סודיות מושלמת

בתורת האינפורמציה ובקריפטוגרפיה, סודיות מושלמת (perfect secrecy) היא מונח המאפיין שיטת הצפנה בלתי ניתנת לשבירה, גם אם מנתח הצופן או היריב הוא בעל עוצמת מחשוב בלתי מוגבלת וגם אם ברשותו מחשב קוונטי. זאת משום שבהינתן הטקסט המוצפן, פשוט אין בידי היריב מספיק מידע כדי לחלץ פרט מועיל כלשהו אודות הטקסט המקורי, לכן יירוט ההודעה המוצפנת לא תורם לו דבר. במילים אחרות מניתוח הטקסט המוצפן עולה שכל טקסט גלוי היה יכול להיות המקור במידה שווה. ההוכחה הפורמלית למונח מסתמכת על תורת ההסתברות. המונח הוטבע לראשונה על ידי קלוד שאנון ב-1949 במאמר[1] הנחשב לפורץ דרך בתולדות ההצפנה המודרנית.

סכימת הצפנה המוכחת כבטוחה מהיבט של תורת האינפורמציה, אינה מסתמכת על השערות או בעיות מתמטיות פתוחות. דוגמה למערכת כזו היא פנקס חד פעמי שהוא פשוט בתכלית. המסר מוצפן על ידי חיבור עם מחרוזת אקראית סודית באורך זהה, סיבית אחר סיבית ב-XOR. החסרון העיקרי בצופן מושלם הוא חוסר יעילותו, מסיבה זו הצפנים המודרניים אינם נחשבים כבטוחים באופן מושלם. זוהי למעשה מעין פשרה, כי ביטחונם נמדד במונחים של סיבוכיות הזמן הדרוש כדי לפרוץ אותם. צפנים מושלמים שימשו בעבר ועדיין משמשים במקרים נדירים, כמו למשל למשלוח הודעות דיפלומטיות רגישות או הודעות צבאיות בעלות סיווג ביטחוני גבוה. השמועה גורסת שקו הטלפון האדום בין וושינגטון ומוסקבה מאובטח באמצעות פנקס חד-פעמי, כאשר את הפנקס מעבירים באמצעות בלדר צבאי. כמו כן הסברה היא שתחנות המספרים נועדו לשידור מסרים למרגלים ברחבי העולם בגלי רדיו קצרים, המוצפנים באמצעות פנקס חד-פעמי.

הגדרה פורמלית

לצורך ההגדרה הפורמלית של סודיות מושלמת יש צורך להגדיר מספר מושגים בסיסיים[2]. אלגוריתם הצפנה מורכב משלושה אלגוריתמים;

  • אלגוריתם הכנת מפתח Gen שמפיק מפתח הצפנה מתוך מרחב המפתח באופן הסתברותי בהתפלגות מסוימת, בדרך כלל התפלגות אחידה.
  • אלגוריתם הצפנה Enc שמקבל כקלט ו-, מצפין את עם המפתח ומחזיר את . באופן פורמלי . יש לציין שאלגוריתם ההצפנה יכול להיות הסתברותי במובן שעבור אותו מסר ואותו מפתח יכול להיות פלט שונה בכל הרצה של האלגוריתם. כדי להבדיל בין שני המקרים יש כאלו שמסמנים את ההצפנה ההסתברותית: .
  • אלגוריתם פענוח Dec הוא אלגוריתם דטרמיניסטי שמקבל את ואת ומחזיר תמיד את שהוצפן עם .

ההנחה היא שהאלגוריתם שלם במובן שתמיד מתקיים בהסתברות 1. במילים אחרות

.

עבור כל מפתח מסמנים את ההסתברות שהמפתח שנבחר על ידי האלגוריתם Gen הוא בביטוי . באותו אופן, ההסתברות שטקסט גלוי ספציפי יישלח היא וההסתברות שטקסט מוצפן כלשהו יופק על ידי האלגוריתם היא . יש לציין ראשית, שהתפלגות הטקסט הגלוי נפרדת ובלתי תלויה בהתפלגות המפתח . יתרה מזו, המפתח נקבע ומשותף לשני הצדדים לפני שנודע מהו הטקסט הגלוי. בנוסף יש לציין שההנחה היא שההתפלגות של ידועה. המתקיף או מנתח הצופן, אינו יודע בוודאות איזה טקסט גלוי יישלח אחרת אין כל טעם בהצפנה. לעומת זאת יש בידו מידע כללי בהסתברות מסוימת לגבי הסיכויים שטקסט מסוים יישלח לעומת טקסט אחר. לדוגמה עשוי להיות מצב שהמתקיף יודע שהטקסט הגלוי "attack tomorrow" יישלח בהסתברות של שבעים אחוז לעומת "don't attack" בהסתברות של 30 אחוז. לכן וכן . ללא הגבלת הכלליות ההנחה היא שההתפלגויות תמיד גדולות מאפס.

ההגדרה האינטואיטיבית של סודיות מושלמת היא שבהינתן יריב שידועה לו התפלגות הטקסט הגלוי, כלומר יודע מהי ההסתברות שטקסט מסוים יישלח ומגיע לידיו טקסט מוצפן כלשהו, באופן אידיאלי, ראיית הטקסט המוצפן אינה משפיעה על ידיעתו המוקדמת. במילים אחרות, עבור כל טקסט גלוי ההסתברות שהוצפן אינה משתנה גם לאחר שהיריב ראה את הטקסט המוצפן. והדברים נכונים גם אם היריב בעל עוצמת חישוב בלתי מוגבלת.

