העברה עלומה

פרוטוקול קריפטוגרפי

בקריפטוגרפיה, העברה עלומה (Oblivious Transfer, בראשי תיבות OT) הוא פרוטוקול קריפטוגרפי המאפשר לשחקן אחד לשלוח סוד אחד מתוך כמה סודות לשחקן שני, באופן שמה שהתקבל בצד השני נותר נעלם מידיעתו. ומצד שני השחקן השני מקבל בדיוק סוד אחד בלבד מתוכם. הפרוטוקול הראשון להעברה עלומה, שהומצא על ידי פרופסור מיכאל רבין דן בסוגיה איך להעביר סוד אחד לצד השני באופן שהשולח יודע אם הוא התקבל בצד השני בהסתברות 1/2 בלבד, כלומר הדבר "נעלם" מידיעתו האם המידע התקבל או לא ומכאן שם הפרוטוקול.

פרוטוקול זה עונה על בעיה הנקראת בעיית העברה עלומה: כיצד להעביר או להחליף פיסות מידע תוך חשיפה מינימלית ובאופן שאף צד אינו נהנה מיתרון כלשהו על הצד השני. למשל במקרה של העברה עלומה בין שני שחקנים, להבטיח שכל שחקן יפעל בהגינות וימלא אחר הוראות הפרוטוקול ולא ינטוש אותו מייד כשיגלה את הסוד שהוא מעוניין בו. בעיה זו של אילוץ הגינות בנוכחות שחקנים מושחתים, נחשבת לבעיה יסודית בקריפטוגרפיה מתקדמת וקשורה קשר הדוק עם בעיה כללית יותר, הידועה כאחת הבעיות החשובות בקריפטוגרפיה שלה השלכות רבות והיא חישוב רב משתתפים בטוח. היא טובה למשל בפתרון סוגיות כמו מסחר אלקטרוני בטוח, מכירה פומבית דיגיטלית, הצבעה דיגיטלית, חוזה והטלת מטבע דיגיטליים, שיתוף סוד, מידוד והשוואת נתונים ועוד.

היסטוריה

עריכה

במאמר מאת סטיבן ויסנר (Stephen Wiesner), שפורסם ב-1983 (אף על פי שנכתב ב-1968), מתואר מושג קידוד מזווג (Conjugate coding) ככלי אלגברי ליישום קוד תיקון שגיאות קוונטי. מה שהיווה בסיס ל-CSS - אלגוריתם תיקון שגיאות קוונטי שפותח על ידי שור וקלדרבנק ב-1995. הרעיון של ויזנר שקול להעברה עלומה 1 מתוך 2 המתוארת להלן, אם כי ויזנר עצמו לא התייחס בזמנו לנושא מהיבט קריפטוגרפי. מאוחר יותר עלה רעיון ניצול מושג זה לצורכי קריפטוגרפיה ואומץ השם "העברה עלומה".

הקשר המעשי לקריפטוגרפיה הועלה לראשונה על ידי מיכאל רבין, שפרסם ב-1981 מאמר "איך להחליף סודות עם העברה עלומה", בו הוא מתאר פרוטוקול המתמודד עם בעיה שהועלתה בפניו על ידי ריצ'רד דמילו (Richard DeMillo) והיא כדלהלן: אליס ובוב מחזיקים כל אחד בסוד משלו, סודות שאותם הם רוצים להחליף ביניהם, אולם אין ברצונם שאחד מהצדדים יהיה מסוגל לראות את הסוד הנשלח אליו, בטרם קיבל הצד השני את הסוד שלו בשלמותו, היות שהם אינם סומכים זה על זה וקיים חשש בלבם שהצד השני עלול לנטוש את הפרוטוקול מבלי לסיימו, מיד לאחר שיעלה בידו לגלות את הסוד בו הוא מעוניין בשלמותו. רבין הראה שהדבר אפשרי. פתרונו של רבין הוא שהשולח יעביר את סודו למקבל רק בהסתברות של חצי. כלומר השולח לא יוכל לדעת בוודאות אם הסוד אכן התקבל בצד השני או שמא התקבל מידע חסר משמעות, עד שיושלם הפרוטוקול במלואו. פרוטוקול רבין מנצל הצפנת מפתח ציבורי כגון הצפנת רבין או RSA.

