我能想到的唯一想法是这样的:具有公共价值的PRNG。运行PRNG一周,然后使用它产生的最终值对消息进行加密。现在,从您公开的种子值开始运行PRNG一周的任何人都可以解密该消息。显然,这很麻烦,因为他们可以使用比您更多的计算能力;如果时间跨度是几年,则适用摩尔定律,等等。
除了将私钥真正地埋在时间胶囊中的USB记忆棒上之外,还有其他类似的东西吗? />
#1 楼
是的。关于“工作量证明”协议或“时间锁定难题”的工作很多。通常,在密码术中,函数易于计算或难以处理。这些协议着眼于难于计算的函数。
要进行定时释放加密,您需要具有以下属性的难题:
困难难题可以根据某些难度参数单调增加
解决难题的最佳算法本质上是顺序的(并行计算无济于事)
解决一组难题的摊销成本与单个难题相同
有一个活板门(快捷方式),可以有效地评估难题
使用定时释放加密技术,其目的是生成一个难题,需要花费一定的时间才能解决。估计一个人的计算能力以及未来的计算能力(例如,摩尔定律)。如您所知,它仅会模糊地表明您将秘密保留多长时间(请参见下面的真实示例)。属性2非常重要,因为添加并行计算很容易,并且很难估计有多少并行化。方法。这些可能是基于在散列函数中找到部分冲突/原像或对小空间(例如比特币)进行详尽搜索,但是在这些示例中使用并行计算来提高速度是微不足道的。还有许多基于内存的难题,需要大量(超过可缓存的)内存访问权限,这是对计算机时间的更可预测的度量。
回到定期发行的加密货币。这个想法是实例化一个难度为$ d $的难题$ p $:$ p = \ mathsf {Puzzle}(d)$。产生难题的人都知道可以有效解决问题的活板门$ t $。然后,此人使用正常的加密功能:$ c_1 = \ mathsf {Enc} _k(m)$在密钥$ k $下加密她的消息。然后,她通过将密钥与难题的解决方案结合起来来释放她使用的密钥的“加密”。请注意,她可以使用活板门$ t $有效地解决难题,但是接收者却不能。她计算:$ c_2 = k \ oplus \ mathsf {Solve} _t(p)$。密文为$ c_1,c_2 $,外加拼图的描述。
要解密,接收者将计算$ s = \ mathsf {Solve}(p)$,这需要花费适度的时间。然后,他通过$ k = c_2 \ oplus s $恢复密钥,然后可以解密$ c_1 $。问题应该在一段时间内保持秘密。
本文中有关Rivest,Shamir和Wagner的最佳建议是提出具有正确属性的拼图。它基于RSA组中的重复平方。最近的结果排除了随机预言模型中任何本质上连续的时间锁定难题(例如,基于散列)。
1999年,里维斯特(Rivest)创建了一个时间胶囊信息,以纪念麻省理工学院计算机科学实验室成立35周年。他谈到了如何设计它需要35年的解密时间。这是一个有趣的阅读。
评论
$ \ begingroup $
有趣。当然,问题在于它不能保证任何人都会解密任何秘密,而只是保证他们可以给定一定的时间。如果您想让自己的秘密公开,那么您可能不想冒险没人尝试破解它。出于几个原因,您自己这样做是无法解决的。
$ \ endgroup $
– Steve Dispensa
2011年9月3日于17:08
$ \ begingroup $
但是,需要一定数量的计算与需要一定时间才能通过。
$ \ endgroup $
–尼克·约翰逊(Nick Johnson)
2011年9月4日于13:04
$ \ begingroup $
@IanBoyd可以有效地创建拼图。解决它很困难。
$ \ endgroup $
–托马斯
2012年12月27日13:37
$ \ begingroup $
“时间锁定难题”的问题在于只能控制解决这些问题的顺序操作次数。但是,每个操作的时间控制不佳。软件和专用硬件之间可能会有大约100的因数。将计时器编程为15年(可能在2个月后结束)的效果如何?对于这么长时间的延迟,多年来为此目的专门使用一个强大的CPU内核是多么合理?有关适用于现实的技术,请参阅此
$ \ endgroup $
–fgrieu♦
2014年1月3日在6:49
$ \ begingroup $
第3点非常有趣,但在本文的其余部分中您没有再提及。如果我正确理解,则具有该属性的第三方可以解决许多此类时间胶囊问题,就像解决单个问题一样。那将主要消除难题的问题,难以解决,任何人都无法打扰。实际上有什么可以满足该财产的要求吗?
