关于一次一密完善保密性的反馈意见回复集粹
王勇
(计算机与控制学院,桂林电子科技大学,广西 桂林 541004)
E-mail:hellowy@126.com
摘 要:本文分析了关于对我们提出的一次一密不具有完善保密性观点的反对意见,并且一一指出了其中的错误。
关键词:一次一密,密码学,完善保密,概率,不可攻破
中图分类号:TP309
1. 引 言
仙农(Shannon,又译香农、申农)提出了完善保密的概念,并且证明了一次一密具有完善保密性[1, 2]。 长期以来,一次一密体制都被认为是不可攻破的,并且依然用在高安全性的加密场合,比如外交和军事中。在文献[3,4]中,从不同角度分析了一次一密并不具有完善保密性,并且指出仙农的证明存在错误。一次一密体制要具备完善保密性需要更多的条件,比如明文长度的限制,概率的限定等。通过多名编码可以使得一次一密逼近完善保密[5]。文献[6] 给出了伪装明文长度的方法。文献[7]提出了一种基于概率计算的密码分析方法,并且用于对一次一密进行分析,虽然这种方法只能给出概率的结果,但是具有一定的理论意义。笔者提出的这些问题引起了一定的反响,存在一些反对意见,因此,有必要对这些反对意见进行详细的说明,澄清误解。
2. 反对意见的说明
仙农关于一次一密的错误在此前并未有报道,为了保证这一观点的正确性,笔者对这一问题进行了超过3年的深思,并且通过发表论文,网络公开,向专家征求意见等方式征求批评与反馈,得到国内外许多专家学者的意见,现在将目前为止的一些反对意见整理分类如下:
第一类,对仙农完善保密性定义不是很了解,一些人自己根据自己对完善保密的理解而仅仅根据一次一密具有的一些很好的密码特性认定一次一密具有完善保密性。另外一些人根据自己对完善保密的理解而把问题转换为其他的问题,而这些问题并不和完善保密有必然联系。这类意见的问题在于:首先,这类反对意见不是建立在仙农定义的基础上的,与笔者讨论的仙农问题无关;其次,笔者也强调一次一密依然具有很好的密码特性,虽然它不是完善保密。
第二类,引用某一类证明来证明一次一密具有完善保密性。这类证明借鉴仙农的证明对一次一密的完善保密性进行了详细的论证(注:仙农对一次一密完善保密性的证明非常简短,缺乏详细的过程)。这类证明由于是沿用仙农的方法,一些国内外的密码学教材都采用这类证明,所以,是很值得认真对待的。这类证明如下:
定理:一次一密具有完善保密性。
证明:假设明文M和密文C的长度都是n比特。
那么有P(M = x|C = y) =
P(M = xΛC = y) = P(M = x ΛK = (x⊕y))
= P(M = x)•P (K = (x⊕y)) (K独立于M)
= P(M = x) •2-n (K是n比特长的字串中等概率选择的P (K = (x⊕y) =2-n)
又由于, P(C = y) =∑xP(M = xΛC = y)
=∑x P(M = x) •2-n(∑x P(M = x)=1)
= 2-n。
从而密文是等概率的。
所以
P(M = x|C = y) = = P(M = x)
一次一密具有完善保密性。证明完毕。
文献[8]对此进行了详细的分析,不再赘述。
第三类,认为仙农的证明存在了很久,如果有错误,早就被发现了。这一类的说法是几乎所有的持反对意见的人都要提到的,一些人还加以冷嘲热讽。一些辩论并不是因为一开始反对者找到我错误的证据,而是仙农的大名对比我的年纪资历不够造成的,他们深信我不可能有如此重大的发现,最后才卷入辩论中。对于这一问题,涉及到仙农这一错误具有很强的隐蔽性。我们也进行了深入的分析,这些分析一些读者都反映不能读懂。此外,学术界对凡是涉及到仙农错误的论文持排斥态度,即使被发现也很难发表,笔者发表过程中,许多知名杂志社都是不经过审阅就马上退稿的。一些预印本文库也在没有审稿的情况下直接反对我上传任何关于仙农错误的文章(注:这些预印本文库本身是允许有错误的论文存在的)。不仅仅是笔者的文章,其他作者涉及到仙农的信息论的其他一些局限性的文章也是受到了强烈的排斥。一些专家也是不愿意看这样的文章,不愿意评论。笔者通过反例、对错误的指出,深入详尽的分析尚且被直接拒绝,如果有人只是完成了部分的工作,他们想要发表论文反驳仙农观点是不可能的,所以我也不能排除是否在笔者之前有人怀疑过仙农的观点,或者被拒稿过。仙农的错误非常隐蔽,加上他的论证也不详细,要指出错误所在是非常困难的,而且这个问题涉及到概率论和信息论的局限性,比如一些公式中没有明确强调条件的一致性等一些暗含前提。