-- 作者:wangyong77
-- 发布时间:11/13/2007 11:23:00 AM
-- new关于一次一密完善保密性的反馈意见回复集粹
关于一次一密完善保密性的反馈意见回复集粹 王勇 (计算机与控制学院,桂林电子科技大学,广西 桂林 541004) E-mail:hellowy@126.com 摘 要:分析了关于对我们提出的一次一密不具有完善保密性观点的反对意见,并且一一指出了其中的错误。这其中有对完善保密的概念的误解,有的提供了基于概率论和信息理论的证明,这些证明没有考虑到条件冲突导致概率发生的改变,将密文不是固定的情况下的概率分布搬到密文是固定的值情况下,还有其他类似错误看法。同时,还对一些疑问给予了说明。 关键词:一次一密,密码学,完善保密,概率,不可攻破 中图分类号:TP309 1. 引 言 仙农(Shannon,又译香农、申农)提出了完善保密的概念,并且证明了一次一密具有完善保密性[1, 2]。 长期以来,一次一密体制都被认为是不可攻破的,并且依然用在高安全性的加密场合,比如外交和军事中。在文献[3,4]中,从不同角度分析了一次一密并不具有完善保密性,并且指出仙农的证明存在错误。一次一密体制要具备完善保密性需要更多的条件,比如明文长度的限制,概率的限定等。通过多名编码可以使得一次一密逼近完善保密[5]。文献[6] 给出了伪装明文长度的方法。文献[7]提出了一种基于概率计算的密码分析方法,并且用于对一次一密进行分析,虽然这种方法只能给出概率的结果,但是具有一定的理论意义。笔者提出的这些问题引起了一定的反响,存在一些反对意见,因此,有必要对这些反对意见进行详细的说明,澄清误解。 2. 讨论的背景 在笔者前面的文章中,指出仙农证明一次一密完善保密时存在错误。用一个简单的例子来说明:某一次一密体制的明文空间为M={0,1},密文空间为C={0,1},密钥空间为K={ 0,1},密钥等概率随机分布。假设根据当时的事先掌握的信息,已知明文是0的先验概率为0.9,明文是1的先验概率为0.1。后来在这个基础上另外知道密文是0。我们仅仅考虑已知密文情况下明文的概率分布,由于密文是0,根据密钥等概率随机分布以及明文和密钥一一对应的特点,对应的密钥和明文的概率是相等的,所以由密钥等概率可以得出明文等概率,即明文是0的概率为0.5,明文是1的概率为0.5,与明文的先验概率并不一致。在这样的情况下,如果我们要同时考虑不等的先验概率分布和根据密文和密钥等概率分布得出的明文等概率的结果,需要将不同条件下的概率进行折衷融合,融合后,明文是0的概率介于0.5-0.9之间,明文是1的概率介于0.1-0.5之间。此时明文的后验概率不等于明文的先验概率,所以,从反例可以看出,一次一密并不具有完善保密性,除非明文先验概率相等。 在上述例子中,考虑我们已知密文为0,则此时密文的概率是不等的,密文为0的概率为1,为1的概率为0。但是根据明文的先验概率分布,密钥是等概率随机分布的,我们可以很容易得出密文为0和为1的概率都为0.5。我们可以看到密文的概率在不同的条件下是冲突的。 在上述例子中,考虑我们的条件是已知密文为0,明文为0的先验概率为0.9,明文为1的先验概率为0.1,根据明文和密钥在此时的一一对应关系,密钥为0的概率为0.9,密钥为1的概率为0.1。而根据密码体制预先的规定,密钥是等概率的,所以,照样出现了概率冲突。 上述的这种冲突说明,在不同的条件下独自得出的概率可能是相互不一致的,需要融合,我们用局限的条件组合得出的概率各个都不能一致,需要整合起来。仙农证明的错误在于,没有考虑到这些条件不一致性和不可共存性,由于它们不能共存,所以如果我们在证明中坚持把原来的条件带入公式,就会出现错误,因为实际上这些概率经过折衷融合以后发生了改变,已经不是原来的值。实际上这种冲突在当考虑密文是一个固定的值的时候,也就是解密的情况的时候就会发生,但是这种冲突由于其隐蔽性,没有被认识到,导致得出了错误的结论。当然,如果对先验概率有另外一种理解,如果先验概率是密文是一个固定的值的情况下的明文概率,一次一密可能是完善保密的,但是,分析表明这似乎不是仙农的看法。 3. 反对意见的说明 仙农关于一次一密的错误在此前并未有报道,为了保证这一观点的正确性,笔者对这一问题进行了超过3年的深思,并且通过发表论文,网络公开,向专家征求意见等方式征求批评与反馈,得到国内外许多专家学者的意见,现在将目前为止的一些反对意见整理分类如下: 第一类,对仙农完善保密性定义不是很了解,一些人自己根据自己对完善保密的理解而仅仅根据一次一密具有的一些很好的密码特性认定一次一密具有完善保密性。另外一些人根据自己对完善保密的理解而把问题转换为其他的问题,而这些问题并不和完善保密有必然联系。这类意见的问题在于:首先,这类反对意见不是建立在仙农定义的基础上的,与笔者讨论的仙农问题无关;其次,笔者也强调一次一密依然具有很好的密码特性,虽然它不是完善保密。 第二类,引用某一类证明来证明一次一密具有完善保密性。这类证明借鉴仙农的证明对一次一密的完善保密性进行了详细的论证(注:仙农对一次一密完善保密性的证明非常简短,缺乏详细的过程)。这类证明由于是沿用仙农的方法,一些国内外的密码学教材都采用这类证明,所以,是很值得认真对待的。这类证明如下: 定理:一次一密具有完善保密性。 证明:假设明文M和密文C的长度都是n比特。 