$ \ endgroup $
– Hjulle
15年11月13日在14:58
#2 楼
否。请参阅以下内容。 http://www.gwern.net/Self-decrypting%20files
它提供了许多不错的尝试方法。但是,不能保证在打破“锁”之前实际上会经过所需的时间。换句话说,可能需要更多或更少的时间。
现在,一些麻省理工学院的家伙在99年代做了一些工作,他们希望在2034年开放。但是,他们的确再次公开了它可能更早被打破的可能性。他们估计的时间量。
http://people.csail.mit.edu/rivest/lcs35-puzzle-description.txt
大多数可用方式取决于需要在计算机上运行一项操作,这将需要一定的时间才能获得最终的解密密钥。但是,您无法控制硬件。因此,您无法真正控制获取最终解密密钥之前所花费的时间。但是,大多数人会认为摩尔定律与整体处理性能几乎没有关系。法律规定晶体管的数量每两年翻一番。但是处理器性能远远超过了这一点。
该网站上的信息几乎是相同的:http://dl.acm.org/citation.cfm?id=888615
第二种方法是将密钥提供给受信任的第三方,该第三方只会在某个特定时间点将其公开。但是,这同样很棘手,因为他们可能被迫使用多种机制提前释放它,甚至可能在此过程中将其丢失。
因此,答案是没有实现。被任何人接受为“安全”。没有。
评论
$ \ begingroup $
我怀疑用这种方案加密的大多数东西都不会被打开或永远不会打开,因为没有人愿意花费很多精力来打开它(例如,没有人在乎)。
$ \ endgroup $
–尼克·约翰逊(Nick Johnson)
2011-10-24 4:52
#3 楼
关于以e501为开箱即用的解决方案的主题,我确实回想起至少半点严肃的建议,即将转发器(或只是一面大镜子)放置在距地球适当距离的外太空中,可以将光速滞后用作一种有效的时间囊机制-只需将消息编码为激光脉冲,然后将其发送出去,就可以将其延迟数年之久。原则上,您还可以通过将光线从太空中自然存在的物体(如行星,恒星或星云)反射回来来实现。但是,如果没有极其强大的发射器和灵敏的接收器,其中涉及的传输损耗将使其变得不可行,以至于一点还不清楚是否比将大型后向反射器发射到太空还要实际得多。另外,发出的脉冲越亮,沿途从气体和灰尘中散发出来的信号可能会带来旁道攻击。
评论
$ \ begingroup $
最终的解决方案涉及无法解决的物理时间
$ \ endgroup $
– Tobias Kienzler
2012年8月13日在13:09
$ \ begingroup $
可能安全性较低,但实用性更高,例如将一颗很难检测到的小型卫星送入环绕太阳的轨道,并等待其小型天线返回到射程。
$ \ endgroup $
–马腾·博德威斯♦
2013年9月18日15:56
$ \ begingroup $
那不等于能量需求随距离的四次方上升的雷达吗?
