Blog Khoa Học Máy Tính » Bảo mật và mật mã học http://www.procul.org/blog Tầm nhìn ta thật ngắn mà đã thấy bao thứ để làm -- Alan Turing Wed, 08 Feb 2012 20:06:59 +0000 en hourly 1 Bạn phá mã được không? http://www.procul.org/blog/2011/12/02/b%e1%ba%a1n-pha-ma-d%c6%b0%e1%bb%a3c-khong/ http://www.procul.org/blog/2011/12/02/b%e1%ba%a1n-pha-ma-d%c6%b0%e1%bb%a3c-khong/#comments Fri, 02 Dec 2011 18:52:06 +0000 thaidn http://www.procul.org/blog/?p=4118 Câu hỏi phỏng vấn thú vị của GCHQ:

Giải được câu này sẽ còn hai câu tiếp theo. GCHQ được xem là NSA của Anh quốc. Cụ Alan Turing từng làm việc ở đây thời chiến tranh thế giới thứ hai. GCHQ cũng là nơi phát minh ra mật mã khóa công khai vào năm 1973, 3 năm trước Diffie-Hellman và 4 năm trước RSA.

]]> http://www.procul.org/blog/2011/12/02/b%e1%ba%a1n-pha-ma-d%c6%b0%e1%bb%a3c-khong/feed/ 2 Mật mã hiện đại (2) http://www.procul.org/blog/2011/10/27/m%e1%ba%adt-ma-hi%e1%bb%87n-d%e1%ba%a1i-2/ http://www.procul.org/blog/2011/10/27/m%e1%ba%adt-ma-hi%e1%bb%87n-d%e1%ba%a1i-2/#comments Thu, 27 Oct 2011 06:04:10 +0000 thaidn http://www.procul.org/blog/?p=3921 Mới đây mà đã gần 10 tháng kể từ ngày tôi viết phần 1 của loạt bài này. Tôi bắt đầu phần 2 này cách đây cũng khá lâu, nhưng gặp trở ngại khi viết mã LaTex trên Blogger nên cứ chần chừ rồi quên hẳn. Hồi tháng 4, anh Phan Dương Hiệu có viết một bài rất công phu về hành trình 35 năm của mật mã khóa công khai. Hôm nay ngồi đọc lại bài viết rất hay đó tự dưng tôi thấy… nao nao và quyết định là phải viết tiếp loạt bài này. Phần thứ 2 này tôi sẽ điểm lại lịch sử của mật mã. Bạn nào có cuốn KL thì có thể đọc chương 1 và chương 2. Trong hai phần tiếp theo tôi sẽ giới thiệu mã dòng (stream cipher) và mã khối (block cipher).

—-

II. Lịch sử

We stand today on the brink of a revolution in cryptography.

Whitfield Diffie và Martin Hellman đã viết đầy hứng khởi như thế trong bài báo New Directions in Cryptography công bố năm 1976. Quả đúng như vậy. Trước Diffie-Hellman, mật mã là sân chơi của quân đội, chính phủ và những tập đoàn lớn. Nếu tôi không lầm thì công trình nghiên cứu về mật mã duy nhất được phổ biến rộng rãi là cuốn The Codebreakers xuất bản lần đầu năm 1967 của David Kahn. Bài báo của Diffie-Hellman vừa khai sinh ra mật mã khóa công khai, vừa đánh dấu sự bắt đầu của mật mã hiện đại. Trong vòng vài chục năm, mật mã từ một nghệ thuật đã trở thành một ngành khoa học được giảng dạy và nghiên cứu khắp nơi trên thế giới. Các ứng dụng của mật mã không chỉ còn gói gọn trong ngành công nghiệp quốc phòng mà đã hiện diện trong mọi mặt của đời sống hàng ngày (mời bạn xem thêm bài của anh Hiệu). Mật mã hiện đại cũng là đề tài của loạt bài viết này. Tuy vậy, mật mã là một trong những nghệ thuật cổ xưa nhất của loài người với lịch sử hàng ngàn năm và tôi không thể viết về mật mã mà không giới thiệu sơ qua về lịch sử phát triển của ngành. Dẫu vậy, tôi cũng lưu ý là phần giới thiệu dưới đây chỉ là “cưỡi ngựa xem hoa”, bạn nào muốn tìm hiểu ngọn ngành thì nên đọc cuốn The Codebreakers.

Từ xa xưa, mật mã là nghệ thuật giữ bí mật nhằm giải quyết vấn đề truyền thông tin an toàn giữa người gửi và người nhận. Chẳng hạn như nhà vua cần truyền mệnh lệnh cho tướng ngoài mặt trận. Một cách đơn giản là ông ấy viết mệnh lệnh vào một lá thư, rồi gửi cho người đưa tin và người này sẽ đi từ kinh thành ra mặt trận để trao thư. Với cách làm này, ông vua không có cách nào đảm bảo được rằng chỉ có tướng quân mới xem được thư. Người đưa thư có thể phản bội, trao thư cho kẻ thù, hoặc họ cũng có thể bị kẻ thù bắt trên đường đi từ kinh thành ra mặt trận. Để giải quyết vấn đề này, nhà vua có thể sử dụng mã (cipher). Một mã thường bao gồm 2 hàm:

  • E: lập mã. Hàm này nhận vào một bản rõ (plaintext) m và một khóa (key) k rồi xuất ra một bản mã (ciphertext) c.
  • D: giải mã. Hàm này nhận vào một bản mã c và một khóa k rồi xuất ra một bản rõ m.

Các tài liệu mật mã thường gọi ông vua, tướng quân và kẻ thù trong ví dụ ở trên lần lượt là Alice, Bob và Eve, nên tôi cũng sẽ gọi như thế ở đây. Alice và Bob muốn gửi thông điệp cho nhau và không muốn Eve coi trộm. Để sử dụng được một bộ mã, Alice và Bob phải thống nhất với nhau một khóa k mà Eve không biết. Làm sao Alice và Bob làm được điều đó? Chúng ta sẽ cùng đi tìm câu trả lời khi bàn về mã hóa khóa công khai, còn bây giờ cứ giả sử là bằng cách nào đó Alice và Bob đã có chung một khóa k như thế.