那么有P(M = x|C = y) = P(M = xΛC = y) = P(M = x ΛK = (x⊕y)) = P(M = x)•P (K = (x⊕y)) (K独立于M) = P(M = x) •2-n (K是n比特长的字串中等概率选择的P (K = (x⊕y) =2-n) 又由于, P(C = y) =∑xP(M = xΛC = y) =∑x P(M = x) •2-n(∑x P(M = x)=1) = 2-n。 从而密文是等概率的。 所以 P(M = x|C = y) = = P(M = x) 一次一密具有完善保密性。证明完毕。 文献[8]对此进行了详细的分析,不再赘述。 第三类,认为仙农的证明存在了很久,如果有错误,早就被发现了。这一类的说法是几乎所有的持反对意见的人都要提到的,一些人还加以冷嘲热讽。一些辩论并不是因为一开始反对者找到我错误的证据,而是仙农的大名对比我的年纪资历不够造成的,他们深信我不可能有如此重大的发现,最后才卷入辩论中。对于这一问题,涉及到仙农这一错误具有很强的隐蔽性。我们也进行了深入的分析,这些分析一些读者都反映不能读懂。此外,学术界对凡是涉及到仙农错误的论文持排斥态度,即使被发现也很难发表,笔者发表过程中,许多知名杂志社都是不经过审阅就马上退稿的。一些预印本文库也在没有审稿的情况下直接反对我上传任何关于仙农错误的文章(注:这些预印本文库本身是允许有错误的论文存在的)。不仅仅是笔者的文章,其他作者涉及到仙农的信息论的其他一些局限性的文章也是受到了强烈的排斥。一些专家也是不愿意看这样的文章,不愿意评论。笔者通过反例、对错误的指出,深入详尽的分析尚且被直接拒绝,如果有人只是完成了部分的工作,他们想要发表论文反驳仙农观点是不可能的,所以我也不能排除是否在笔者之前有人怀疑过仙农的观点,或者被拒稿过。仙农的错误非常隐蔽,加上他的论证也不详细,要指出错误所在是非常困难的,而且这个问题涉及到概率论和信息论的局限性,比如一些公式中没有明确强调条件的一致性等一些暗含前提。其实,仙农在一篇反对信息论滥用的文章中,就认为不要一直展示他的信息论,而是要开始批评(Research rather than exposition is the keynote, and our critical thresholds should be raised. Authors should submit only their best efforts, and these only after careful criticism by themselves and their colleagues[9])。但是后人却拒绝他的理论被批评。当然笔者并不是坚称自己正确,而是希望学术界有宽容失败,鼓励批判的氛围。即使担心论文会犯错误,也可以采取许多方法来减少错误的可能性,比如,多请几个审稿人,改进审稿程序,或者把论文张贴在公开的论坛或者其他的地方让论文接受长期的批评和质疑后才正式见刊,问题的真相自然能够清楚。 关于仙农不会犯错误之说,我还要说明的是,仙农的错误还不只一个,只不过如果这个错误都不能得到承认,其他的错误就比较困难,比如关于条件熵的问题、概率值为确定值的问题。 其实不是整个科学史,就是数学史上,一些优秀的论文和观点被著名的数学家扔进废纸堆的就不少,这些案例还是后来被发现的,到底有多少正确的观点被埋没,应该是远远大于被后来发现的。 或许有人要说,看来你是故意找香农的茬子,什么都质疑他。其实,我质疑的范围很广泛,比如经济学、法规等我就提出了许多的质疑,对量子不可克隆定理提出了质疑,当然心中还有更多的疑点。 第四类,认为概率是不变的。假如概率是不变的,我们根本不需要证明就可以直接认为一次一密具有完善保密性。这类观点和认为密钥是后于明文产生的,进而明文和密钥独立的想法一样,是对概率论缺乏充分的理解。我们对事物的认识往往是不可靠的,不完备的,有时候虽然事件是确定的,但是由于我们对相关的情况了解不是很清楚,也只能猜测事件发生的概率。比如,在本例子中,我们根据通信的语境,可以获得明文被发送的先验概率。由于我们对明文没有更多的了解,没有更多相关信息,只能权宜地采用根据通信语境得到的先验概率。在获得了密文以后,我们仅仅只根据密文的信息以及明文和密钥的映射关系,试图来获得更多的信息,此时获得的信息照样是不全面的,但是密码分析者并不会放弃,利用这些信息和条件获得了新的明文的概率。如我们上面分析的,得到的明文的概率是等概率。这与先验概率并不一致,因此需要将这些片面的条件下得到的明文概率进行概率的融合和折衷,一般这种折衷会带来概率的改变[10]。 第五类,将密文未知且不固定,随机选取密钥对明文进行加密的情形下的概率分布搬用到密文确定的情况下,这是一种移花接木。明文和密钥的概率的改变就是在密文是确定值的时候发生的。这种移花接木导致的后果当然是明文的后验概率不改变。当然也有人辩称是先计算密文非确定情况下的概率,然后利用条件概率计算密文是固定值情况下的概率,实际上,所采用的条件概率并不是这样的,因为这里加入了一个密文是固定的值的条件,这个条件本身复杂,而且也没有办法计算这个复杂条件导致的条件概率,实际上这些人最终是以条件概率的名义,把密文是一个固定的值这一条件去掉了。当然,由于这些条件互相冲突,是否可以使用条件概率也是一个问题,即使使用也必须谨慎。 