אף על פי שפרוטוקול רבין (המתואר להלן) אינו שימושי במיוחד כשלעצמו, הוא מהווה אבן יסוד לאחת מהבעיות הקריפטוגרפיות החשובות בעיית חישוב רב-משתתפים בטוח (בקיצור MPC). משל המסביר היטב את בעיית MPC הוא בעיית המיליונרים: כיצד יכולים שני מיליונרים סקרנים להעריך מי מהם עשיר יותר, מבלי לגלות מהו הערך המדויק של נכסיהם? העברה עלומה יכולה לשמש בסיס לחישוב רב-משתתפים באופן שאף משתתף לא יוכל ללמוד מתוצאת החישוב מאומה בנוגע לסודם של האחרים מעבר לנחוץ.

במאמר משנת 1985, שמעון אבן, עודד גולדרייך ואברהם למפל (מכון ויצמן למדע), הרחיבו את הרעיון של רבין לפרוטוקול הנקרא העברה עלומה 1 מתוך 2. הפרוטוקול שלהם מצוין בתור תת-פרוטוקול במערכת חישוב רב משתתפים. בפרוטוקול זה שחקן אחד מעביר סוד אחד בדיוק מתוך שני סודות בני הגדרה לשחקן השני, כאשר השולח אינו בטוח איזה משניהם התקבל. כלומר הסוד (הראשון או השני) מתקבל בהסתברות של חצי. גם מימוש פרוטוקול זה מסתמך על הצפנת מפתח ציבורי. למעשה הפרוטוקול של רבין וזה של אבן, גולדרייך ולמפל שקולים, כפי שהוכח על ידי Claude Crepeau. כלומר אפשר להכין מכל פרוטוקול העברה עלומה 1 מתוך 2, פרוטוקול העברה עלומה של סוד אחד על ידי שמגדירים את סוד אחד משניהם להיות ערך אקראי חסר חשיבות.

הגדרה כללית

עריכה

פרוטוקול העברה עלומה מתחלק לשלושה סוגים:

  • העברה עלומה. שחקן אחד מעביר סוד אחד לשחקן השני באופן כזה שהשולח אינו יודע האם הסוד התקבל בצד השני בהסתברות טובה מחצי באופן משמעותי.
  • העברה עלומה 1 מתוך 2. שחקן אחד מחזיק בשני סודות   והוא שולח אותם לשחקן השני שמחזיק בסיבית אחת  . השחקן השני מקבל את הסוד   בלבד כשהסוד השני נעלם מידיעתו לגמרי, בעוד שהשולח אינו יודע מהו הסוד שהתקבל משניהם בהסתברות גבוהה מחצי באופן משמעותי. במילים אחרות הוא אינו יודע מהו  .
  • העברה עלומה 1 מתוך  . השחקן הראשון מחזיק ב-  סודות   ואילו השחקן השני מחזיק בשלם כלשהו   והוא רוצה ללמוד את הסוד  . השחקן הראשון שולח את הסודות באופן כזה שהמקבל רואה רק את הסוד   וכל יתר הסודות נעלמים מעיניו ואילו השולח אינו יודע איזה מהסודות נחשף, כלומר   נותר נעלם מידיעתו.

עקרונית אפשר לבצע כל פרוטוקול העברה עלומה בנוכחות צד שלישי. נניח שקיים צד שלישי, השולח יכול להעביר לו את כל הסודות. המקבל יבקש ממנו לשלוח לו סוד אחד מהם מבלי לחשוף איזה. אם אפשר לסמוך על הצד השלישי אז מושג כאן פרוטוקול העברה עלומה. אולם לא תמיד אפשר לסמוך על הצד השלישי ולפעמים לא ניתן להשיג צד שלישי. הרעיון הוא להחליף את האמון במתווך בקריפטוגרפיה. כלומר למצוא דרך שהשחקנים יוכלו לבצע העברה עלומה מבלי לסמוך על אף אחד, כולל על השחקנים עצמם. הוכח שאפשר להכין פרוטוקול העברה עלומה מכל תמורה חד-כיוונית (כמו RSA). הרעיון הוא תחילה לבנות את הפרוטוקול לפי מודל שבו השחקנים מוגדרים כהגונים למחצה או "הגונים אבל סקרנים" (honest-but-curious). בעיקרון מדובר על יריבים פאסיביים שממשתתפים בפרוטוקול, הם ממלאים אחר הוראות הפרוטוקול כלשונו אבל מנסים ללמוד מחילופי הדברים משהו שהם לא אמורים לדעת כמו סוד אחר מזה שמגיע להם. במקרה שקיים פרוטוקול העברה עלומה בנוכחות יריבים פסיביים אפשר להמיר אותו לפרוטוקול מלא שמצליח גם בנוכחות יריבים מושחתים על ידי הוכחה באפס ידיעה.