1. Mã thay thế (substitution cipher)

Lập mã – Giải mã

Ý tưởng của mã thay thế rất đơn giản: thay mỗi ký tự trong m bằng một ký tự khác. Quy tắc thay thế chính là khóa k, trong đó mỗi khóa là một hoán vị của bảng chữ cái. Ví dụ:

Khóa:	(A -> H, B -> N, C -> D, D -> X,..., Z -> Y)
Bản rõ:	ABCZ
Bản mã: HNDY

Mã thay thế được sử dụng rộng rãi trong nhiều thế kỷ. Tương truyền rằng Julius Caesar, vị lãnh tụ lừng danh của Đế Chế La Mã, đã sử dụng một loại mã thay thế để bảo vệ tính bí mật của các văn bản quân sự.

Thám mã

Người đầu tiên đưa ra phương pháp phá các mã thay thế là Al-Kindi, một người Ả Rập sống vào thế kỷ thứ 9. Sau khi nghiên cứu kỹ lưỡng cuốn kinh Koran, Al-Kindi đã có một quan sát rất thú vị rằng trong một văn bản đủ dài, mỗi ký tự trong bộ chữ cái Ả Rập sẽ xuất hiện với tần suất tương đương với tần suất mà chúng xuất hiện trong kinh Koran. Nói cách khác, tần suất xuất hiện của các ký tự trong một văn bản là ổn định và điều này đúng không chỉ với tiếng Ả Rập mà còn đúng với tiếng Anh và nhiều ngôn ngữ khác (kể cả tiếng Việt?). Ví dụ như trong tiếng Anh, các ký tự xuất hiện nhiều nhất là “e” (12.7%), “t” (9.1%) và “a” (8.1%). Ngoài ra, tần suất của các bộ hai ký tự (digram) và bộ ba ký tự (trigram) cũng ổn định. Ví dụ như trong tiếng Anh, các bộ hai ký tự xuất hiện nhiều nhất luôn là “th”, “he”, “an” và “in” và bộ ba ký tự phổ biến nhất là “tha”.

Dựa vào quan sát này, Al-Kindi đã đề ra phương pháp thám mã phân tích tần suất (frequency analysis). Ý tưởng là tính tần suất của từng ký tự, từng bộ hai ký tự và từng bộ ba ký tự trong bản mã rồi so sánh các tần suất đó với tần suất chuẩn trong ngôn ngữ của bản rõ. Ví dụ như bản rõ là tiếng Anh và sau khi tính tần suất của các ký tự trong bản mã chúng ta nhận thấy “x” và “m” xuất hiện nhiều nhất thì “x” rất có thể là “e” và “m” có thể là “t”. Bước tiếp theo là thử thay thế “x” bằng “e” và “m” bằng “t” (cũng như các thay thế thích hợp khác) trong bản mã, rồi xem có xác định được từ hoặc cụm từ có nghĩa nào hay không.

Ngoài phương pháp thủ công này, mục 1.3 cuốn KL có mô tả một thuật toán thực hiện thám mã bằng phân tích tần suất hoàn toàn tự động. Lưu ý rằng phân tích tần suất là dạng tấn công chỉ biết bản mã (ciphertext-only attack), nghĩa là chỉ cần nhìn vào bản mã là có thể tìm được khóa và bản rõ. Đây là một tấn công rất yếu nhưng vẫn đủ mạnh để phá mã thay thế.

Bài tập 1: Tính số lượng khóa có thể có của mã thay thế vừa mô tả. Hi vọng con số này sẽ giúp bạn hiểu rằng chiều dài khóa không đảm bảo được sự an toàn của mã và đừng bao giờ xài mã có khóa dài 1 triệu bit :-) .

2. Mã Vigenère

Lập mã – Giải mã

Mã Vigenère được phát minh vào khoảng thế kỷ 16. Mục tiêu của mã Vigenère rất rõ ràng: chống thám mã bằng phương pháp phân tích tần suất. Nói cách khác, tần suất của các ký tự trong bản mã phải khác với tần suất của các ký tự trong bản rõ. Để đạt được mục tiêu này, những người phát minh ra mã Vigenère đã có một ý tưởng rất hay: chọn k sao cho |k| = |m| (ký hiệu |x| chỉ chiều dài của x) và mỗi ký tự của m sẽ được mã hóa bằng một ký tự tương ứng của k. Nếu xem mỗi ký tự A-Z tương đương với 0-25 thì lập mã bằng mã Vigenère sẽ là c_i = E(k, m_i) = (m_i + k_i) \text{ mod 26} và giải mã sẽ là m_i = D(k, c_i) = (c_i - k_i) \text{ mod 26}, trong đó m = {m_0}\cdots{m_n} là bản rõ, c = {c_0}\cdots{c_n} là bản mã và k={k_0}\cdots{k_n} là khóa.

Thực tế thì mã Vigenère có khác một chút so với mô tả ở trên của tôi: thay vì dùng một khóa k ngẫu nhiên với |k| = |m|, người ta dùng một khóa ngắn và lập đi lập lại khóa này cho đến khi dài bằng với bản rõ. Ví dụ như với m là “TANCONGNGAY” và k là “KHMT” thì mã hóa bằng mã Vigenère sẽ như sau:

Bản rõ:	TANCONGNGAY
Khóa:	KHMTKHMTKHM
Bản mã: DHZVYUSGQHK

Bài tập 2: Tìm hiểu cách phá mã Vigenère bằng phương pháp phân tích tần suất.

3. Mã máy rôtơ (rotor machines cipher)

Việc phát hiện ra điện năng vào thế kỷ thứ 19 đã dẫn đến sự ra đời của vô vàn máy móc, thiết bị chạy bằng điện và mã máy rôtơ là một trong số đó. Mã máy rôtơ là tên gọi chung của các loại mã mà quá trình lập mã và giải mã được thực hiện bởi các máy rôtơ điện. Mã máy rôtơ nổi tiếng nhất là máy Enigma, được Đức quốc xã sử dụng trong chiến tranh thế giới thứ II. Tôi sẽ không giải thích cơ chế hoạt động của mã máy rô tơ vì chúng ta sẽ không gặp lại mã này. Thay vào đó, chúng ta sẽ cùng điểm lại một chút thành tựu phá mã Enigma của phe Đồng Minh, mà người đóng góp lớn nhất chính là Alan Turing có-tầm-nhìn-thật-ngắn của chúng ta.