$ \ endgroup $
–卡巴斯德
15年5月12日在21:50
$ \ begingroup $
@kasperd:有源转发器会将其削减到距离的平方。而且,当然,缩放定律仅在光束宽度超过接收器/反射镜大小的距离处开始适用,因此,反射镜的尺寸越大,光束的准直性越好,可以达到的距离就越远具有相同的能量。
$ \ endgroup $
–伊尔马里·卡洛宁(Ilmari Karonen)
2015年5月12日23:21
$ \ begingroup $
@kasperd:当然可以,但这是一次性的安装费用。您需要提前启动反射器/转发器,以便在距离足够远时可以稍后使用。我从来没有说过这是一个实际的解决方案(如果有的话)。虽然,如果您只需要延迟几秒钟,那么月球上已经有一个方便的反射器。从技术上讲,即使在谨慎接触的情况下,我们也会在约17个光小时的距离内安装一个有源转发器。 ;-)
$ \ endgroup $
–伊尔马里·卡洛宁(Ilmari Karonen)
15年5月13日在10:42
#4 楼
是。以下论文着眼于您提出的问题:Ronald Rivest,Adi Shamir和David Wagner。定时拼图和定时发布的加密货币。 1996年3月。
该论文描述了如何加密消息$ M $,以便解密$ M $需要受控的计算量(例如$ T $ CPU周期)。
这是主要方案的要点。为了加密,Alice选择大质数$ p,q $并计算RSA模数$ n = pq $。爱丽丝还选择了一个足够大的整数$ t $,以便执行$ t $模平方(模$ n $)将使解密器花费大约$ T $个CPU周期。然后,爱丽丝选择一个随机值$ a $并计算$ b = a ^ {2 ^ t} \ bmod n $;然后她使用$ b $作为密钥来加密她的消息(例如,使用AES)。
Alice将RSA模数$ n $提供给解密器,并提供数字$ t $。解密器可以通过对aa进行平方运算,重复对tt次进行平方运算来重新计算$ b $(每次取模$ n $)。因此,解密器需要大约$ T $个CPU周期来解密。
相反,爱丽丝可以使用少于$ T $个CPU周期进行加密,使用以下技巧。爱丽丝计算$ e = 2 ^ t \ bmod \ varphi(n)$。这里$ \ varphi(n)=(p-1)(q-1)$,因此Alice可以计算$ \ varphi(n)$,但是没有其他人可以。而且,Alice可以使用$ 2 \ log t $平方和乘法以$ \ varphi(n)$取模来计算$ e $,这花费的CPU周期大大少于$ T $。然后,爱丽丝使用$ b = a ^ e \ bmod n $进行加密。因此,爱丽丝可以比接收者解密更有效地加密。
换句话说,爱丽丝可以创造一个难题,她可以非常精确地控制难题。解密的唯一方法是解决难题。例如,她可以安排解密大概需要20年。而且,创建难题比解决难题要快得多(尽管解决难题可能需要数十年,她仍可以在几秒钟内创建难题)。这提供了一种发送消息的方法,该消息只能在执行一定数量的计算后(即经过一定时间后)才能解密。
本文还介绍了解决该问题的另一种方法一个拥有受信任的代理(可能使用TCG实施,或者可能由于其他原因被认为是值得信任的)。
#5 楼
否。既没有受信任的第三方,也没有受信任的硬件,我们知道没有哪个系统会延迟发布的延迟。
如果我们接受受信任的第三方,那里是选择。例如:
受信任的第三方每小时生成一个公共/私有密钥对(对于非对称密码,例如RSA-OAEP),预先发布公共$ Pub_t $密钥(使用长期公共密钥签名)并发布过去所有私钥$ Priv_t $的定期更新列表。
将一些信息$ P $定时锁定到$ t $:从中获取$ Pub_t $及其签名受信任的第三方;检查签名;为对称密码(例如AES-CTR)绘制随机密钥$ K $;使用密钥$ Pub_t $给出$ KT $加密$ K $;使用密钥$ K $给$ C $加密$ P $;忘记$ K $和$ P $;发布时间锁定信息$ KT || C $。
时间$ t $到来时,任何人都可以从受信任的第三方获取$ Priv_t $;使用密钥$ Priv_t $给出$ K $解密$ KT $;在一个变体中,受信任的第三方从主密钥和$ t $确定性地生成$ Pub_t $ / $ Priv_t $对,然后使用$ K $解密$ C $。这使得$ t $可以具有恒定存储的任意精度。
具有受信任的实时时钟(例如某些HSM)的受信任硬件可用于实现时间锁定(或实现上述受信任的第三方)。