פרוטוקול העברה עלומה מתוך תמורה חד-כיוונית

עריכה

להלן פרוטוקול העברה עלומה תאורטי של סיבית אחת המבוסס על תמורה חד-כיוונית עם דלת צונחת.

קלט השולח:  .

קלט המקבל:  .

  1. השולח בוחר תמורה חד-כיוונית   מתוך משפחה של תמורות חד-כיווניות   ושולח אותה למקבל (במילים אחרות הוא מכין הצפנת מפתח ציבורי כמו RSA עם מפתח פרטי ומפתח ציבורי מתאים ושולח את המפתח הציבורי).
  2. המקבל בוחר באקראי את   ב-  (שלם אקראי באורך   סיביות), מחשב את:   כאשר   נבחר באקראי מתוך   ושולח את   בחזרה.
  3. השולח מגריל שני שלמים  , מחשב את   ושולח למקבל את   עבור  .

כאשר   ו-  הם פעולות החיבור והכפל בחבורה. כעת המקבל יוכל לחשב את הסוד שלו.

פרוטוקול העברה עלומה של רבין

עריכה

בוב ואליס המשתתפים בפרוטוקול מחזיקים כל אחד בסודות   ו-  בהתאמה, אותם הם מעוניינים להחליף ביניהם. הסודות יכולים להיות, למשל, סיסמת גישה לקובץ מוצפן. ההנחה היא שאליס ובוב לא ינסו לעשות שימוש בסוד שהם קיבלו מבלי שהם יהיו בטוחים בוודאות שהסוד נכון (למשל, אפשר להניח שבמקרה של טעות בהקלדת קוד הגישה לקובץ המוצפן, הקובץ יימחק). ולמען הפשטות נניח שהסוד של אליס ובוב הוא סיבית אחת. פרוטוקול EOS של רבין מסתמך על הצפנת מפתח פומבי ועל כן מניח כי ברשות אליס ובוב מפתחות פומביים   ו-  בהתאמה איתם הם יכולים להשתמש הן להצפנה והן לחתימה דיגיטלית. וכן כל מסרי הפרוטוקול חתומים באמצעות מפתח החתימה הפרטי של כל אחד מהם בהתאמה.

מהלכי הפרוטוקול

עריכה
  1. אליס ובוב בוחרים כל אחד בנפרד זוג ראשוניים שונים   וכן   ומכינים מפתחות הצפנה חד פעמיים   וכן  . אליס שולחת לבוב מסר חתום המכיל את   ובוב מחזיר במסר חתום משלו המכיל  .
  2. בוב בוחר מספר שלם אקראי   כאשר   ומחשב את   ושולח לאליס את   ואת:   שהוא הצפנה של המספר האקראי שבחר באמצעות המפתח הפומבי שלו  .
  3. אליס מחשבת את   המקיים   (כלומר אחד מהשורשים הריבועיים של   מודולו  ) ושולחת לבוב מסר חתום המכיל את  .
  4. בוב מחשב את   (הפונקציה gcd מייצגת מחלק משותף מקסימלי). בהסתברות של חצי   או  , על כן בהסתברות של חצי בוב מצליח לפרק לגורמים את   ובמידה וכן יוכל לפענח את המסר המוצפן המכיל את  . בשלב זה אליס אינה יכולה לדעת האם בוב הצליח לגלות את הגורמים הראשוניים של   כיוון שהיא אינה יודעת מהו   שבוב שלח במסר המוצפן בשלב קודם.
  5. שלושת המהלכים האחרונים מבוצעים גם בכיוון ההפוך, כך שבסיכומם ההסתברות שאליס תצליח לפרק את   לגורמים היא   בעוד שבוב אינו יודע האם הצליחה לעשות זאת אם לאו.
נגדיר כעת את הסיבית   כדלהלן:
 