Quay lại năm 1940. Lúc này Pháp đã bị quân Hitler chiếm đóng và Anh là quốc gia duy nhất chống lại Phát Xít ở Tây Âu. Khả năng chiến đấu của Anh phụ thuộc vào nguồn hàng viện trợ từ Mỹ và phe Đồng Minh, được chuyển đến đảo quốc bằng những đoàn tàu hộ tống xuyên Bắc Đại Tây Dương. Những đoàn tàu này thường xuyên phải chơi trò “trốn tìm” với đám tàu ngầm U-boat của Hilter, vốn có nhiệm vụ định vị và đánh chìm tất cả những con tàu viện trợ, hòng làm cho Anh kiệt quệ rồi đầu hàng. Ai thắng ai thua trong trò “mèo vờn chuột” này rốt cuộc xoay quanh kết quả của cuộc chiến thông tin: liệu Đức quốc xã có thể định vị tàu hộ tống tốt hơn phe Đồng Minh định vị U-boat hay ngược lại?

Đức thua.

Nhưng lý do chính khiến Đức thất bại chỉ được công bố vào năm 1974: mã của hải quân Đức, chính là một loại mã Enigma, đã bị phá bởi Cục Mật Mã Ba Lan và phương pháp phá mã đã được chuyển đến Anh quốc chỉ vài tuần trước khi Phát Xít xâm lược Ba Lan vào năm 1939. Trong suốt cuộc chiến, quân Đồng Minh luôn định vị được tàu ngầm của Đức rồi hướng các đoàn tàu viện trợ đi vòng qua. Dẫu vậy chính phủ Anh không tiết lộ làm cách nào họ phá được các phiên bản mới của mã Enigma, vốn được điều chỉnh nhiều lần trong suốt cuộc chiến, cho đến tận năm 1996. Thông tin mà chính phủ Mỹ công bố vào năm đó cho thấy ngay khi chiến tranh vừa xảy ra, Alan Turing đã tham gia vào nỗ lực phá mã của Anh quốc ở Bletchley Party, nơi ông trở thành người có đóng góp lớn nhất cho sự phát triển của các kỹ thuật phá mã Engima nhanh và hiệu quả, dựa trên phương pháp của người Ba Lan. Cho đến năm 1945, tất cả các loại mã Enigma của Đức đều có thể bị giải mã trong vòng một hoặc hai ngày. Thành tựu này của Alan Turing và đồng nghiệp được tướng năm sao Dwight D. Eisenhower, chỉ huy tối cao của quân Đồng Minh ở Châu Âu, đánh giá là yếu tố quyết định dẫn đến chiến thắng cuối cùng của quân Đồng Minh.

4. Mã máy tính

Có một chi tiết thú vị mà bây giờ tôi mới nhận ra: giới làm mật mã rất nhạy bén với các phát minh quan trọng của nhân loại. Nếu như thế kỷ 19 họ tạo ra mã máy rôtơ để tận dụng điện năng thì từ giữa thế kỷ 20, họ sáng chế ra các loại mã máy tính để tận dụng… máy tính. Ba loại mã máy tính quan trọng nhất mà chúng ta sẽ tìm hiểu chi tiết trong hai phần tiếp theo là DES, RC4 và AES. Ở đây chúng ta sẽ bàn một chút về lịch sử của DES.

Trong những năm 1970, nhận thấy cần phải có một mã tiêu chuẩn để mã hóa dữ liệu của chính phủ cũng như dùng trong thương mại, Viện Công Nghệ và Tiêu Chuẩn Quốc Gia (NIST) của Mỹ, với sự tư vấn của Cục An Ninh Quốc Gia (NSA), tổ chức một cuộc thi để tìm ra loại mã phù hợp nhất. Cuộc thi lần thứ nhất thất bại thảm hại khi không có mã nào đạt tiêu chuẩn và NIST phải tổ chức thêm một cuộc thi khác vào mùa thu năm 1974. Lần này IBM nộp mã Lucifer, một loại mã được phát triển bởi Horst Fiestel, Don Coppersmith và đồng nghiệp trong thời gian đó. Lucifer là một mã khối, có chiều dài khóa là 128-bit và chiều dài khối là 128-bit, nhưng NSA chỉ chấp nhận Lucifer sau khi thực hiện hai điều chỉnh:

  • NSA muốn giảm chiều dài khóa từ 128-bit xuống còn 48-bit. IBM không đồng ý, họ nghĩ tối thiểu phải là 64-bit. Cuối cùng hai bên đều nhượng bộ và chấp nhận khóa có chiều dài 56-bit.
  • NSA điều chỉnh lại các hộp thay thế (S-box), một thành phần rất quan trọng trong cấu trúc của Lucifer. Lúc bấy giờ nhiều cryptographer tên tuổi, kể cả bộ đôi ma thuật Whitfield Diffie và Martin Hellman đều lên tiếng phản đối sự điều chỉnh này, vì họ ngờ rằng NSA đã cài một “cửa hậu” vào Lucifer, làm giảm đi sự an toàn của Lucifer. Sự thật về những hộp S-box bí ẩn này chỉ được phơi bày khi phương pháp thám mã vi phân được công bố vào những năm 90 của thế kỷ trước. Lúc bấy giờ người ta mới nhận ra rằng, sự điều chỉnh của NSA thật ra đã làm gia tăng sức mạnh của Lucifer, khiến cho mã này không bị phá vỡ dễ dàng bởi thám mã vi phân.

Với hai điều chỉnh này, Lucifer được NIST chuẩn hóa thành DES. DES và phiên bản cải tiến Triple-DES được sử dụng rất rộng rãi. Hạn chế lớn nhất của DES là khóa quá ngắn và hạn chế lớn nhất của Triple-DES là tốc độ thực thi. Năm 1997, NIST lại tổ chức một cuộc thi để tìm một mã thay thế DES và kết quả là Rijndael, một mã của hai cryptographer người Bỉ chiến thắng và sau đó được chuẩn hóa thành AES. Chúng ta sẽ tìm hiểu chi tiết về AES khi nói về mã khối.

III. Khoa học mật mã

Như chúng ta đã thấy, mật mã có lịch sử kéo dài ngàn hàng năm và đã được sử dụng trong nhiều sự kiện quan trọng của nhân loại. Tuy vậy cho đến tận chiến tranh thế giới II, hầu hết các loại mã mà con người tạo ra đều đã bị phá vỡ hoàn toàn, trừ mã One-Time Pad (OTP), được phát minh năm 1917 bởi Gilbert Vernam, một kỹ sư làm việc ở Bell Labs thuộc AT&T. Dẫu vậy, trong nhiều năm liền, không một ai biết OTP thực sự an toàn đến mức nào, cho đến năm 1949, khi công trình Communication Theory of Secrecy Systems của Claude Shannon được công bố rộng rãi. Trong bài báo đó, Claude Shannon đã đặt nền móng cho lý thuyết mật mã hiện đại khi lần đầu tiên đưa ra định nghĩa toán học của khái niệm an toàn và chứng minh được OTP an toàn theo định nghĩa đó.

