета между Алисой и Бобом нет. Так вот, QKD в этих условиях будет работать. Будет ли работать шумовая криптография?

На примере BB84 можно пояснить так: Алиса случайно выбирает базисы (прямой/косой) и кодирует в них биты (0/1). Боб мерит полученные кубиты, случайно выбирая базис для каждого. Если канал между Алисой и Бобом идеальный, и в него никто не вмешивается, Боб угадает базисы только в половине случаев. Далее Боб говорит Алисе, какие базисы он выбрал. И по публичному, аутентифицированному, но нешифрованному каналу они выясняют, когда Боб угадал базис, а когда нет. Раскрывая базис, заметьте, они не раскрывают бит, который был в этом базисе. Ева их слушает и даже может узнать, какие базисы ей были угаданы верно, если она делала соответствующую атаку.

Затем Алиса и Боб из пересланных кубитов отбирают только те, которые соответствуют одинаковым базисам. На этом этапе половина кубитов и им соответствующих битов эффективно выкидываются в мусорку. Если Ева не вмешивалась в канал, то все полученные таким образом биты должны быть идентичны. Так ли это или нет — можно выяснить опять же по публичному аутентифицированному каналу, не раскрывая сами биты. Это и есть процедура исправления ошибок, reconciliation. И вот теперь начинается самое интересное: сколько обнаружено ошибок по окончании «реконсиляции»? Теоретически должно быть 0. Практически — всегда больше нуля, потому что приборы неидеальны, есть непреднамеренные какие-то ошибки, а иногда даже прослушивающая сторона. В QKD консервативно считается, что любая ошибка в канале происходит из-за Евы, и протокол действует, исходя из этого. Важно, что можно доказать наличие однозначной связи между числом ошибок после реконсиляции и объёмом той информации, которая утекла Еве (см. вышеупомянутого Деветака-Винтера). Таким образом, по окончании процедуры Алиса и Боб знают точно, насколько в их канал вмешивалась Ева. В зависимости от степени её вмешательства они исправляют ошибки и урезают свои итоговые строки до более коротких.

Чем больше вмешательство Евы, тем более короткий ключ им удастся вывести при той же степени его ε-безопасности. Кроме того, есть и такой порог, когда длина безопасного ключа становится равной нулю. С теоретической точки зрения пропускная способность QKD-канала определяется скоростью Деветака-Винтера, которая равна разности между взаимной информацией Алисы и Боба и взаимной информацией Боба и Евы (вроде так): I(A:B)) – I(B:E). В большинстве статей по QKD очень любят рисовать график этой скорости в зависимости от, например, степени шумов в канале. Кривые выглядят так: сначала монотонное и выпуклое вверх постепенное убывание, а потом очень резкое и быстрое убывание до нуля. Пересечение с нулём и есть тот уровень шума, когда безопасный QKD-канал установить невозможно.

Вопрос: зачем здесь нужен предрасшаренный секрет?

Теперь вернёмся к статье и вашим цитатам. Очевидно, на практике аутентифицированный канал надо как-то делать и делать его удобным. Алиса с Бобом обычно сидят не в одной комнате, и базисы не будут другу другу вслух диктовать, т.е., нам нужна аутентификация какая-то более автоматическая. Вот здесь как раз и приходит помощь от Вегмана-Картера, основанная на том, что обе стороны имеют общий секрет. Однако, можно рассмотреть и любой другой способ: доверенный телефон, асимметричную криптографию с PGP. Плюсы и минусы каждого подхода, думаю, очевидны. Тем не менее, на уровне концептуальном, это всё же очень важный момент: предрасшаренный секрет используется исключительно для аутентификации, и ни для чего больше. Например, он никак не используется для «аутентификации» в смысле распознавания кубитов, которые были посланы Алисой (чувствуете тонкую разницу между двумя смыслами слова «аутентификация»?). Т.е., Бобу абсолютно всё равно, кем были посланы кубиты. Мерит их он одинаково, а выводы делает совсем постфактум. В других же протоколах (судя по вашему описанию шумовой криптографии) предрасшаренный секрет служит ещё для чего-то.