כלומר הסיבית   מייצגת את ידיעתו של בוב לגבי הגורמים הראשוניים של   וכן להפך הסיבית   מייצגת את ידיעתה של אליס לגבי הגורמים הראשוניים של המודולוס  .
  1. כזכור סודם של אליס ובוב הוא סיבית אחת בלבד. בוב מחשב את   ושולח לאליס את  .   מייצג XOR של סודו   עם   המייצג את ידיעתו באשר לגורמים הראשוניים של  . ידיעת   אינה תורמת לאליס דבר על מנת ללמוד את סודו של בוב, כיוון שהיא אינה יודעת האם בוב אכן גילה את הגורמים הראשוניים של  . אליס פועלת באותה הדרך ושולחת לבוב את   הנגזר מ-XOR של סודה   עם  .
  1. בשלב האחרון בפרוטוקול, אליס מצפינה מסר אקראי כלשהו   כאשר סיבית אחת בו היא הסוד שלה   באמצעות הצפנת מפתח פומבי כלשהי:  , היא יכולה לעשות זאת למשל על ידי הצפנת רבין:  , במידה וניתן יהיה לזהות את התוצאה הנכונה מבין ארבע התוצאות האפשריות (למשל על ידי תחילית מוסכמת). אליס שולחת את   לבוב במסר חתום. ובוב פועל בדרך דומה ושולח לאליס הצפנה של מסר אקראי המכיל בתוכו את סיבית הסוד שלו.

הפרוטוקול המתואר מספק מענה לבעיית החלפת סוד האמורה בכך שההסתברות שהצדדים יקבלו את סודם היא  . ברור שאם אחד מהצדדים יחדל מהשתתפות בפרוטוקול לפני שמתבצע השלב האחרון, אף אחד מהם לא יוכל ללמוד מאומה בקשר לסודו של האחר. אם   פירושו של דבר שבוב יכול לפענח את   כיוון שהגורמים הראשוניים של   ידועים לו, אחרת תהיה זו בעיה קשה, כידוע. אם בוב ינסה להשתמש בסוד שקיבל, אליס תדע מכך (שוב ההנחה היא שבוב יעשה זאת רק אם יהיה משוכנע מעל לכל ספק שהסוד   אכן ידוע לו) מה שיאפשר לאליס להסיק מכך מידית מהו הסוד   כיוון ש- . הדברים האמורים נכונים גם להפך. עצם הניסיון לעשות שימוש בסוד מהווה הוכחה לידיעת הסוד המקביל בצד השני. ההסתברות במקרה שהפרוטוקול בוצע בשלמותו שאף אחד מהם לא ידע את הסוד של השני הוא  .

ניתן להרחיב את הפרוטוקול כך שבוב ישלח לאליס בשלב השני שני מספרים במקום אחד והתהליך כולו יתבצע עם שניהם. במקרה כזה ההסתברות לידיעת הגורמים הראשוניים תהיה 3/4. אפשר לעשות זאת עם מספר גדול יותר של ערכים כל עוד מידת הידיעה המושגת על ידי כל אחד מהצדדים לפני השלב הסופי קטנה מכדי שהם יוכלו להשתכנע במידת ידיעתם, כלומר איש מהם לא ייקח סיכון וינסה לעשות שימוש בסוד מבלי להמתין לשלב הסופי. ניתן כמובן לאכוף זאת בכמה דרכים, כמו זו המוזכרת לעיל, באופן שניסיון לעשות שימוש בסוד במידה ואינו הסוד הנכון יגרום לנזק שהמשתתף אינו יכול להרשות לעצמו לספוג.