Để hiểu công trình của Shannon, trước tiên chúng ta cần định nghĩa khái niệm mã.

1. Định nghĩa mã

Một mã xác định trên (K, M, C) là một cặp hai thuật toán “hiệu quả” (E, D) trong đó:

{E}: {K} \times {M} \rightarrow {C},

{D}: {K} \times {C} \rightarrow {M}

thỏa điều kiện \forall{m} \in {M}, \forall{k} \in {K}: {D_k(E_k(m)) = m} (gọi là điều kiện nhất quán). Có hai điểm cần lưu ý:

  • Tôi để chữ “hiệu quả” trong ngoặc kép vì từ này có nghĩa khác nhau với những người khác nhau. Trong định nghĩa này, một thuật toán có thể được xem là “hiệu quả” khi nó có thời gian thực thi và yêu cầu bộ nhớ tương đương với DES.
  • Nếu như D luôn là thuật toán xác định (deterministic algorithm) thì E thường là một thuật toán ngẫu nhiên (randomized algorithm). Nghĩa là E thường sử dụng yếu tố ngẫu nhiên như một phần của thuật toán để đảm bảo rằng khi mã hóa hai lần một bản rõ giống nhau, chúng ta sẽ thu được hai bản mã hoàn toàn khác nhau.

Bài tập 3: Quân ta đang ở chiến trường. Mỗi ngày bộ chỉ huy sẽ gửi ra một lệnh cho biết hôm đó quân ta sẽ làm gì. Chỉ có hai lệnh: “TAN CONG” hoặc “PHONG THU”. Do quân địch cũng có thể nghe lén sóng radio, nên để cho an toàn, bộ chỉ huy sử dụng một mã X để bảo vệ quá trình gửi và nhận lệnh. Mã X này có thuật toán lập mã E hoàn toàn xác định, nghĩa là bản rõ giống nhau sẽ tạo ra bản mã giống nhau. Tất cả các lệnh đều được mã hóa bằng cùng một khóa duy nhất. Chứng minh rằng ngay trong ngày thứ hai, quân địch đã có thể đoán trước chiến thuật của quân ta.

2. One-Time Pad (OTP)

Vernam tạo ra mã OTP khi tìm cách cải tiến mã Vigenère, nên ý tưởng của OTP khá giống với ý tưởng của Vigenère mà tôi mô tả ở trên, cụ thể như sau:

  • {M} = {C} = {K} = \{0, 1\}^{n}. OTP xem bản rõ là một chuỗi bit “0101010101…” và mỗi khóa là một chuỗi bit ngẫu nhiên có chiều dài bằng với bản rõ.
  • Lập mã: {C} := E(k, m) = {k} \oplus {m}. Phép XOR thực chất là phép cộng modulo 2 khi thực hiện trên các chuỗi bit.
  • Giải mã: {D} := D(k, c) = {k} \oplus {c}.

Ví dụ:

Bản rõ:	10110010010
Khóa:	01101010101
Bản mã: 11011000111

Chúng ta có thể dễ dàng kiểm chứng rằng OTP thỏa yêu cầu nhất quán của một mã. Một trong những lợi thế của OTP là tốc độ thực thi rất nhanh, còn bất lợi duy nhất là chiều dài khóa phải bằng chiều dài của bản rõ. Bất lợi này làm cho OTP gần như trở thành vô dụng, bởi vì nếu như Alice và Bob đã có một cách để trao đổi khóa an toàn, thì họ đã có thể dùng ngay cách đó để trao đổi bản rõ luôn. Tuy vậy OTP vẫn được sử dụng trong thực tế và chúng ta sẽ còn gặp lại mã này trong bài sau khi bàn về mã dòng. Như đã nói ở trên, trong nhiều năm liền không ai phá được mã OTP nhưng cũng không ai chứng minh được rằng OTP là an toàn. Nhưng… an toàn là gì? Chúng ta đề cập nhiều đến khái niệm này mà không có một định nghĩa cụ thể. Đây là một thiếu sót rất lớn, bởi lẽ chỉ khi nào chúng ta định nghĩa được khái niệm an toàn của mã thì khi đó mật mã mới có thể trở thành một ngành khoa học.

3. Định nghĩa mã an toàn:

Muốn định nghĩa được mã an toàn, trước tiên chúng ta phải xác định được khả năng của kẻ tấn công Eve, nghĩa là xác định Eve có thể thực hiện được dạng tấn công nào. Có nhiều dạng tấn công và chúng ta sẽ tìm hiểu chi tiết về chúng trong các bài tới. Từ đây đến cuối bài, chúng ta sẽ giả định là kẻ tấn công chỉ thực hiện được dạng tấn công yếu nhất là tấn công biết bản mã (ciphertext-only attack) bằng cách nghe lén (eavesdropping). Quay lại câu hỏi chính, thế nào là một mã an toàn? Sau đây là một vài ý kiến phổ biến:

  1. Mã an toàn là mã mà Eve không thể lấy được khóa.
  2. Mã an toàn là mã mà Eve không thể giải mã toàn bộ bản rõ.
  3. Mã an toàn là mã mà Eve không thể giải mã được bất kỳ bit nào của bản rõ.

Định nghĩa thứ nhất là một ngộ nhận thường gặp khi sử dụng mã. Mục tiêu tối thượng của mã là bảo vệ bản rõ, chứ không phải để bảo vệ khóa (bảo vệ khóa cũng chỉ là để bảo vệ bản rõ). Ví dụ như xét I là mã cơ sở (identity cipher) với E(k, m) = m, nghĩa là I không làm gì cả, nhưng I vẫn an toàn theo định nghĩa thứ nhất vì không có cách nào lấy được khóa.