第六类,认为对于一次一密体制,明文和密文是无关的,从而具有完善保密性。的确,可能对于任意的密文值,对明文的概率的影响都是一样的,这是一次一密一个很好的密码特性。但是它与完善保密的定义并不等价,笔者在分析中也指出,明文概率的改变是在考虑密文是一个确定的值(即使是未知的)这一条件的时候发生的,这意味着明文概率的改变是受到密码体制的限制而产生的,如果将明文的先验概率看成是考虑密文是一个确定的值,而不是随机变量的情况下的明文概率,此时可以认为一次一密具有完善保密性,但是从仙农举例中得出明文的后验概率为1/n(即等概率的)可以看出,这并不是仙农的本义,而且上面的错误证明中采用的密钥是等概率的也可以看出这不是密码学界的看法(注:上面的第二类的反对意见中的证明在许多教科书,讲义上有,许多反对者也是采用的证明都和这个证明大同小异,可以代表密码学界的普遍看法)。我们在分析中也是强调是密文是一个固定的值这一条件改变了概率。 第七类,直接认为明文都是等概率的,所以一次一密具有完善保密性。这一点似乎和仙农一致,因为仙农得出明文的后验概率为1/n。但是这是明显错误的,因为完善保密要求明文的先验概率等于后验概率,无论那些说法认为是明文的先验概率还是后验概率是等概率的,最终都能得出明文的先验概率是等概率的,这显然不符合事实,因为除非巧合,明文先验概率不会是等概率的。当然,还有人认为仙农本身是认为明文是等概率的,这一点,并不成立,理由如下:第一,仙农并没有要求明文等概率;第二,明文等概率是很难得的情况,让明文等概率情况才完善保密并不具有实际的意义;第三,其他各类证明中没有用到明文等概率这一条件,仙农的证明中也没有用到;第四,还有一些教材上直接指出一次一密在任意的明文概率统计分布下都是完善保密的。 第八类,认为我在英文论文中引用的仙农的证明本身是错误的,而仙农不可能犯这样的错误,更不可能怎么长时间以来没有被发现,由此认为我的论证是没有意义的,因为那不可能是仙农的证明,这一点只需要看仙农的原文就可以核实,为了确定香农的错误,笔者专门找到并且研究了原文。 第九类,是基于对笔者论文的误解,比如我的仅仅考虑某条件,是忽略其他任何条件考虑该条件下的明文的概率。还有的把我仅仅考虑某些条件下得出的概率认定为后验概率。 第十类,认为密钥的生成和明文的生成根本就是两个独立事件,明文的生成在先,然后产生了密钥加密,随后才产生密文,根据这个先后关系断定一些概率关系是独立的。这类问题是值得深思的,密钥和明文的独立性是在加密的时候才成立的,此时密文是随机变量,考虑解密的情况就不成立了,一旦密文是确定的,则明文和密钥具有一一对应的关系,根据反对人的这种先后逻辑,此时是先有密文和密钥,随后才有明文,所以可以认为明文和密钥可能不独立。当然这种逻辑是不对的,概率本身具有权宜性,即使明文是确定的,如果不了解所有的相关的条件,我们也只能得出一个权宜的概率分布,如果按照这些反对人的逻辑,明文应该是确定值,而不上随机变量。这一问题在文献[11]中有深入分析。按照这种逻辑,我们可以认为明文是确定的,而不是随机的,因为明文是最先产生的,而且是一个确定的值。对这种看法做一个严格的说明:无论是根据香农的完善保密的结论,还是根据我的论证,密钥的最终概率都是不相等的,也就是说无论如何,在密文确定的时候,密钥是不等概率的,而且明文也是不等概率的,由于密文确定的时候,明文和密钥的一一对应,进而对应的明文和密钥的概率也是相等的,此时,我们可以发现密文和密钥是统计相关的,而不是独立事件。 第十一类,有一类利用信息理论中的信息熵来证明一次一密具有完善保密性的证明。这一类证明和前面的证明的错误类似,都是将不同的前提下的概率混淆了,笔者也有专门的文章对此进行分析。 第十二类,认为笔者的例子太过于简单,太特殊了,因此不能得出客观的结论。并且质疑例子太简单做统计分析的合理性。这是一种简单的误解,由于我们这里是举反例,逻辑上讲,只需要一个反例就可以了。为什么采用简单的例子,主要是为了分析和理解的方便。当然这个例子本身也具有代表性,它不仅仅作为一个反例,在分析中,我们也利用这个例子来观察和发现一些问题,从而说明证明为什么错误。 第十三类,认为通过实验可以证明一次一密具有完善保密性。有人想出一种实验来证明一次一密具有完善保密性,假如根据明文的先验概率生成明文,然后采用随机方法等概率地生成密钥,计算出密文,由此反推明文的概率等于先验概率。这种实验具有很强的隐蔽性和迷惑性,根本原因在于这里的密钥都不是随机的了,虽然它产生是随机的,但是我们进行反推的时候,已经不是随机的了。这种方法在于破坏了条件的随机决定性,比如本来密钥是具有一定的决定作用的,但是这里实际上是让已经决定好的明文的先验概率和密钥概率分布来决定密文概率分布,不是密文来决定明文的情况,当明文是确定的时候,密钥和密文具有一一对应的关系,这种对应的关系使得密钥和密文对明文的概率根本不再具有决定性,而是明文一直保存了先验概率,此时密文和密钥的独立性也不存在。实际上,假如我们根据密文是某一个值,密钥是等概率的,可以直接得出明文是等概率的,当然最终的后验概率要考虑明文的先验概率的影响。当然这里的实验和我们上面提到的移花接木有点类似。这类证明方法本质上说,就是先把明文的先验概率已经决定了,再来利用明文的先验概率得出的密钥和密文的概率分布反推明文的概率,有循环证明的嫌疑,而且本身一些条件被破坏了,比如密文和密钥的独立性。