פרוטוקול העברה עלומה 1 מתוך 2

עריכה

בפרוטוקול העברה עלומה 1 מתוך 2 שהוצע על ידי אבן, גולדרייך ולמפל[1], השולח   מחזיק בשני סודות   ו-  והמקבל   מחזיק בסיבית אקראית כלשהי   והוא מעוניין לקבל את  , מבלי שהשולח יידע מהו  . בעוד ש-  מבטיח כי   קיבל רק סוד אחד מהשניים ששלח. הפרוטוקול מוגדר באופן כללי ללא תלות בסוג ההצפנה. אפשר לממש את הפרוטוקול עם RSA כדלקמן:

  1.   מייצר מפתחות RSA (מודולוס  , מעריך פומבי   ומפתח פרטי  ), בוחר שני מספרים אקראיים שונים   ושולח ל-  את:  .
  2.   בוחר ערך אקראי   וערך אקראי  , מחשב את:   ושולח את   ל- .
  3.   מפענח את   באמצעות המפתח הפרטי שלו  , בוחר ערך אקראי   ושולח ל-  את  , את   ואת   (הסמל   מייצג XOR).
  4. כעת   יכול לחלץ את הסוד   על ידי חישוב   היות ש-  ו-  ידוע לו. כמו כן אפשר לראות ש-  שנשלח אליו במסר 3 שקול ל- .

בהנחה שפונקציית המפתח הפומבי שבחר השולח בטוחה, המקבל   אינו יכול למצוא   כך שהוא ידע מהו   בהסתברות גבוהה יותר מחצי, אם הפרוטוקול הושלם במלואו. כמו כן המקבל   יכול לגלות רמאות בהסתברות של חצי, אם לא קיבל בשלב 3 את  , היות שהוא בחר את   וכאמור   נשלח אליו.

העברה עלומה והערכה עלומה

עריכה

הרעיון הכללי של העברה עלומה מתחלק לכמה סוגים; פרוטוקול העברה עלומה 1 מתוך N שבו אליס יודעת N סודות ומעוניינת לאפשר לבוב לבחור אחד מהסודות שירצה בדרך כזו שהוא לא יידע יותר מסוד אחד בלבד, בעוד אליס לא תדע איזה מהם בוב בחר, וכן פרוטוקול הערכה עלומה המאפשר לאליס ובוב, המחזיקים כל אחד בסודות   ו-  בהתאמה, לחשב פונקציה פומבית   מבלי שאף אחד מהם ילמד לגבי הסוד של האחר מעבר למה שניתן ללמוד מהפונקציה   של שני הסודות (דוגמת בעיית המליונרים לעיל). מוני נאור ובני פנקס (מכון ויצמן למדע) פרסמו ב-1999 פרוטוקולים[2] יעילים המיישמים רעיונות אלו. ביל איילו (Bill Aiello), יובל ישי ועומר רינגולד פרסמו פרוטוקול[3] המשתמש בהעברה עלומה לצורך מסחר דיגיטלי המגן על פרטיות הלקוחות באופן שהמוכר אינו יודע מה, כמה או מתי הלקוח רכש סחורה. סוון לאור (Sven Laur) והלגר ליפמאה (Helger Lipmaa) הציעו פרוטוקול[4] דומה הנקרא Conditional Disclosure of Secrets המשתמש בהעברה עלומה כדי לאפשר ללקוח לרכוש סחורה משרת רק אם ההצעה שהציע תואמת את הרצוי. הפרוטוקול מונע מהשרת לחשוף את הסוד במקרה שההצעה שקיבל עבור הסוד אינה רצויה לו.

ראו גם

עריכה

קישורים חיצוניים

עריכה

הערות שוליים

עריכה
  1. ^ Even S., Goldreich O., Lempel A. (1983) A Randomized Protocol for Signing Contracts. In: Chaum D., Rivest R.L., Sherman A.T. (eds) Advances in Cryptology. Springer, Boston, MA
  2. ^ Oblivious Transfer and Polynomial Evaluation. Moni Naor, Benny Pinkas באתר מכון ויצמן (קובץ PostScript)
  3. ^ Priced Oblivious Transfer: How to Sell Digital Goods. Bill Aiello, Yuval Yishai, Omer Reingold באתר מכון ויצמן (קובץ PostScript)
  4. ^ A New Protocol for Conditional Disclosure of Secrets And Its Applications