Định nghĩa thứ hai tốt hơn định nghĩa thứ nhất nhưng rõ ràng vẫn không đạt yêu cầu. Không ai muốn sử dụng một mã X khiến kẻ tấn công giải mã được dầu chỉ một bit thông tin. Vậy định nghĩa thứ ba có đạt yêu cầu hay không? Đây là một định nghĩa tốt, dẫu vậy có nhiều trường hợp kẻ tấn công không thu được bất kỳ bit nào của bản rõ nhưng vẫn tính toán được một thuộc tính nào đó của bản rõ và như thế là đủ để phá hủy tính bí mật của bản rõ, ví dụ như ở trường hợp ở bài tập số 3. Nói cách khác, mã an toàn là mã mà kẻ tấn công không tính được bất kỳ hàm nào của bản rõ. Đây là một định nghĩa rất mạnh và chúng ta sẽ còn trở lại định nghĩa này trong thời gian tới. Trong phần tiếp theo chúng ta sẽ tìm hiểu định nghĩa an toàn theo cách của Claude Shannon.

4. An toàn tuyệt đối (perfect secrecy)

Claude Shannon là cha đẻ của lý thuyết thông tin nên định nghĩa mã an toàn của ông cũng mang “màu sắc” lý thuyết này. Shannon cho rằng một mã là an toàn tuyệt đối nếu như bản mã không tiết lộ bất kỳ “thông tin” nào về bản rõ. Để hiểu ý tưởng của Shannon, chúng ta hãy giả định rằng Eve biết được phân bố xác suất trên M, nghĩa là Eve biết rõ xác suất được gửi ra ngoài của các bản rõ khác nhau. Ví dụ như Eve biết Alice chỉ gửi một trong hai bản rõ m_0 là “TAN CONG” và m_1 là “PHONG THU”. Ngoài ra Eve còn biết xác suất mà Alice gửi m_0 là 0.6 và xác suất gửi m_1 là 0.4. Rồi Eve thấy một bản mã c được gửi từ Alice đến cho Bob. Shannon nói rằng mã mà Alice và Bob sử dụng là an toàn tuyệt đối nếu như việc biết thêm c không làm thay đổi khả năng của Eve. Nói cách khác, c không tiết lộ bất kỳ thông tin gì về bản rõ được gửi đi, bởi vì có biết c hay không thì Eve vẫn chỉ biết xác suất Alice gửi m_0 là 0.6 và m_1 là 0.4.

Để tiện việc chứng minh các bổ đề, chúng ta sẽ không dùng định nghĩa nguyên thủy của Shannon mà sẽ sử dụng một định nghĩa tương đương như sau (xem bổ đề 2.3 cuốn KL):

An toàn tuyệt đối

Một mã (E, D) trên (K, M, C) là an toàn tuyệt đối nếu và chỉ nếu {\forall} {m_0}, {m_1} \in {M} thỏa |{m_0}| = |{m_1}|{\forall} {c} \in {C}, ta có Pr[E(k, m_0) = c] = Pr[E(k, m_1) = c], trong đó k được chọn ngẫu nhiên (uniformly) từ K (ký hiệu là {k} \overset{R}{\leftarrow} {K}).

Chúng ta cần điều kiện |{m_0}| = |{m_1}| vì các mã thường tiết lộ chiều dài của bản rõ. Định nghĩa này có thể hiểu như sau: nếu khóa k được chọn ngẫu nhiên thì xác suất để m_0 mã hóa thành một bản mã c nào đó sẽ bằng với xác suất để m_1 mã hóa thành chính bản mã đó. Nghĩa là nếu chỉ nhìn vào một bản mã thì không có cách nào biết được nguồn gốc của nó. Nói cách khác, việc quan sát được c không giúp cho Eve biết được bản rõ là m_0 hay m_1 hay m_i với i bất kỳ.

Như vậy, định nghĩa của Shannon chỉ ra rằng một mã an toàn tuyệt đối sẽ không thể bị phá bằng tấn công chỉ biết bản mã, bất chấp kẻ tấn công có sức mạnh như thế nào. Đây cũng là một điểm thú vị cho thấy các mã được sử dụng trong các bộ phim Hollywood thường không phải là mã an toàn tuyệt đối, vì nhân vật chính thường giải mã thành công chỉ bằng cách nhìn chằm chằm vào bản mã (ví dụ như John Nash trong phim A Beautiful Mind).

Câu hỏi hiển nhiển bây giờ là: có mã nào là an toàn tuyệt đối hay không? Rất may câu trả lời là có.

4.1 Bổ đề “tin tốt”

OTP là an toàn tuyệt đối.

Chứng minh:

Xét một bản rõ bất kỳ {m} \in {M}. Với mọi bản mã {c} \in {C}, ta có Pr[OTP(k, {m}) = {c}] = Pr[{k} \oplus {m} = {c}] = Pr[{k} = {m} \oplus {c}] = \frac{1}{|K|}. Điều này đúng với \forall{m} \in {M} nên \forall {m_0}, {m_1} \in {M} và {\forall} {c} \in {C}, ta có Pr[E(k, m_0) = c] = Pr[E(k, m_1) = c]. Vậy OTP là an toàn tuyệt đối theo định nghĩa.

Như vậy chúng ta đã tìm được một mã an toàn tuyệt đối, loạt bài này coi như đã “thành công tốt đẹp” rồi. Chưa đâu! Còn nhớ ở trên chúng ta nói OTP có một vấn đề làm cho nó trở nên vô dụng đó là chiều dài khóa lớn hơn hoặc bằng chiều dài bản rõ. Shannon chứng minh rằng không chỉ OTP mà tất cả mã an toàn tuyệt đối đều có tính chất này. Tôi gọi đây là bổ đề “tin xấu” bởi lẽ nó làm tiêu tan hi vọng về một sự an toàn tuyệt đối của tất cả chúng ta :-( .

4.2 Bổ đề “tin xấu”

Một mã là an toàn tuyệt đối phải có |K| \geq |M|. Nói cách khác chiều dài khóa phải lớn hơn hoặc bằng chiều dài bản rõ.

Bài tập 5: chứng minh bổ đề “tin xấu”.

Câu hỏi bây giờ là: có cách nào giải quyết khuyết điểm của OTP hay không? Chúng ta sẽ tìm câu trả lời trong phần kế tiếp khi bàn về mã dòng (đọc KL 61-77).