Да, вот этот шаг верный. Кончается один сеанс передачи данных, потом начинается другой, который нужно аутентифицировать данными с предыдущего. В этом смысле оно и становится key growing. Тем не менее, концептуально на предрасшаренный секрет ничего не завязано — этот момент важный, если вы хотите прояснить связь и отличие шумовой криптографии от квантовой. В QKD считается, что всё, что находится между Алисой и Бобом, «заполнено Евой». Ева может делать всё, что хочет: заменить оптоволокно на своё собственное, менять шумы, вбрасывать, слушать всё, что передаётся по аутентифицированному каналу, но ничего из этого ей не поможет: она либо сорвёт канал связи, либо не сможет повлиять на его безопасность. Все эти смыслы вкладываются в слово unconditional.

Тем не менее, можно было бы вообразить себе и другую, менее универсальную схему: считать, что длина оптоволокна фиксирована. Считать, что там есть определённый шум и его уровень. Наложить какие-то ограничения на то, что Ева может и не может делать (вопрос их реалистичности для практических применений пока не обсуждаем), это бы дало какой-то иной протокол, и он бы даже мог потенциально работать, теоретики могли бы в рамках каких-то допущений даже доказать его безопасность. А Макаров Ева могла бы прийти, выдернуть шнур, заменить его своим и посмеяться над моделями теоретиков. QKD тем и привлекло внимание к себе, как к концепту, что там абсолютно бескомпромиссная безопасность: пацан сказал — пацан сделал никаких ограничений на Еву, полный ноль, между QKD-лабораториями Алисы и Боба она вольна делать всё, что угодно.


Можно, если бы QKD развивали так же, как шумовую криптографию с длинным перечнем того, что может и что не может делать Ева. Что такое «классичееский» рипитер? Это Ева в канале между Алисой и Бобом — с точки зрения изначального QKD-протокола и его идеологии это именно так. Если вы хотите померить кубиты и переизлучить их, вы вносите шум и можете узнать информацию о том, что в кубитах пересылалось. Если рипитер не сильно возмущает среду, то Алиса с Бобом, возможно, смогут установить безопасный QKD-канал связи, как и ранее (считая рипитер допустимым шумом в канале), только вот вопрос эффективности усиления сигнала таким усилителем будет под большим вопросом. По всей видимости, такие классические рипитеры, которые укладываются в допустимую долю шума в канале (т.е., когда QKD-канал установить ещё можно), малоэффективны, и поэтому про них ничего не слышно. Но опять же, мы могли бы завязаться на тот факт, что у нас оптоволокно имеет определённую длину, что там обязательно стоит по середине репитер, и мерить отклонения от этого уровня шума, приняв его за ноль, но кому нужна такая модель? Ева всегда может вместо используемого оптоволкна положить своё, залезть в рипитер или ещё как-то модифицировать канал так, чтобы «эффективно нулевой уровень шума» не был повышен. В общем, не взлетит.

Что касается настоящих рипитеров, «квантовых»,* то, во-первых, они работают поверх несколько других QKD-протоколов, как мне намекнули. Там скорее что-то типа E91 будет, чем BB84, поскольку необходимо нужна запутанность (никакой запутанности в BB84 нет). Во-вторых, условия на рипитеры остаются в точности теми же, что и ранее: никакого доверия к среде между Алисой и Бобом. Если там стоит идеальный квантовый рипитер, имеем всё ту же нулевую ошибку после процедуры согласования для идеального канала, а все ошибки списываем на атакующего. Для нас как бы всё равно, что было: ноль затухания или куча потерь в канале, но с наличием рипитера между Алисой и Бобом, этот шум компенсирующим, — с точки зрения протокола ситуации эквивалентны.


Я пролистал, но не вчитывался в работу. Сходу кажется, что ничему вышенаписанному это всё-таки не противоречит. Т.е., имеется квантовый канал в наличии ⇒ можно сделать USAE.