当然也不完全是循环证明,只是把明文的总概率分布直接地设置为先验概率,完全不考虑密码系统和密文确定对明文概率分布造成的影响,并且利用了明文和密钥独立来保证最后针对每一个密文的概率都是等于先验概率。 第十四类,否定笔者提出的各种条件冲突,进而说明自己采用明文和密钥独立情况下计算的概率分布在密文是固定值的情况下依然成立,首先,姑且不说此时密文是等概率随机分布的,与密文是某一个固定的值相矛盾。我们来分析为什么这种情况下密钥的概率好像依然是等概率的,这是因为将不同的密文值采用等概率分布,计算密钥概率的时候,虽然相对于某个明文的概率是不相等的,但是这种掺和的方法使得本来在一个固定的密文的情况下密钥不等概率的事实被中和掉了,所以看不出矛盾,在密文是固定值的情况下密钥本来和明文不独立,但是掺和起来总体上看就是独立的。 第十五类,认为密文是固定的情况就是密文已知的情况,实际上不是这样的,笔者在一些地方还指出是固定且未知,比如密文可能是0或者1,但是,具有排他性,当可能是0的时候,就不可能是1,即P(C=0)=1, P(C=1)=0,或者是相反的情况。这样的情况下和密文不是固定的情况下(比如,P(C=0)=0.5, P(C=1)=0.5)的概率分布呈现不同的特点,所以不能照搬该情况下的概率,可以说后者是前者的一种混合或者是平均,其统计特性已经发生了改变,比如本来密钥和明文相关,但是混合以后这种相关性好像被中和了一样。这种情况有点像量子力学中的量子态。另外还有一种误解,虽然笔者强调要考虑密文是一个固定值的情况,但是,并不是说密文的概率分布不是等概率的,实际上假如密文未知的时候,密文是等概率分布的,但是,作为已经知道密文的情况下,密文不应当当作等概率的来考虑,虽然它有密文等于0和1两种情况,虽然他们的概率都是二分之一,但是我们截获密文的值当作等概率进行加权平均来分析概率分布是不对的。如果采用那种加权平均的混合方法,这只会改变概率分布特点,得出加权平均的概率分布,就会掩盖条件冲突的存在,忽视折衷的必要性,从而出现错误。虽然两个密文的概率相等,但是,在考虑自恰性的时候,必须分开考虑,而不能用联合的概率分布从总体上来考虑,否则会掩饰矛盾,造成一种伪自恰。从另外一个角度说,密文被截获后如果有密文可能是0,就不可能是1,所以不能将密文是1的概率分布也考虑进去,因为它们不能共存,密文是0的情况构成一个自恰的体系,密文是1的情况构成另外一个自恰的体系,由于它们在密文被截获的情况下不能同时发生,所以不能将它们的相应的概率混合起来构成自恰的体系就说明被混合的两种情况都是自恰的。同时也说明,考虑自恰性应当以同时发生的事件和条件为体系,而不能将不同时发生的事件和条件混合起来,这可能会导致自恰性的改变。 第十六类,认为英文论坛上反对的多,所以笔者观点错误,英文论坛之所以能够持续辩论那么久,与语言障碍有关系,但是只要看了论坛的发言,就清楚谁在不停的改变观点,改变观点虽然不直接说明他们错,但是至少也可以说明许多问题,另外,也可以发现谁在犯错误。假如我出错了,辩论显然也不会持续那么久。实际上如果笔者一直是错误的,他们的态度和言辞肯定会越来越过激,但是有许多人退出了讨论,从他们退出前的最后一部分辩论可以看出为什么他们退出,一些人开始引开话题。 第十七,认为我的折衷的看法不对。在极端的情况下,假设明文为0的概率为100%,这种情况下,最后的后验概率应该是明文为0的概率为100%,而笔者则是在先验概率和等概率之间折衷,所以不正确。实际上这个问题与笔者看法并不是矛盾的,笔者提供的折衷算法在这种情况下同样满足,笔者采用的是几何加权平均为基础的算法,上面的折衷考虑的是算术平均的情况。笔者提供的算法还满足交换律、结合律。 第十八,认为密钥的后验概率不是等概率的,因此采用的密钥不是随机数,所以,不符合一次一密的条件。其实,假如一定要求密钥一直是等概率的,则对于固定的密文,明文的后验概率是等概率的,而明文先验概率一般不相等,所以也得出一次一密不完善保密。这种看法本身是错误的,因为密钥的后验概率并不是唯一地由一开始的随机选取的密钥决定。实际上每一次密钥本身是确定的,只是由于我们掌握的知识有限而不能确定而已,一开始由于我们只知道密钥是随机选取的,所以权宜地认为密钥是等概率的,等知道更多的结果,也可以得到更加可靠的认识,好比昨天是否下雨本来是确定的事情,但是如果了解信息不完全,可能会得出不确定的结果。如果我们一定坚持这些概率是初始的概率,冲突就会出现,这一点已经分析过了。 反对意见中,充斥着对一次一密完善保密性的错误的不严格证明或者说明,以及对我的观点的不严格的反驳,反对意见中的许多问题虽然知道错误,但是一开始并不知道原因,一些说法具有很强的迷惑性,所以笔者都一一分析这些问题,从而保证从每一个角度,都不留空子,保证完备的说服力。 由于反对者来自不同层次,还有一些低级错误以及蛮不讲理的在这里就不讨论。 4. 一些疑问说明 有人问为什么要强调密文是固定值这一条件的作用,因为一旦这一条件被考虑的时候,对于一次一密,明文和密钥具有一一对应的关系,它们的相应的概率分布也是一一对应且相等的,此时明文不规则的先验概率分布与密钥的等概率分布就会发生冲突。