]]> http://www.procul.org/blog/2011/10/27/m%e1%ba%adt-ma-hi%e1%bb%87n-d%e1%ba%a1i-2/feed/ 16 BEAST: Một phương pháp tấn công HTTPS mới (2) http://www.procul.org/blog/2011/10/06/beast-2/ http://www.procul.org/blog/2011/10/06/beast-2/#comments Fri, 07 Oct 2011 01:26:38 +0000 thaidn http://www.procul.org/blog/?p=3759 2. CBC – Tấn công Rogaway-Dai

2.1 CBC

Trong định nghĩa của mỗi mã khối (block cipher) đều có một thuật toán mã hóa nhận vào một khối bản rõ (plaintext block) có chiều dài b bit (gọi là chiều dài khối – block size) và một khóa có chiều dài n bit, rồi “nhào trộn” bản rõ và khóa lại với nhau để xuất ra một khối bản mã (ciphertext block) có b bit. Ví dụ như thuật toán mã hóa của mã khối nổi tiếng DES nhận vào một khối bản rõ có chiều dài 64 bit và một khóa có chiều dài 56 bit, rồi xuất ra một khối bản mã có chiều dài 64 bit. Vì lý do an toàn, các mã khối hiện đại thường có b = 128n >= 128, ví dụ như AES-128, AES-192, AES-256 (con số phía sau là chiều dài khóa; tất cả đều có chiều dài khối là 128 bit). Câu hỏi tự nhiên là mã hóa thế nào nếu bản rõ dài hơn b? Chẳng hạn như tôi cần phải làm sao nếu muốn dùng AES-128 để mã hóa bài viết này, vốn chắc chắn dài hơn 128 bit?

Để giải quyết vấn đề này, người ta dùng một phương thức hoạt động (mode of operation) của mã khối. Lưu ý rằng cùng một phương thức hoạt động có thể sử dụng cho nhiều mã khối khác nhau và ngược lại. Mỗi phương thức hoạt động sẽ định nghĩa hai thuật toán: mã hóa và giải mã. Các thuật toán này sẽ sử dụng mã khối và một khóa duy nhất để mã hóa/giải mã các khối dữ liệu có chiều dài lớn hơn b.  Có nhiều phương thức hoạt động, phổ biến nhất là Electronic Code Book (ECB) và Cipher Block Chaining (CBC). Để mã hóa bằng ECB hay CBC, chúng ta cần phải thực hiện hai bước:

  • Nếu chiều dài bản rõ không chia hết cho chiều dài khối thì đệm thêm (pad) một số byte vào bản rõ (padding bytes) để tổng chiều dài chia hết cho b. Có nhiều cách đệm, phổ biến nhất là đệm theo chuẩn PKCS #5.
  • Chia bản rõ ra thành từng khối và mã hóa theo thuật toán quy định trong phương thức hoạt động. Tôi sẽ đi vào chi tiết bước này trong cả hai phương thức ECB và CBC ngay bên dưới.

Điều thú vị là cả hai thao tác này đều đã tạo ra những tấn công rất nghiêm trọng vào các ứng dụng của mã khối trong thực tế. Ví dụ như đối với bước thứ nhất, ở Eurocrypt 2002 Serge Vaudenay đã trình bày tấn công padding oracle, một tấn công chọn bản mã (chosen-ciphertext attack) cho phép kẻ tấn công có thể giải mã bất kỳ bản mã nào, chỉ với một điều kiện là nạn nhân tiết lộ kết quả gỡ đệm trong quá trình giải mã. Sau Vaudenay, đã có rất nhiều nghiên cứu khác về tấn công padding oracle. Tôi và một đồng nghiệp cũng có hai nghiên cứu về đề tài này. Tuy vậy, BEAST không phải là một tấn công padding oracle, nên từ đây về sau chúng ta xem như các bản rõ đều đã được thêm đệm cho phù hợp.

Tôi dùng một số ký hiệu sau đây cho phần còn lại của loạt bài này:

  • Bản rõ được ký hiệu là M, bản mã là C. Bản rõ được chia ra thành m khối P_1, P_2,…,P_m. Các khối này sẽ được mã hóa thành C_1, C_2,…,C_m.
  • Hàm mã hóa của mã khối là E_k, trong đó k là khóa. Tương ứng, hàm giải mã là D_k.
  • Viết X = {X_1}|{X_2}|\cdots|{X_m} nghĩa là kết nối các khối X_i lại với nhau để tạo ra khối X.
  • Vector khởi tạo (initialization vector) được ký hiệu là IV.

Phương thức hoạt động đơn giản nhất là ECB. ECB mã hóa các khối bản rõ độc lập với nhau, cụ thể như sau:

Mã hóa

\displaystyle \begin{array}{rcl} C_i &=& E_k(P_i), i=1,..,m\\ C &=& C_1|C_2|\cdots|C_m \end{array}

Giải mã

\displaystyle \begin{array}{rcl} P_i &=& D_k(C_i), i=1,..,m\\ M &=& P_1|P_2|\cdots|P_m \end{array}

Phương thức mã hóa độc lập này có một tính chất: các khối bản rõ giống nhau sẽ cho kết quả là các khối bản mã giống nhau. Nói cách khác, so sánh giá trị của C_iC_j với i, j bất kỳ chúng ta có thể biết được một chút “thông tin” về P_iP_j. Đây là một tính chất không mong muốn của bất kỳ phương thức hoạt động hay hệ mã nào (bởi vì nó làm cho hệ mã không còn an toàn theo định nghĩa semantic security). Điều thú vị là ECB được chọn là phương thức mặc định trong nhiều thư viện lập trình phổ biến.

Bài tập 1: Quân ta đang ở chiến trường. Mỗi ngày bộ chỉ huy sẽ gửi ra một lệnh cho biết hôm đó quân ta sẽ làm gì. Chỉ có hai lệnh: “TAN CONG” hoặc “PHONG THU”. Do quân địch cũng có thể nghe lén sóng radio, nên để cho an toàn, bộ chỉ huy sử dụng ECB để mã hóa các lệnh trước khi gửi. Tất cả các lệnh đều được mã hóa bằng cùng một khóa duy nhất. Chứng minh rằng ngay trong ngày thứ hai, quân địch đã có thể đoán trước chiến thuật của quân ta.

Bài tập 2: Tìm và liệt kê các thư viện lập trình sử dụng ECB là phương thức hoạt động mặc định. Điểm thưởng: tìm trên Google Code Search các chương trình sử dụng các thư viện này và xem thử có cách nào khai thác điểm yếu của ECB trong các chương trình này hay không.