Вот я и хотел сказать, что если на Еву не налагать никаких дополнительных условий (всё пространство между лабораториями Алисы и Боба подконтрольно Еве), то Ева всегда может добиться того, что у неё будут в точности те же биты, что и у Боба. Я не вижу, каким физическим принципам это будет противоречить (можно грубо считать, что Ева транслирует в лабораторию Боба всё, что захочет, любые шумы и данные, поэтому знает, что в итоге у Боба получится). Насколько я понимаю, предрасшаренный ключ между Алисой и Бобом тут тоже не поможет.


2n бит, чтобы затерять n бит, как утверждается в цитате — это уже неплохо, даже очень неплохо. Это ещё не экспоненциальный рост.


... если мир классический. :)


Трудно не согласиться. С другой стороны, не хочется сильно тратиться на ловлю рыбы там, где её нет. Конечно, всегда лучше разобраться со всем самому, но время — это тоже ресурс. В данном случае я «мечусь» между двух огней: меж вас, как сторонника шумового крипто, и коллег, которые его изучали в рамках знакомства с QKD и заявляют, что «безусловной безопасности там нет», и «доказать её принципиально не получится» (понятно, что в эти слова можно вкладывать совершенно разный смысл, но сейчас он более-менее выкристаллизовывается). Вот, очередной раз попытался выступить арбитром, чтобы выяснить, кто из вас прав, а кто виноват нет.**


Сам факт применимости где-то вряд ли бы стал причиной непопулярности. Наверное, вы хотели сказать, что других применений не хватает. Исключительно ради военки протокол будут развивать, пожалуй, только военные, это да.


Можно наклеить на прибор метку «он безопасен», но станет ли он безопасным только от нашей веры в это? Есть модели, а есть реальность. Для нужд теории важны, в том числе, и те модели, которые далеки от реальности; не всё имеет самое непосредственное применение. Когда мы начинаем говорить об условиях на Еву, сразу же возникают вопросы типа «насколько это уместные предположения?». В QKD есть надежда, что Еву выдавят окончательно, в том числе, и из экспериментальных имплементаций, а что делать с шумовым крипто, где надо сразу смиряться с тем, что влияние Евы неизбежно, и модель никогда не будет соответствовать тому, что происходит в реальности? Я немного утрирую, но смысл примерно в этом.


По ссылке unknown'а можно найти замечательную фразу:

It is impossible to construct an unbreakable cryptographically secure hash function. See e.g. [14] for definitions and proofs.

*Как бы получается, что есть «классические квантовые рипитеры» и «квантовые квантовые рипитеры» :). Впрочем, можно назвать квантово-квантовыми по аналогии с водно-водяными реакторами (это те, где вода — и теплоноситель и замедлитель).
**Правильнее было бы сказать «в чём суть аргументов обеих сторон», если быть точным, поскольку истина тут слишком относительна. :)
— Гость (06/06/2013 03:19)   <#>

К слову, сейчас активно развивают такое понятие, как бесшумные усилители в CV QKD, преобразующие когерентные состояния как
| α 〉 → | 〉,
где G — коэффициент усиления. Идеальный бесшумный усилитель сделать невозможно, поскольку его существование противоречит квантовой механике, но можно собрать недетрминистичный усилитель, который будет срабатывать в каком-то проценте случаев. Предполагается, что его вставка в CV QKD-канал может как-то увеличить дистанцию, на которой сможет работать протокол. Тем не менее, никакого убедительного пруфа пока нет, одни идеи. Бесшумный усилитель — пример концепта, который можно вставить в канал, и который, возможно, даст больше пользы от усиления, чем внесёт в него шумов. Заметьте, что подход к трактовке безопасности QKD здесь остаётся стандартным. К слову, было показано, что дополнительный шум в QKD-канале бывает полезен: информация между Алисой и Бобом I(A:B) уменьшается, но не так сильно, как информация Евы I(B:E), поэтому разность (Деветак-Винтер) становится выше. Иными словами говоря, Алиса с Бобом страдают от ухудшения пропускной способности, но Ева страдает непропорционально больше, поэтому итоговая скорость расшаривания ключа между Алисой и Бобом увеличивается.