其实,仙农在一篇反对信息论滥用的文章中,就认为不要一直展示他的信息论,而是要开始批评(Research rather than exposition is the keynote, and our critical thresholds should be raised. Authors should submit only their best efforts, and these only after careful criticism by themselves and their colleagues[9])。但是后人却拒绝他的理论被批评。当然笔者并不是坚称自己正确,而是希望学术界有宽容失败,鼓励批判的氛围。即使担心论文会犯错误,也可以采取许多方法来减少错误的可能性,比如,多请几个审稿人,改进审稿程序,或者把论文张贴在公开的论坛或者其他的地方让论文接受长期的批评和质疑后才正式见刊,问题的真相自然能够清楚。
关于仙农不会犯错误之说,我还要说明的是,仙农的错误还不只一个,只不过如果这个错误都不能得到承认,其他的错误就比较困难,比如关于条件熵的问题、概率值为确定值的问题。
或许有人要说,看来你是故意找香农的茬子,什么都质疑他。其实,我质疑的范围很广泛,比如经济学、法规等我就提出了许多的质疑,对量子不可克隆定理提出了质疑,当然心中还有更多的疑点。
第四类,认为概率是不变的。假如概率是不变的,我们根本不需要证明就可以直接认为一次一密具有完善保密性。这类观点和认为密钥是后于明文产生的,进而明文和密钥独立的想法一样,是对概率论缺乏充分的理解。我们对事物的认识往往是不可靠的,不完备的,有时候虽然事件是确定的,但是由于我们对相关的情况了解不是很清楚,也只能猜测事件发生的概率。比如,在本例子中,我们根据通信的语境,可以获得明文被发送的先验概率。由于我们对明文没有更多的了解,没有更多相关信息,只能权宜地采用根据通信语境得到的先验概率。在获得了密文以后,我们仅仅只根据密文的信息以及明文和密钥的映射关系,试图来获得更多的信息,此时获得的信息照样是不全面的,但是密码分析者并不会放弃,利用这些信息和条件获得了新的明文的概率。如我们上面分析的,得到的明文的概率是等概率。这与先验概率并不一致,因此需要将这些片面的条件下得到的明文概率进行概率的融合和折衷,一般这种折衷会带来概率的改变[10]。
第五类,将密文未知且不固定,随机选取密钥对明文进行加密的情形下的概率分布搬用到密文确定的情况下,这是一种移花接木。明文和密钥的概率的改变就是在密文是确定值的时候发生的。这种移花接木导致的后果当然是明文的后验概率不改变。
第六类,认为对于一次一密体制,明文和密文是无关的,从而具有完善保密性。的确,可能对于任意的密文值,对明文的概率的影响都是一样的,这是一次一密一个很好的密码特性。但是它与完善保密的定义并不等价,笔者在分析中也指出,明文概率的改变是在考虑密文是一个确定的值(即使是未知的)这一条件的时候发生的,这意味着明文概率的改变是受到密码体制的限制而产生的,如果将明文的先验概率看成是考虑密文是一个确定的值,而不是随机变量的情况下的明文概率,此时可以认为一次一密具有完善保密性,但是从仙农举例中得出明文的后验概率为1/n(即等概率的)可以看出,这并不是仙农的本义,而且上面的错误证明中采用的密钥是等概率的也可以看出这不是密码学界的看法(注:上面的第二类的反对意见中的证明在许多教科书,讲义上有,许多反对者也是采用的证明都和这个证明大同小异,可以代表密码学界的普遍看法)。我们在分析中也是强调是密文是一个固定的值这一条件改变了概率。
第七类,直接认为明文都是等概率的,所以一次一密具有完善保密性。这一点似乎和仙农一致,因为仙农得出明文的后验概率为1/n。但是这是明显错误的,因为完善保密要求明文的先验概率等于后验概率,无论那些说法认为是明文的先验概率还是后验概率是等概率的,最终都能得出明文的先验概率是等概率的,这显然不符合事实,因为除非巧合,明文先验概率不会是等概率的。当然,还有人认为仙农本身是认为明文是等概率的,这一点,并不成立,理由如下:第一,仙农并没有要求明文等概率;第二,明文等概率是很难得的情况,让明文等概率情况才完善保密并不具有实际的意义;第三,其他各类证明中没有用到明文等概率这一条件,仙农的证明中也没有用到;第四,还有一些教材上直接指出一次一密在任意的明文概率统计分布下都是完善保密的。