Vậy làm thế nào để phá vỡ sự độc lập giữa các khối? Làm cho chúng phụ thuộc nhau :-) . Đó cũng là ý tưởng của phương thức CBC. Tên gọi của CBC gợi ý rằng các khối bản mã sẽ được “móc nối” lại với nhau, cụ thể như sau:

Mã hóa

\displaystyle \begin{array}{rcl} C_0 &=& IV\\ C_i &=& E_k(P_i \oplus C_{i-1}), i=1,..,m\\ C &=& C_0|C_1|C_2|\cdots|C_m \end{array}

Giải mã

\displaystyle \begin{array}{rcl} P_i &=& D_k(C_i) \oplus C_{i-1}, i=1,..,m\\ M &=& P_1|P_2|\cdots|P_m \end{array}

Lưu ý rằng khi mã hóa bằng CBC, chiều dài bản mã tăng thêm một khối. Khối tăng thêm này là IV, dùng để mã hóa khối bản rõ đầu tiên. Trong CBC, IV không cần được giữ bí mật, nhưng với cùng một khóa thì IV phải độc nhấtkhông dự đoán được.

Bài tập 3: Giả sử bộ chỉ huy ở bài tập 1 chuyển sang sử dụng CBC. Vì thiếu thiết bị tạo số ngẫu nhiên, bộ chỉ huy quyết định chọn một IV cố định và dùng IV này trong tất cả các lần gửi lệnh. Chứng minh rằng quân địch vẫn có thể đoán trước chiến thuật của quân ta ngay trong ngày thứ hai.

CBC được sử dụng ở rất nhiều ứng dụng của mã khối, trong đó có SSL/TLS. Điểm mấu chốt trong việc sử dụng CBC chính là chọn lựa IV đảm bảo hai tiêu chí ở trên. Rất tiếc người thiết kế SSL/TLS làm sai chỗ này. Bài tập 3 gợi ý rằng, để có IV độc nhất thì nên dùng một bộ tạo số ngẫu nhiên (random number generator). Lưu ý là không phải bộ tạo số nào cũng có thể dùng trong mật mã và hầu hết các bộ tạo số ngẫu nhiên đi kèm theo các ngôn ngữ lập trình đều không an toàn. Có lẽ tôi sẽ viết một bài về đề tài này sau. Quay trở lại giá trị IV. Như vậy trong CBC, mỗi lần mã hóa, chúng ta nên chọn một IV ngẫu nhiên. Câu hỏi là: ngẫu nhiên có bao hàm không dự đoán được? Chắc chắn rồi, bởi nếu đã là ngẫu nhiên thì làm sao mà dự đoán được! Tôi nghĩ sự tồn tại của điểm yếu trong SSL/TLS, tấn công Rogaway-Dai và bây giờ là BEAST đều xuất phát từ chỗ này. Cách mà SSL/TLS chọn các IV để mã hóa các bản ghi (record) khiến các IV này ngẫu nhiên, nhưng lại dự đoán được!

Trong SSL/TLS, dữ liệu từ tầng ứng dụng được chia ra thành từng bản ghi dài không quá 2^{14} byte, rồi các bản ghi này sẽ được mã hóa dùng CBC. Với bản ghi đầu tiên, SSL/TLS sẽ chọn một IV hoàn toàn ngẫu nhiên từ bộ tạo số ngẫu nhiên. Từ bản ghi thứ hai trở đi, SSL/TLS sẽ chọn khối bản mã cuối cùng của bản ghi trước đó làm IV. Ví dụ như bản ghi thứ nhất có 3 khối P_1, P_2, P_3, mã hóa tạo thành 4 khối C_0, C_1, C_2, C_3, thì C_3 sẽ được chọn làm IV cho bản ghi thứ hai. Rồi khối bản mã cuối cùng của bản ghi thứ hai sẽ là IV cho bản ghi thứ ba, v.v. Lưu ý rằng C_3 là hoàn toàn ngẫu nhiên, nhưng nếu như chúng ta biết C_3 trước khi chọn bản ghi thứ hai thì xem như IV của bản ghi thứ hai là dự đoán được. Nói cách khác, IV không dự đoán được nghĩa là chúng ta không thể biết được giá trị của IV trước khi chọn bản rõ.

Vậy chuyện gì sẽ xảy ra nếu chúng ta dự đoán được IV trước khi chọn bản rõ?

2.2 Tấn công Rogaway-Dai

Wei Dai mô tả như sau tấn công này như sau:

Phil Rogaway observed that CBC mode is not secure against chosen-plaintext attack if the IV is known or can be predicted by the attacker before he chooses his plaintext [1]. Similarly, CBC mode is not secure if the attacker can observe the last ciphertext block before choosing the next block of plaintext, because the last block of ciphertext essentially serves as the IV for the rest of the message.

The attack itself is very simple. Remember that in CBC mode, each plaintext block is XOR’ed with the last ciphertext block and then encrypted to produce the next ciphertext block. Suppose the attacker suspects that plaintext block P_i might be x, and wants to test whether that’s the case, he would choose the next plaintext block P_j to the x \oplus C_{i-1} \oplus C_{j-1}. If his guess is correct, then C_j = E_k(P_j \oplus C_{j-1}) = E_k(P_i \oplus C_{i-1}) = C_i, and so he can confirm his guess by looking at whether C_j = C_i.[...]

[1] http://www.cs.ucdavis.edu/~rogaway/papers/draft-rogaway-ipsec-comments-00.txt

Như vậy Dai chỉ ra rằng chúng ta có thể dự đoán được (giải mã!) bản rõ đã quan sát nếu chúng ta biết được IV trước khi chọn bản rõ mới trong CBC. Nếu P_i chỉ nhận 100 giá trị, thì rõ ràng chúng ta có thể giải mã được P_i sau khi thực hiện trung bình 50 bước chọn và thử P_j. Giới hạn của Rogaway-Dai nằm ở chỗ trong thực tế miền giá trị của P_i thường rất lớn. Làm sao để giảm miền giá trị của P_i?

(Phần 3: Tấn công chọn lề)

]]> http://www.procul.org/blog/2011/10/06/beast-2/feed/ 10 BEAST: Một phương pháp tấn công HTTPS mới (1) http://www.procul.org/blog/2011/09/30/beast-1/ http://www.procul.org/blog/2011/09/30/beast-1/#comments Fri, 30 Sep 2011 05:18:14 +0000 thaidn http://www.procul.org/blog/?p=3734 1. Giới thiệu

Bây giờ nhắc đến Netscape chắc ít người còn nhớ, nhưng trong giai đoạn đầu của cuộc cách mạng World Wide Web hồi giữa những năm 1990, Netscape có vị thế như Google hay Facebook bây giờ. Rồi cuộc chiến trình duyệt lần thứ nhất nổ ra và Netscape là kẻ bại trận dưới tay gã khổng lồ Microsoft. Từ chỗ chiếm hơn 90% thị phần trình duyệt với sản phẩm chủ lực Netscape Navigator, Netscape giờ đây không còn được mấy ai biết đến. Dẫu vậy di sản mà họ để lại vẫn rất vĩ đại.