这种冲突导致的结果是最终需要一种折衷来消除冲突,概率分布就会发生改变,如果我们在证明中利用以前的概率分布,就会导致错误,好比一个桌子的四个脚不齐,放在水平面上就会有一个翘起,如果一定要四个脚都着地,就一定会有变形发生,此时桌子的形状发生了改变,不能再认为它是以前的形状。当我们考虑加密的情况的时候,密文的概率分布实际上是根据明文和密钥的映射关系推导出来的,此时密文的概率分布一般来讲是随机的,不会恰好是某一个固定的值,但是,当我们考虑解密的情况的时候,密文注定是某一个值,即使它可能是密文空间的任一值,但是它的概率分布呈现的特点是某一个值的概率为1,其余的值为0。由于我们根据明文和密钥的概率分布和映射关系得出的密文的概率分布一般不会是集中在某一个固定的值上,两者一般来说都是冲突的,这种冲突导致最初的这些条件不能共存,从而需要折衷。这一问题也给概率论提出了一种新的问题,当条件相互冲突的时候,需要建立相应的理论。 有人认为笔者提到了对于一次一密的明文的先验概率分布、密钥等概率分布和密文是一个固定值的共存的问题,实际上,笔者从来没有认为它们会共存,在一些地方提到的时候,专门用仅仅考虑,不考虑明文的先验概率分布等加以特别注明。另外,笔者也提到这三者同时被考虑的情况,但是,这里不是指它们能够共存,而是指它们同时被考虑的时候,由于冲突的存在,需要折衷,最终原来的概率分布发生了改变。 密钥的后验概率不相等是否说明我们采用的是伪随机数,进而并不是真正意义上的一次一密?实际上并不是如此,我们这里的概率是最终的概率,它综合考虑了包括密钥随机产生和明文的先验概率带来的影响。按照这种逻辑,也可以同样认为除非明文的先验概率是相等的,假如一次一密是完善保密的,根据密文被截获后明文和密钥的一一对应关系,而明文的后验概率等于其先验概率,同样得出密钥采用的是伪随机数。这个问题涉及到比较深的概率理论问题,文献[11]有深入的分析。 一些人以为如果我的文章正确就会很快得到大多数人的认可。为什么王小云能够得到专家认可,而我的文章却遭遇一些反对?这里的原因是多方面的:第一,众所周知,王小云研究hash碰撞,即使不提供理论和破解方法,只需要给出碰撞结果,经过计算机的运算就能验证她的方法的可靠性,而不需要多少人工判别,但是本文涉及到内容却很深,在抽象空间建立测度,是没有什么直接的经验可循的,即使采用某些方法可以检验,但是也不是可靠的,因为结果本身是随机的,而且要取得大量同时满足各种条件下的样本在现实中几乎不可能。第二,对一次一密的理解不正确导致了许多的误解,进而提出反对意见。第三,许多人有点迷信权威思想,好像自己不承认权威就是愚蠢一样,让我想起皇帝的新装。许多的批判者并不是在批评时就认为我某个地方有问题,而是认为我不可能发现错误。许多的批评者并不懂完善保密的概念,大多数批评者也没有看清楚我的论文和香农的原文,关键在于这些人坚持的与香农的结论并不一致,笔者在文章中也专门指出香农认为自己所举例子中明文的后验概率是相等的,但是一些人并没有认识到这一点。第四,关于概率论的许多误解导致了许多具有迷惑性的反对意见,笔者在本文和其他的文章中有分析。第五,毕竟香农是权威,而且一些专家也转述了他的观点,一些人对此都非常谨慎。第六,许多反对者改变命题,以另外一种概念替换完善保密,坚持他们自己的概念是完善保密,使得反对的观点多样化,必须逐一反驳与说服。 当然需要着重说明,移花接木的方法很具有迷惑性,我也曾经一次动摇了一点,是否自己错了,其实仔细进行分析,并且回忆以前的分析,问题就会又明朗起来。一些人不承认一次一密这些条件互相冲突,总是用密文不是固定值时的概率分布来分析问题。其实,假如我们考虑密文是一个固定的值,此时,明文和密钥具有一一对应的关系,相应的明文和密钥的概率相等,假如我们认定密钥是等概率的,此时,明文的概率就是相等的;假如我们认定明文的先验概率分布不变,此时密钥概率与明文的先验概率分布对应,此时密钥概率不等。其实这种冲突说明需要一种折衷。有人也认识到冲突,但是坚持明文概率分布是固定的,但是却拿不出依据来。笔者认为,任何条件都对最终的概率分布具有一定程度的决定作用,最终的结果应该是分别考虑这些条件时的一种折衷。在文献[4]中,笔者分析过一个例子:在断案中,希望判断罪犯是男是女,已经获得关于罪犯的若干信息,这些信息相互独立:第一个信息A表明罪犯是男的概率为c;第二个信息B表明罪犯是男的概率为d。由此可以产生一个命题:仅仅根据上述的2个信息应该最终判断罪犯为男的概率是多少呢?笔者认为是在两个概率之间的一种折衷,显然,同时考虑两个条件比一个条件更加完备,得出的概率更加可靠。这个和一次一密很类似,我们根据事先得出的条件可以推算出一个先验概率,根据密码体制采用的一次一密和密钥等概率,可以推测明文是等概率的。我们最后的后验概率应该在这两个概率之间进行折衷。为什么一次一密概率会冲突,因为它们不是由一个条件所决定的,把条件分为两组,这两组显然都是各自独立的条件,它们各自都可以计算出明文的概率来,由于这两个条件本来不是一个内容,一般而言得出的概率不会不约而同地相等,而是往往会不一致,这时候就需要进行折衷。笔者曾经指出,即使明文的后验概率不变,也不能说明某个条件不提供信息,因为我们知道的条件越多,得出的概率就越是可靠。在一次一密中,明文最终的后验概率的不确定性会增加,信息量会减少,但是,即使如此一个理智的人也会选择后验概率,而不上更加确定的先验概率,这是因为人们会认为信息的可靠性比确定性更具有意义。