第八类,认为我在英文论文中引用的仙农的证明本身是错误的,而仙农不可能犯这样的错误,更不可能怎么长时间以来没有被发现,由此认为我的论证是没有意义的,因为那不可能是仙农的证明,这一点只需要看仙农的原文就可以核实,为了确定香农的错误,笔者专门找到并且研究了原文。
第九类,是基于对笔者论文的误解,比如我的仅仅考虑某条件,是忽略其他任何条件考虑该条件下的明文的概率。还有的把我仅仅考虑某些条件下得出的概率认定为后验概率。
第十类,认为密钥的生成和明文的生成根本就是两个独立事件,明文的生成在先,然后产生了密钥加密,随后才产生密文,根据这个先后关系断定一些概率关系是独立的。这类问题是值得深思的,密钥和明文的独立性是在加密的时候才成立的,此时密文是随机变量,考虑解密的情况就不成立了,一旦密文是确定的,则明文和密钥具有一一对应的关系,根据反对人的这种先后逻辑,此时是先有密文和密钥,随后才有明文,所以可以认为明文和密钥可能不独立。当然这种逻辑是不对的,概率本身具有权宜性,即使明文是确定的,如果不了解所有的相关的条件,我们也只能得出一个权宜的概率分布,如果按照这些反对人的逻辑,明文应该是确定值,而不上随机变量。这一问题在文献[11]中有深入分析。按照这种逻辑,我们可以认为明文是确定的,而不是随机的,因为明文是最先产生的,而且是一个确定的值。对这种看法做一个严格的说明:无论是根据香农的完善保密的结论,还是根据我的论证,密钥的最终概率都是不相等的,也就是说无论如何,在密文确定的时候,密钥是不等概率的,而且明文也是不等概率的,由于密文确定的时候,明文和密钥的一一对应,进而对应的明文和密钥的概率也是相等的,此时,我们可以发现密文和密钥是统计相关的,而不是独立事件。
第十一类,有一类利用信息理论中的信息熵来证明一次一密具有完善保密性的证明。这一类证明和前面的证明的错误类似,都是将不同的前提下的概率混淆了,笔者也有专门的文章对此进行分析。
由于反对者来自不同层次,还有一些低级错误以及蛮不讲理的在这里就不讨论。
3. 一些疑问说明
有人问为什么要强调密文是固定值这一条件的作用,因为一旦这一条件被考虑的时候,对于一次一密,明文和密钥具有一一对应的关系,它们的相应的概率分布也是一一对应且相等的,此时明文不规则的先验概率分布与密钥的等概率分布就会发生冲突。这种冲突导致的结果是最终需要一种折衷来消除冲突,概率分布就会发生改变,如果我们在证明中利用以前的概率分布,就会导致错误,好比一个桌子的四个脚不齐,放在水平面上就会有一个翘起,如果一定要四个脚都着地,就一定会有变形发生,此时桌子的形状发生了改变,不能再认为它是以前的形状。当我们考虑加密的情况的时候,密文的概率分布实际上是根据明文和密钥的映射关系推导出来的,此时密文的概率分布一般来讲是随机的,不会恰好是某一个固定的值,但是,当我们考虑解密的情况的时候,密文注定是某一个值,即使它可能是密文空间的任一值,但是它的概率分布呈现的特点是某一个值的概率为1,其余的值为0。由于我们根据明文和密钥的概率分布和映射关系得出的密文的概率分布一般不会是集中在某一个固定的值上,两者一般来说都是冲突的,这种冲突导致最初的这些条件不能共存,从而需要折衷。这一问题也给概率论提出了一种新的问题,当条件相互冲突的时候,需要建立相应的理论。
有人认为笔者提到了对于一次一密的明文的先验概率分布、密钥等概率分布和密文是一个固定值的共存的问题,实际上,笔者从来没有认为它们会共存,在一些地方提到的时候,专门用仅仅考虑,不考虑明文的先验概率分布等加以特别注明。另外,笔者也提到这三者同时被考虑的情况,但是,这里不是指它们能够共存,而是指它们同时被考虑的时候,由于冲突的存在,需要折衷。
密钥的后验概率不相等是否说明我们采用的是伪随机数,进而并不是真正意义上的一次一密?实际上并不是如此,我们这里的概率是最终的概率,它综合考虑了包括密钥随机产生和明文的先验概率带来的影响。按照这种逻辑,也可以同样认为除非明文的先验概率是相等的,假如一次一密是完善保密的,根据密文被截获后明文和密钥的一一对应关系,而明文的后验概率等于其先验概率,同样得出密钥采用的是伪随机数。这个问题涉及到比较深的概率理论问题,文献[11]有深入的分析。
4. 结束语