由于受信任的硬件缺少受信任的实时时钟(例如,智能卡),因此可以将时钟委托给受信任的第三方。我相信(从不这样做)从认证机构购买证书也可以购买免费服务,该服务可以回答未经身份验证的查询“此证书仍然有效吗?”带有签名的答案“此证书在时间$ t $仍然有效”,受信任的硬件可以对其进行检查(针对受信任的第三方的长期公共密钥),以确定当前时间至少为$ t $(在受信任的时间)第三方时钟),无论此签名答案如何到达受信任的硬件。
#6 楼
因为计算机没有内在的时间感,所以实际上没有任何方法可以完成此任务。您能做的最好的就是需要大量的计算,并尝试使其必须尽可能地串行。但是,即使有一个好的方法,更快的计算机也可以更快地完成它。如果您希望某件事在固定时间内保持加密,那么最好的选择是使用任何标准方案,并将一个或多个钥匙锁定在定时锁定的保险箱中。
#7 楼
关于Boneh和Naor的定时承诺的文章中有这样一种原始的说法。这是一种加密方案,可以强制执行解密,但付出的代价是不可并行化,而且可以预先证明,低成本可以强制执行解密。它依靠以RSA模为模的重复平方。评论
$ \ begingroup $
所有这些方案的问题在于必须有人来做。如果您调整工作以使您的猜测与主要对手的计算能力相符,并且您猜测对手的计算能力是您的对手的许多倍,那么您可以保证,除了您的对手或拥有比他更多资源的人,其他人都无法解密您的对手。秘密。如果您想要两件事-1)它在时间T之后公开,则2)它在时间T之后不久就公开了-那么此系统无法将您带到那里。您不能自己做,而对手可能会决定不做。
$ \ endgroup $
– Steve Dispensa
2011年9月3日于20:25
#8 楼
通过按时间顺序和按需释放消息的微生物菌落阵列打印的InfoBiology是一种最新开发的方法,该方法利用生物系统创建消息,从而限制了学习消息所需的时间。这个想法只是将消息编码为e模式。大肠杆菌菌落。消息在e之后被释放。大肠杆菌菌落已经在特定的生长培养基中生长了一段时间(设计大肠杆菌的表型表达具有特定的滞后时间)。
评论
$ \ begingroup $
您的链接对我不起作用,但我确实从《自然》杂志上找到了此新闻文章。但是,这实际上只是聪明的隐写术。即使正常显示消息的方式可能会包含时间延迟,但也没有根本的原因,即拥有正确技术和资源的人无法通过直接对细菌的DNA进行测序来更快地做到这一点。
$ \ endgroup $
–伊尔马里·卡洛宁(Ilmari Karonen)
2011-09-28 16:16
$ \ begingroup $
@IlmariKaronen-谢谢,更新了链接。我完全同意,攻击者可以对消息进行排序侧通道攻击。我在这里说了同样的话:the-scientist.com/2011/09/26/encrypting-e-coli。大多数安全系统都是围绕攻击者可以做什么的模型构建的。例如,AES可以被定时边信道破坏,但这并不意味着AES不再安全。此外,还有一些非常强大的对策可以用来防止排序旁通道攻击。
$ \ endgroup $
– Ethan Heilman
2011年9月28日在16:57
#9 楼
我在考虑某种类似于Ironkey的设备,其中加密货币和时钟在设备内部,并且以某种方式封装,使得它们(如果受到物理篡改)会导致芯片(和密钥)自毁。#10 楼
看看“延时加密”。似乎是一个非常好的系统。我怀疑当前是否有支持该基础结构的基础设施,但您永远不知道作者在那里有什么。#11 楼
由于无法控制您的执行环境,因此无法确保以实际的当前时间按说明执行算法。因此,确保类似情况的唯一方法是使计算变得难以解密,这是对所花费的计算工作量的限制,而不是对所花费的实时时间的限制。最简单的方法是使用短私钥加密数据,并要求人们分解公钥以对其进行解锁。评论
$ \ begingroup $
坚持正在进行的保理工作可能很有用-例如如果您知道某个项目正在处理一些较大的复合数字,请将该数字用作RSA公钥的一部分来加密您的消息。 (当然,如果所讨论的数字具有比RSA允许的更多主要因子,那么这可能根本不起作用-如果它是某人创建的数字,则此人可能已经知道这些因子。)
$ \ endgroup $
–PaŭloEbermann
2011年9月3日,12:43
$ \ begingroup $
要求人们对公钥进行因子分解不是解决方案的良好基础,因为对公钥进行因子分解是可以并行执行的任务,因此,对因子进行分解所需的计算不能轻易地与时间的流逝相关。您需要一个固有的顺序问题。见我的答案的一种解决方案。
$ \ endgroup $
– D.W.