这一点,那些认为明文的先验概率是不变的人放弃了一些本来可以增加信息可靠性的条件,从而,他们坚持的先验概率可靠性不高。 这一错误的根本原因在于一些人认为某些值,比如一些概率值是完全由一部分条件决定的,所以完全将这些值固定了,比如明文的总的概率分布,并不是完全由先验概率所决定的,但是证明中却只考虑这个,忽视其他的因素带来的影响。这好比刻舟求剑,我们也可以用上面断案的例子,假如我们一定认为罪犯是男是女的概率是由信息A决定的,忽视信息B的存在,这种信息是不完备的,只有综合考虑两者才完备,当然可能还有其他的未知信息,即使综合考虑了两者,概率依然是不完备的,如果是一个已经发生的案件,罪犯的性别应当是确定的,但是由于条件不完备,我们只能做出不确定性的猜测,在密码分析中也是如此,但是我们应当尽量充分考虑所有已知的信息来分析,从而使得结果更加完备和可靠。还可以举一个例子,如果我们事先知道某一班学生迟到的情况,但是某一天下暴风雨,我们依然用平均的概率分布来推算学生的迟到情况,得出的结果将是不可靠的。在一次一密的错误证明中,都是从一个加密者角度来分析概率分布,没有考虑到加密解密是一个复杂的系统,如果从解密的角度来考虑,就会发现问题完全不一样。 我们不说证明中存在错误,即使是考虑明文的概率分布,如果认为密文确定时候明文的概率分布是唯一地由明文的先验概率决定的,这一认识就是不严谨的。因为密码分析者事先并不是知道明文是什么值,他们事先掌握的先验概率本身也只能作为一种权宜的参考,而在得知关于密码体制的信息的过程中,我们可能根据其他的推断来得出更加可靠和完备的明文概率分布的信息,且这一概率分布并不一定等于先验概率分布。 为什么会有五花八门的反对意见,是因为本问题很复杂,我们上面的分析中,用不同的条件就可以得出不同的概率,这种概率都是片面的,不完备的,需要融合。但是一些人不承认冲突的存在,就根据片面的条件进行分析,就会得出各种结论,而且由于本问题很复杂,涉及到概率论尚未解决的一些问题,各种异样的想法都可能出现。实际上,这些问题并不能够说明笔者错误的一个原因在于,它们许多的意见本身都是冲突的,从辩论过程中,这些反对意见不断被反驳,不断改进来看,也说明反对者对问题都还缺乏足够的认识。 已往我们不考虑一些条件和事件的自恰性,直接把条件拿来使用,这些条件之间并不冲突,但是在一次一密的问题中冲突恰好出现了,而且很隐蔽,如果一个三脚的桌子,它的三个脚可以同时着地,但是,一个四脚的桌子,如果每一个脚在设计的时候,不考虑其他脚的尺寸,一般而言是不会同时着地的,这些脚除非是专门设计的,否则必须强制它们着地,必然会带来变形,这样的情况下,我们就不能使用变形以前的尺寸。同样在一次一密中,明文的先验概率分布、密钥等概率分布、密文是固定的值,只能保证两者同时都成立,其值也不改变。但是如果要三者同时成立,必须折衷。当条件增加的时候,这种问题会经常出现,比如,如果是一个一个脚、两个脚、三个脚的桌子,让它们的所有脚都着地是可以的,但是四个脚以上就必须是这些脚的尺寸满足一定的条件,或者说通过其中任意三个脚可以推算出其他脚的尺寸,同样在一次一密中,明文、密钥和密文的概率分布本身可以有其中的两者来决定第三者,如果三者中的任何一个在设定的时候没有考虑其他的两者,一般而言会带来冲突。当然这里的条件能够折衷融合,还在于有些条件是不确定的,比如明文和密钥仅仅知道概率分布,本质上它们的概率值也有更深层次的随机性,可以看成是柔性的条件。这些问题也给概率论的发展提供了机遇。 一些人总是以为可以得出概率分布就万事大吉,实际上,如果这些条件不能共存,不自恰,得出概率分布的基础都已经消失了,得出的值也是片面的,不是后验概率。 为什么要广泛征集意见,特别是在网络上征集反对意见而不是直接投稿?这是出于多方面的考虑,比如,第一,保护版权的考虑,一些事情让我意识到对于这样的问题,版权问题会比较突出,所以,我采取多种措施,包括在相关文章中留下铺垫和缩影、网络发表、留下证据、加急发表、求快而不求好杂志,如果自己不很好保护版权,特别是不让审稿人知道你已经很好保护版权,在评审时将会出于不利地位。第二,这种文章往往会备知名杂志拒之门外,审稿人也是偏向保守,学术界都抱着:“宁可误杀一千,不可漏杀一个。” 的想法,审稿机会都很难给,特别是那些好的杂志。即使审稿,也是审稿人有生杀予夺的权利,审稿人再明显错误,编辑部也是不会沟通一下审稿人的,通过网络辩论,却可以将审稿人可能出现的错误想法在事先进行反驳。第三,辩论能够让问题越来越清楚,真金不怕火炼,只有了解读者可能的想法,才能用相应的思路来说服读者。 一些人要求用公式来计算概率,但是本文的例子并不是可以用概率论来计算的,因为这里涉及到密文是一个固定的值这一复杂条件,而且这里条件互相冲突需要进行折衷,这样的算法概率论是没有提供的。 5. 结束语 由于在一次一密中,有复杂和隐蔽的条件影响着明文、密钥和密文的概率,加之,概率论和信息论本身也具有一定局限性,导致了各种反对意见的产生。本文说明了对于笔者关于一次一密不具有完善保密性的观点的反对意见,并且逐一进行了反驳,当然鉴于问题的复杂性,笔者还将会对这一错误进行更加深入的分析,引申一些新的问题。到目前为止,尚没有收到驳倒我的观点的反对意见,但是会继续认真地收集、处理和回复所有反对意见,如发现本人错误会负责任地辑文坦呈,也接受专家学者(特别是反对意见提出者)的监督。