由于在一次一密中,有复杂和隐蔽的条件影响着明文、密钥和密文的概率,加之,概率论和信息论本身也具有一定局限性,导致了各种反对意见的产生。本文说明了对于笔者关于一次一密不具有完善保密性的观点的反对意见,并且逐一进行了反驳,当然鉴于问题的复杂性,笔者还将会对这一错误进行更加深入的分析,引申一些新的问题。到目前为止,尚没有收到驳倒我的观点的反对意见,但是会继续认真地收集、处理和回复所有反对意见,如发现本人错误会负责任地辑文坦呈,也接受专家学者(特别是反对意见提出者)的监督。笔者也对诚心的批评持欢迎态度,无论批评是涉及到语言表达,还是学术性问题。这些批评使得笔者能够进一步增强文章的可读性,使得笔者的进一步分析能够把握读者的心态而让观点深入人心。
参考文献
[1]. Bruce Schneier, Applied Cryptography Second Edition: protocols, algorithms, and source code in C[M], John Wiley &Sons, Inc, 1996.
[2]. C. E. Shannon, Communication Theory of Secrecy Systems[J], Bell System Technical journal, v.28, n. 4, 1949, 656-715.
[3]. 王勇,一次一密的安全性与新保密体制[J],信息网络安全,总第43期,2004年7月,41-43
[4]. 王勇,朱芳来,完善保密的再认识,计算机工程,2007,33(19)
[5]. 王勇,完善保密及其实现[J],计算机安全,2005(05)
[6]. 王勇,朱芳来,一次一密体制的安全性分析与改进,四川大学学报(工程科学版),2007,39(5)增刊:222-225
[7]. 王勇,周胜源,论概率攻击,信息安全与通信保密,2007,(8):39-40
[8]. 王勇. 关于一次一密完善保密证明的错误探讨 [OL]. www.paper.edu.cn, 2007年10月12日. 2007-10-12
[9]. C.E.Shannon.The bandwagon.IEEE Trans.On Information Theory,1956,2:3
[10]. 王勇. 仙农关于一次一密完善保密性的错误确定与分析 [OL]. www.paper.edu.cn, 2007年10月12日
[11]. 王勇. 论概率的相对性 [OL]. www.paper.edu.cn, 2007年8月27日
Discussion on Feedbacks Concerning Perfect Secrecy of One-time-pad
WANG Yong
(School of Computer and Control, GuiLin University Of Electronic Technology, Guilin, 541004, Guangxi Province, China)
Abstract
This paper analyzes opponent views about my viewpoint that the proofs that one-time pad is perfectly secure is wrong, and points out the sticking points of their mistakes one by one.
Keywords: one-time-pad, cryptography, perfect secrecy, probability, unbreakable
作者简介:王勇,男,1977年3月生,湖北天门人,桂林电子科技大学讲师,硕士,毕业于西南交通大学,研究方向:信息安全,密码学、量子信息技术。电话13978357217 07735603917 E-mail: hellowy@126.com wang197733yong@sohu.com
通讯地址:广西省桂林市七星区金鸡路桂林电子科技大学计算机与控制学院 王勇 邮编541004
广西自然科学基金项目(桂科自0640171);现代通信国家重点实验室基金项目资助(基金号:9140C1101050706)
[返回] 计算机科学论坛 →
计算机理论与工程 → 『 安全理论 』 → 关于一次一密完善保密性的反馈意见回复集粹
(订阅本版)
2007/11/6 16:18:00
新浪微博
关于一次一密完善保密性的反馈意见回复集粹