О бесшумном усилителе уже упомналось, но кратко и искажённо:

Операция, позволяющая увеличить α при как можно меньшем увеличении тепловых фотонов, называется бесшумным усилителем («noiseless amplifier»). Предполагается, что новые протоколы QKD в непрерывных переменных с использованием «бесшумного усилителя» позволят увеличить дистанцию передачи информации

В этом тексте немного перемешано тёплое с мягким. Amplification channel — это как раз обычный усилитель, с шумом, но он был бы бесполезен для QKD, так как тепловые фотоны растут вместе с α-ой. Бесшумный же усилитель — это нечто совсем другое, да ещё и недетерминистичное. Какая-то аналогия между ними есть, но путаться не надо, хотя слово «усиление» используется в обоих случаях.
— Гость (06/06/2013 03:39)   <#>

Кстати, можно придумать простой жизненный пример. Представьте, что вы прекрасно знаете SATtva'у по голосу, но не успели с ним обменяться каким-либо ключевым материалом и разъехались в разные концы света. Если вы захотите установить связь, можно было бы позвонить SATtva'е и попросить продиктовать его отпечаток PGP-ключа — это работает, если мы верим в вычислительно-стойкую безопасность, отсутствие эффективных КК и невозможность противника подменять ваш разговор в реальном времени. Но допустим, что первые 2 требования уже не выполняются, но выполняется третье. Напоминаю, что никакого предрасшаренного секрета между вами нет, а противник прослушивает все ваши каналы связи. Так вот, если между вами есть QKD, этого достаточно, чтобы установить шифрованный канал связи с SATtva'ой. Заметьте, что в чисто классическом мире эта задача не имеет решения.
— Гость (06/06/2013 03:54)   <#>

Эх, опять не туда. Не сработало бы, поскольку SATtva предпочитает бронетанковые колонны и автоматичиков классику. По QKD он с вами общатьтся не стал бы, вместо этого он предпочитает убить Еву при попытке подслушать канал. Хотя... кому я это объясняю, вы и сам такой. Это вы только в интернете все добрые, а в жизни при передаче секретов ведёте себя в соответствии с active secret protection.
— Гость (06/06/2013 05:31)   <#>

sentaus тоже. Весь коллектив такой. :(
— unknown (06/06/2013 11:24, исправлен 06/06/2013 12:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

N. Ferguson and B. Schneier. Practical Cryptography. Wiley Publishing, Inc., 2003.


Под руками нет, но вроде когда-то её давно читал, там таких фундаментальных утверждений не было (там были рассмотрены всякие претензии к SHA-2 и попытки её чем-то заменить, ещё до конкурса SHA-3, но без глубокой теории). Обычно в таких случаях ссылаются на невозможность построения полного доказательства существования односторонней функции.



Специально задал вопрос коллегам, они поклялись на крови заверили, что это ЛПП не соответствует действительности.

Подозреваю, что аутентификация просто не так критична, т.к. противник не может её ломать в реальном времени и может быть просто заменена на распознавание голоса или выч. стойкое крипто. Поэтому на неё просто кладут и забивают на практике. В данном типе протоколов. Хотя, если хотите, чтобы было изначально и во всём информационно-стойко — тогда только предрасшаренный ключ и IT-аутентификация.


Представьте, что вы прекрасно знаете SATtva'у по голосу, но не успели с ним обменяться каким-либо ключевым материалом и разъехались в разные концы света.

Так вот, если между вами есть QKD, этого достаточно, чтобы установить шифрованный канал связи с SATtva'ой.


  1. unknown — SATtv'e: посылает n блоков по шумовому каналу: B{0…255}, B{256…511}B{n•256…n•256+255}
  2. Sattva — unknown'u: диктует суммы на основе экстракторов принятых блоков H0 (B{0…255}), H1 (B{256…511}), … Hn (B{n•256…n•256+255}).
  3. unknown — SATtv'e: диктует список неверно принятых кодов.
  4. Из совпавших блоков обе стороны экстрактором выводят общий ключ.

Заметьте, что в чисто классическом мире эта задача не имеет решения.

Ну, т.е., если вы доверяете голосам и отпечаткам, то абсолютно стойкая аутентификация ни в каком протоколе тогда не нужна: ни в вычислительном, ни в шумовом, ни в квантовом.