笔者也对诚心的批评持欢迎态度,无论批评是涉及到语言表达,还是学术性问题。这些批评使得笔者能够进一步增强文章的可读性,使得笔者的进一步分析能够把握读者的心态而让观点深入人心。为什么笔者要一再分析一次一密问题,因为它可能是一只会下金蛋的鹅,它涉及到概率论尚未解决的新问题,比如片面条件下概率如何综合成更加完备的概率,概率值本身被当作固定值而不是随机变量的局限性,而且也涉及到信息论的局限性,比如信息的可靠性问题,后验不确定性增加问题,信息表示中概率作为固定值而不是随机变量对待的局限性等。这其中特别是一些本来是随机变量的值被当作固定的值对待,好比一个无底洞,不仅问题很深,而且涉及面广,可以用于发掘许多理论的局限性。 参考文献 [1]. Bruce Schneier, Applied Cryptography Second Edition: protocols, algorithms, and source code in C[M], John Wiley &Sons, Inc, 1996. [2]. C. E. Shannon, Communication Theory of Secrecy Systems[J], Bell System Technical journal, v.28, n. 4, 1949, 656-715. [3]. 王勇,一次一密的安全性与新保密体制[J],信息网络安全,总第43期,2004年7月,41-43 [4]. 王勇,朱芳来,完善保密的再认识,计算机工程,2007,33(19) [5]. 王勇,完善保密及其实现[J],计算机安全,2005(05) [6]. 王勇,朱芳来,一次一密体制的安全性分析与改进,四川大学学报(工程科学版),2007,39(5)增刊:222-225 [7]. 王勇,周胜源,论概率攻击,信息安全与通信保密,2007,(8):39-40 [8]. 王勇. 关于一次一密完善保密证明的错误探讨 [OL]. www.paper.edu.cn, 2007年10月12日. 2007-10-12 [9]. C.E.Shannon.The bandwagon.IEEE Trans.On Information Theory,1956,2:3 [10]. 王勇. 仙农关于一次一密完善保密性的错误确定与分析 [OL]. www.paper.edu.cn, 2007年10月12日 [11]. 王勇. 论概率的相对性 [OL]. www.paper.edu.cn, 2007年8月27日 Discussion on Feedbacks Concerning Perfect Secrecy of One-time-pad WANG Yong (School of Computer and Control, GuiLin University Of Electronic Technology, Guilin, 541004, Guangxi Province, China) Abstract This paper analyzes opponent views about my viewpoint that the proofs that one-time pad is perfectly secure is wrong, and points out the sticking points of their mistakes one by one. Among the opponent views, there were misapprehensions about the concept of perfect secrecy. Some of them gave the proofs based on probability theory and information theory, but the proofs are found to be wrong for they did not take the conflict of the conditions into account which led the change of the probability distributions and replaced the probability distribution when ciphertext was fixed with the probability distributions when ciphertext was a random variable. There are other similar wrong views. Meanwhile, the explanations to some questions are given. Keywords: one-time-pad, cryptography, perfect secrecy, probability, unbreakable 辩论网址 http://groups.google.com/group/sci.crypt/browse_thread/thread/9dcc09ae93f75d51/4050b7dd669416f4?hl=en&lnk=raot#4050b7dd669416f4 