2011年9月4日下午4:46
#12 楼
我会尝试使用网络服务的方式。一旦拥有服务器,就可以依靠它的日期。您的加密信息应包含一个服务器验证的日期,一旦到达,您就可以为用户提供真实的解密密钥。评论
$ \ begingroup $
从技术上讲*,这与非加密死刑犯的开关没什么不同。实际上,它绝对不那么安全:现在,您必须保留服务器和加密数据。 *发出40KiB消息与发出4KiB密钥几乎是相同的技术“技艺”。而且,您仍然必须未加密该4KiB密钥(现在相当于消息的(可能是已公开的)密文版本的明文),因此,您的对手遭受服务器追捕的风险正好与此相同-用一把钥匙,就像他正在用一条消息搜寻服务器一样。
$ \ endgroup $
–JamesTheAwesomeDude
20-3-20在6:10
#13 楼
引用Rivest等人:有两种自然的方法来实现定时发布加密:
使用“时间锁难题”-计算无法连续运行计算机至少一定时间而无法解决的问题。
使用承诺在指定日期之前不透露某些信息的受信任代理。
到目前为止,一切都很好。但是,是否存在一种可以真正起到作用的加密方案就留下了疑问。
这里有一些有趣的论文和关于该主题的幻灯片,但尚未被提及:
“具有可解锁时间证据的锁时难题”(2000年,毛泽东)
“使用定时发行密码术来降低禁运期的保存风险”(2008年,哈克)
“随机Oracle模型中的时间锁定难题”(2011年,Mahmoody,Moran和Vadhan)
而且-值得一提的是-在Redit和Hacker上也有相关的讨论新闻也一样。
#14 楼
如何基于放射性衰变呢?将消息打印在胶片上
将胶片封装在防篡改(或高度防篡改)的外壳中
只有一种方法可以检索从外壳中沿着那条路径放下胶片,然后放一些放射性物质,这样就不会在未将胶片暴露于辐射的情况下取回胶片。
如果在放射性物质腐烂之前试图取回胶片,胶片会被通过辐射暴露空白。放射性物质腐烂后,可以安全地取回薄膜。
防篡改外壳还可以在不损坏薄膜的情况下防止放射性物质的去除
(当然,在外壳设计中存在一些挑战:-(<< />
评论
$ \ begingroup $
只需取一个足够大的铅容器以适合外壳即可;将铅制容器带入太空,将外壳放入容器,与容器一起离开空间。
$ \ endgroup $
– robbat2
2014年6月9日下午6:23
$ \ begingroup $
@ Robbat2,这将是拒绝服务攻击-它将阻止合法用户查看消息,但不会影响消息的显示日期之前的消息隐私。
$ \ endgroup $
–user2460798
17年6月8日在21:32
#15 楼
“需要20年才能破解计算机”想法有两个大问题10台计算机仅需要2年即可破解
暴力破解是是一个随机过程,因此几乎可以立即以较低的概率将其破解,但概率不大为零。
我想您可以使用一个非常大的密钥进行编码。可能会有200年的预期破裂时间。但是密钥是可计算的,使用必须线性完成的过程,这样就不允许出现平行现象,并且在20 Gigaflops的情况下将花费20年的时间进行处理。实际上速度限制约为4 Ghz,因此最近cpu pwoer来自并行性..这不能帮助线性算法...但是存在这样的风险:有人可能会在不进行所有中间计算的情况下,找到一种找到结果密钥的方法,因此将20年变成了短时间..
评论
$ \ begingroup $
老实说,第二点不是一个很令人信服的论点。仅仅因为概率不为零并不意味着它将发生。而且,至少对于公众而言,速度限制更像是9GHz。
$ \ endgroup $
–托马斯
2012年12月31日下午5:08
$ \ begingroup $
点1假定裂纹可以并行化。不一定有可能-取决于要破解的内容。可以将工作量证明协议设计为不可并行的(例如,本页其他位置提到的RSA POW)。
$ \ endgroup $
–user2460798
17年6月8日在21:28
#16 楼
您可能想看一下《 The Burris数值系统》,上面有一本很好的书。这个数字系统理论上会及时加密数据,只有最后一个数字保留在空间中。从理论上讲,其余数字将及时存储。这本书在亚马逊和其他地方。这是我发现使用时间加密数据的最好方法。评论
$ \ begingroup $
我阅读了这本书的描述,看起来确实很有趣。您能补充几个例子吗?
$ \ endgroup $
–种族
2014年5月4日在9:51
$ \ begingroup $
我想你是写这本书的。那是对的吗?