בניסוח פורמלי: סכימת הצפנה מעל מרחב המסרים תקרא בעלת סודיות מושלמת אם ורק אם עבור כל התפלגות של , כל טקסט גלוי וכל טקסט מוצפן מתקיים:

.

הכוונה היא שההסתברות שיתקבל מסוים בהינתן מסוים שווה להסתברות שיתקבל ללא ידיעת .

הוכחה: נתונה התפלגות מסוימת של ונתונים ו-. אם מכפילים את שני האגפי המשוואה האמורה ב- מתקבל

.

לפי חוק בייס האגף השמאלי שווה בדיוק ל- לכן ולכן הצופן מושלם. הדברים נכונים גם בכיוון ההפוך.

שאנון הוכיח שכדי שצופן יקרא מושלם חובה שאורך מפתח ההצפנה יהיה לפחות כאורך הטקסט המיועד להצפנה. בניסוח פורמלי:

.

ההוכחה לכך היא נניח שהתנאי האמור לא מתקיים ו-. יהי קבוצת כל המסרים האפשריים שהם פענוח אפשרי של . כלומר

היות שפונקציית הפענוח דטרמיניסטית, עבור כל מסר קיים לפחות מפתח אחד כך שמתקיים מזה נובע . בהנחה ש- נכון בהכרח קיים שאינו נמנה עם . אבל

,

מה שמפר את הסודיות המושלמת של הצופן. מזה אפשר להסיק שכל מערכת הצפנה שבה מפתח ההצפנה קטן מהטקסט הגלוי אינה יכולה להיקרא מושלמת בשום אופן. יתרה מזו אפשר להוכיח גם שכדי שההצפנה תהיה מושלמת לא ניתן להשתמש באותו מפתח להצפנת שני מסרים או יותר.

משפט שאנון

במאמר המפורסם מ-1949 הניח קלוד שאנון את היסודות לתורת האינפורמציה וההצפנה המודרנית. מהיבט של תורת האינפורמציה, בהינתן סכימת הצפנה מעל מרחב המסרים כך שמתקיים (כלומר אורכי הקלט, הפלט והמפתח זהים). הצופן יקרא בעל "סודיות מושלמת" אם ורק אם:

  1. כל מפתח נבחר על ידי האלגוריתם Gen בהתפלגות .
  2. עבור כל ועבור כל , קיים מפתח יחיד כך שמתקיים .

האינטואיציה מאחורי משפט זה היא, אם הצופן מקיים את התנאי השני אז כל טקסט מוצפן נתון יכול להיות תוצאת הצפנה של כל טקסט גלוי אפשרי. זאת משום שעבור כל טקסט גלוי קיים מפתח שממפה אותו ל-. בשילוב העובדה שמפתח אחד בלבד ממפה את ל- ולפי התנאי הראשון שכל מפתח נבחר בסיכויים שווים אפשר להוכיח שהצופן מושלם כמו בפנקס חד-פעמי. מצד שני אם אז קיים בהכרח רק מפתח אחד הממפה כל ל-. אחרת, או שקיים שלא ממופה לאף או שקיים שממופה על ידי יותר מ- אחד ל-. מה שמפר את הגדרת הסודיות המושלמת. לכן, בהכרח סיכוייו של כל מפתח להיבחר שווים, אחרת טקסט גלוי כלשהו יהיה בעל הסתברות שונה מהאחרים. מכאן התנאי הראשון.

פנקס חד פעמי

ערך מורחב – פנקס חד פעמי

דוגמה להצפנה בעלת סודיות מושלמת ניתן לראות בשיטת הפנקס החד פעמי. בשיטה זו, מייצר המצפין סדרת סיביות אקראית שאורכה כאורך ההודעה אותה הוא מעוניין להצפין, ומבצע XOR או חיבור מודולרי על שתי ההודעות. ניתן להוכיח שאם סדרת הסיביות אקראית באמת, שיטת הצפנה זו סודית בצורה מושלמת. (בהנחה שאין משתמשים בפנקס להצפנת יותר מהודעה אחת – ומכאן חד-פעמיותו)

לשיטה זו שני חסרונות עיקריים:

  1. ראשית, על מנת שההסתברויות הנדרשות יהיו שוות באמת, יש צורך בייצור סדרות מספרים אקראיות באמת, בעוד שמספרים אקראיים המיוצרים על ידי מחשבים הם מספרים פסאודו אקראיים בלבד. (ולכן ניתנים לניבויו של היריב)
  2. הפנקס החד פעמי חייב להיות ארוך לפחות כמסר הנשלח, מה שהופך את ייצורו והעברתו הבטוחה למען קשים ביותר. יש להעיר שחסרון זה אינו מפתיע כיוון שלמעשה, ניתן להוכיח שעבור כל מערכת הצפנה מושלמת, קבוצת המפתחות גדולה לפחות כקבוצת ההודעות המוצפנות האפשריות, וזו בתורה גדולה לפחות כקבוצת ההודעות המקוריות האפשריות.

הערות שוליים