http://groups.google.com/group/sci.math/browse_thread/thread/d48b1707d9c09351/1d3e4e0d86de2c0c#1d3e4e0d86de2c0c http://groups.google.com/group/sci.crypt/browse_thread/thread/9bb9d215bb4eb25f/15f678b75b99963d?lnk=raot#15f678b75b99963d http://groups.google.com/group/sci.math/browse_thread/thread/df158aa13e6a94b4/60ae3974453a7620#60ae3974453a7620 http://groups.google.com/group/sci.crypt.random-numbers/browse_thread/thread/7e4aedfb6802a19a/d732a118aaa35b85 http://groups.google.com/group/sci.crypt/browse_thread/thread/9dcc09ae93f75d51/8f33011e5de702b9 The papers can be found at http://www.arxiv.org. 1.http://arxiv.org/abs/0709.4420 Title: Confirmation of Shannon's Mistake about Perfect Secrecy of One- time-pad 2. http://arxiv.org/abs/0709.4303 3. http://arxiv.org/abs/0709.3334 Title: Mistake Analyses on Proof about Perfect Secrecy of One-time- pad 4.http://arxiv.org/abs/0708.3127 Title: Question on Conditional Entropy http://groups.google.com/group/sci.math/browse_thread/thread/df158aa13e6a94b4/0cb700e5358d2d1f Chinese中文有回复的 http://bbs.chinacissp.com/viewtopic.php?t=10878&start=15 http://www.ieee.org.cn/dispbbs.asp?boardID=65&ID=53590 http://bbs.matwav.com/post/view?bid=120&id=760568&sty=1&tpg=1&age=0 http://bbs.matwav.com/post/view?bid=120&id=775797&sty=1&tpg=1&age=0 http://bbs.matwav.com/post/view?bid=120&id=775797&tpg=1&ppg=1&sty=1#776663 http://bbs.matwav.com/post/view?bid=120&id=760575&sty=1&tpg=1&age=0 http://bbs.matwav.com/post/view?bid=120&id=775797&sty=1&tpg=1&age=0 http://www.infosec.org.cn/bbs/index.php?mods=topicdisplay&forumid=3&postid=1103 http://www.infosec.org.cn/bbs/index.php?mods=topicdisplay&forumid=3&postid=1072 http://bbs.chinacissp.com/viewtopic.php?p=55469#55469 http://www.mathmagic.cn/bbs/dispbbs.asp?boardID=12&ID=8151&page=1 http://bbs.sjtu.edu.cn/bbstcon,board,Cryptology,reid,1194521212.html http://bbs.sjtu.edu.cn/bbstcon,board,Cryptology,reid,1194521409.html http://bbs.sjtu.edu.cn/bbstcon,board,Cryptology,reid,1194521308.html http://bbs.sjtu.edu.cn/bbstcon,board,Cryptology,reid,1194521556.html www.paper.edu.cn 作者简介:王勇,男,1977年3月生,湖北天门人,桂林电子科技大学讲师,硕士,毕业于西南交通大学,研究方向:信息安全,密码学、量子信息技术。电话13978357217 07735603917 E-mail: hellowy@126.com wang197733yong@sohu.com 通讯地址:广西省桂林市七星区金鸡路桂林电子科技大学计算机与控制学院 王勇 邮编541004 广西自然科学基金项目(桂科自0640171)
|