В чём разница между классическим и квантовым миром конкретно по этому пункту?


По поводу того, что в квантовом канале лучше обоснованы требования к среде — согласен.


Например, он никак не используется для «аутентификации» в смысле распознавания кубитов, которые были посланы Алисой (чувствуете тонкую разницу между двумя смыслами слова «аутентификация»?). Т.е., Бобу абсолютно всё равно, кем были посланы кубиты. Мерит их он одинаково, а выводы делает совсем постфактум. В других же протоколах (судя по вашему описанию шумовой криптографии) предрасшаренный секрет служит ещё для чего-то.

Т.е. все попытки Евы вмешаться автоматом записываются в шум, что не так в шумовой криптографии?
И есть универсальная модель, которой пофиг на все свойства канала? В этом вся разница?


Кстати, этот диссер меня всё-таки удивил: filehttp://www.is.titech.ac.jp/~ch.....t/Por_Phd-thesis.pdf Там и квантовое шифрование и квантовая асимметрика и аутентификация и различие между классическим и квантовым одноразовым блокнотом и прочими информационно-стойкими алгоритмами.



Вот этого я и не понял, если честно. Похоже, речь о разных задачах — может это недостаточное условие. Мне казалось, что для IT-AONT нужно что-то порядка 2nn или ( 2n )n (гамма на шифрование и на хранение XOR-результата и по гамме на IT-перемешивание каждого бита в шифртексте, чтобы не знать, где он находится), что близко к определению японцев по ранней ссылке. Так бы получился IT-AONT, который можно было бы пошифровать обычным алгоритмом с секретным ключом. Вот тогда знание открытого текста дало бы ничтожно мало информации для криптоанализа противником.

— SATtva (06/06/2013 15:06)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4110
SATtva предпочитает бронетанковые колонны и автоматичиков классику.

Это было давно и неправда. :Р
— Гость (06/06/2013 18:52)   <#>

Вопрос на миллион долларов: и почему же это невозможно?
— Гость (06/06/2013 19:46)   <#>

Из совпавших блоков все три стороны экстрактором выводят общий ключ.

Fxd. :) Работать будет.


Возможно, но с другими протоколами я даже на уровне QKD никогда не разбирался, вам виднее.


Видимо, ни в чём.


Да, по результатам обсуждений у меня сложилось именно такое мнение. Могу ошибаться, сам я работы по шумовой криптографии почти не изучал. Главный упрёк, как я понимаю, в том, что в шумовой криптографии, в её практической эксплуатации, противник потенциально всегда может добиться того, что

нет независимого от сторон (и разного для них) шума внешней среды, который включается в совместно вырабатываемую гамму и делает её разной для всех троих.

А это, между прочим, ключевое требование. Нет этого требования — нет никакого доказательства безопасности вообще. Грубо говоря, Ева будет знать либо всё, что получил Боб, либо всё, что посылала Алиса.


Да.


Может, не только, но я пока вижу только это. Впрочем, это достаточная и существенная разница, почему — я выше уже пояснил.


Агрессивно настроенные квантовые криптографы могли бы вам сказать, что в шумовой криптографии требования к среде «вообще необоснованы» и были бы по-своему правы. Под обоснованием можно разные вещи понимать: чёткость формальной математической модели, соответствие модели реальной физике и реальным условиям и т.д.


С такой прягой группой поддержки было бы трудно не удивить: Реннер, Жизан, Видик, Дунько, Маурер (первых четырёх знаю лично). Кстати, символично, что в этом диссере я не вижу ничего про шумовую крипторафию. Вот как только хороший уровень работ и известные лица, так сразу молчок про шумовую. Может быть, я слеп? Всё, что нашёл — это косвенное упоминание на стр. 18:

In 1984 Bennett and Brassard [BB84] proposed a quantum key distribution protocol, which was shown in subsequent work to achieve perfect security [May96, SP00, Ren05].

Ссылка May96 — на что-то шумовое. Если они разработали столько полезным примитивов для шумовой криптографии, странно, почему они не говорят о применении их в ней.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3