$ \ endgroup $
–mikeazo
2014年5月4日12:02
$ \ begingroup $
@mikeazo很好,这是我忽略的细节。劳埃德(Lloyd),如果您与您推荐的商业产品(包括您(共同)创作的任何书籍)有关联,这是一个非常好的主意(阅读:接近强制),以在SE网站上的答案正文中披露您的从属关系。
$ \ endgroup $
–种族
2014年5月4日20:23
#17 楼
在所有这些系统中,唯一经过时间证明,实用且至少在理论上可靠的方法是使用多部分密钥,并分发该密钥以分离[人,地方]以及将它们组合在一起所需的信息仅在特定日期可用。仍然可以找到不受传票,有时间限制的合同或只能在死后打开的仓库。例如,甚至政府也没有合法或宪法授权来破坏律师-委托人的特权。
如果保密性比可靠性更重要,则可以在多个律师-委托人协议中分配您的信息。如果可靠性比保密性更为重要,则将所有信息分发到多个律师-客户协议中。即便如此,今天(今天)尝试使人们摆脱困境的可能性很小。
#18 楼
如何将数据编码为激光束,然后以一定的方向将其发射到太空中,该方向将使其在20年后弯曲回地球/轨道/月球上的探测器?有点像我们所知道的那样,我们希望哈雷彗星每75年左右就会出现一次。我想这里的基本原理是星体不会意外地改变行为(或者至少它们足够可靠),并且光速在(正常,空白)空间中保持恒定。如果在打开时间胶囊的时间内实现了比光速快的旅行,那么..我想您要担心的事情要比破坏时间加密更重要。
#19 楼
使用双重放射性衰变键。您有一个元素的半衰期为1000年,而另一个元素的半衰期为20年。
您将探测器编程为看到衰变产物,并且只有在存在正确比例的衰变产物的情况下,才产生解密密钥.....如果在任何时候存在衰变产物的不正确混合,它都会破坏密钥。
#20 楼
是的。一种解决方案是选择一种加密方法,将加密消息中的位数增加到真正的天文学水平。
这样,您可以确保下限是读取加密邮件需要多长时间。
之所以起作用,是因为我们的宇宙对给定卷中可以存储多少位信息有限制。最大信息是在木板区域中测量的体积的表面积。如果您选择了在最佳装箱情况下(球形黑洞)需要一定时间才能让所有钻头到达位于黑洞中心的人员的钻头,那么该人不可能可以在给定时间内接收加密的消息。例如,如果黑洞的半径为1光年,那么至少要花费一年的时间才能读取构成该球体的所有位。
对于一个想法,最大的信息位于。 5米半径的球面尺寸为1.3 x 10 ^ 36位。那个位数是天文数字,但是在读取消息之前只会花很短的时间。
可能有一些方法可以减少这个位数,即如果还有其他物理定律会限制密度传输以外的数据传输速率,或者是否可以证明必须进行一定量的计算,以及计算时间是否存在物理限制。
#21 楼
一些答案建议使用固有的光速限制来引入无法缩短的延迟。这是一个好主意。然而,对于更长的延迟,这些解决方案具有需要非常长的距离的问题。幸运的是,通过使用双方之间需要进行大量回合的交互式协议来缩短双方之间的通信延迟,可以缩短这些距离。现在假设一方位于地球同步卫星上,对方位于地球上。到卫星方的每次往返都会线性增加执行交互式协议的时间,并且计算能力或传输技术的进步都不会缩短此延迟。唯一的要求是不要篡改遥远的一方(卫星),例如将其移到离地球更近或被克隆(私钥和所有密钥)的位置。但是如何保证这一点是另一个问题。
评论
除了蝴蝶,那将是证明您的时间旅行机正常工作的好方法。 :P
如果必须将密钥输入到黑盒中,并且将其编程为起到时间锁定的作用,那么它可以等待解密,直到达到时间为止,但是没有算法会自行执行。
而且任何“黑匣子”都可以进行反向工程。
如果我从众多科幻小说和奇幻书籍和电影中学到了什么,那就是如果您想长时间隐藏某些东西,那么您所需要的只是一个非常精确的天体运动模型。找出行星何时会如此对齐,并且只有当月光通过放置在地板上的凹槽中的高度合适的宝石上的月亮以正确的角度进入秘密密室时,您的信息才会出现。