Netscape tạo nên Mozilla và đóng góp mã nguồn vào các phiên bản trình duyệt đầu tiên của tổ chức này. Javascript, ngôn ngữ lập trình được sử dụng phổ biến nhất trên WWW, cũng là một sản phẩm của Netscape. Vậy thì Netscape có liên quan gì đến tiêu đề của bài viết này? Secure Socket Layer (SSL), bộ giao thức giữ vai trò quyết định cho sự hình thành và phát triển của thương mại điện tử, nói không ngoa cũng là niềm hi vọng của cả thế giới về sự an toàn và riêng tư trên Internet, cũng được tạo ra ở Netscape.

Netscape làm xong SSL 1.0 từ năm 1994, nhưng phiên bản này chưa bao giờ được công bố. SSL 2.0 được công bố rộng rãi vào tháng Hai năm 1995. Không lâu sau đó người ta phát hiện ra nhiều vấn đề nghiêm trọng với bộ giao thức này nên vào năm 1996, Netscape phát hành SSL 3.0 với nhiều cải tiến nhằm sửa các lỗ hổng ở SSL 2.0. IETF, tổ chức quy định các tiêu chuẩn trên Internet, chuẩn hóa SSL và tạo ra Transportation Layer Security (TLS) và phát hành TLS 1.0 vào năm 1999.

Năm 2002, trong một email với nhan đề “An attack against SSH2 protocol” gửi đến nhóm phát triển OpenSSH, Wei Dai mô tả một tấn công chọn bản rõ (chosen-plaintext attack) vào cơ chế hoạt động CBC (cipher-block chaining) của các mã khối (block cipher). Tấn công của Wei Dai dựa trên một ý kiến của Phillip Rogaway đưa ra từ năm 1995, khi ông bàn về các điểm yếu trong việc sử dụng mật mã của giao thức IPSEC.

Không lâu sau đó, Bodo Möller, lập trình viên của dự án OpenSSL, nhận thấy tấn công của Rogaway-Dai có thể áp dụng được cho giao thức SSL 3.0 và TLS 1.0. Ông đề xuất một giải pháp khá thông minh, tạm gọi là giải pháp OpenSSL (chi tiết tôi sẽ nói sau) và tích hợp giải pháp đó vào phiên bản OpenSSL 0.9.6d phát hành giữa năm 2002. Tuy vậy, do gặp vấn đề về tương thích với trình duyệt Internet Explorer 6 của Microsoft (ai mà không gặp vấn đề này?), nên giải pháp OpenSSL thường bị gỡ bỏ trong các cài đặt của OpenSSL.

Ngoài OpenSSL ra, không một nhà phát triển SSL nào quan tâm đến tấn công Rogaway-Dai, vì ý tưởng này được xem là chỉ có ý nghĩa về mặt lý thuyết. Không ai nghĩ rằng có thể xây dựng được một tấn công thực thụ vào các ứng dụng SSL từ ý tưởng này, ngoại trừ Gregory Bard. Lần lượt trong hai năm, 2004 và 2006, Bard thử áp dụng tấn công Rogaway-Dai vào SSL trong trình duyệtSSL trong VPN. Mặc dù Bard đã cho thấy được “diện mạo” của tấn công Rogaway-Dai khi áp dụng vào SSL sẽ ra sao, nhưng các tấn công của Bard vẫn không thể áp dụng được trong thực tế (tôi sẽ quay lại điểm này sau).

Trong khi đó, để ngăn chặn triệt để tấn công Rogaway-Dai, IETF quyết định chỉnh sửa TLS 1.0 và phát hành TLS 1.1 vào năm 2006. Đây là một điều chỉnh lớn, bởi vì TLS 1.1 (và TLS 1.2) không tương thích với TLS 1.0 và SSL 3.0. Đối với IETF, tấn công Rogaway-Dai, tồn tại trong hơn 11 năm từ những phiên bản đầu tiên của SSL, xem như là đã được giải quyết rốt ráo. Cho đến khi B.E.A.S.T được giới thiệu trong thời gian gần đây.

BEAST áp dụng Rogaway-Dai để tấn công vào giao thức HTTPS. Nếu như trước đây các tấn công vào HTTPS vốn chỉ tập trung vào việc khai thác điểm yếu của hạ tầng khóa công khai/chứng chỉ số thì BEAST thực sự giải mã các yêu cầu mà trình duyệt gửi đến máy chủ xuyên qua HTTPS, rồi lấy trộm các bánh quy HTTP (HTTP cookie). Trong số các ý kiến bình luận về BEAST, tôi thích nhất ý kiến của Karsten Nohl:

The TLS exploit is a neat fusion of two streams in vulnerability research: Cryptanalysis and client-side attacks. In this case, a known client-side problem–namely (that) Web sites are not shielded from one another–is used to break an assumption in cryptography–that a user’s computer will not attack the user.

Users already need to trust all the Web sites they are visiting due to vulnerabilities in their browsers (“drive-by exploits”) and in trusted Web sites (“tab-nabbing”). The new exploit strongly reminds us of this rule.

BEAST chỉ ra rằng: do tính chất liên kết của Web, rất dễ để thực hiện tấn công chọn bản rõ vào HTTPS. Một website bất kỳ có thể khiến trình duyệt của bạn mở một kết nối HTTPS đến một website khác và trong các kết nối đó, kẻ tấn công kiểm soát được phần lớn nội dung. Nói cách khác, BEAST có thể dễ dàng biến trình duyệt thành một encryption oracle, rồi cứ lần lượt gửi bản rõ vào, quan sát bản mã và lập lại (adaptive chosen-plaintext attack). Trong video trình diễn dưới đây, BEAST sẽ giải mã các yêu cầu HTTPS để lấy các bánh quy HTTP và từ đó truy cập vào tài khoản PayPal của nạn nhân.

(Phần 2: CBC – Tấn công Rogaway-Dai)

]]> http://www.procul.org/blog/2011/09/30/beast-1/feed/ 7 Stuxnet http://www.procul.org/blog/2011/07/15/stuxnet/ http://www.procul.org/blog/2011/07/15/stuxnet/#comments Fri, 15 Jul 2011 04:55:55 +0000 thaidn http://www.procul.org/blog/?p=3469 Wired vừa mới đăng một bài rất thú vị thuật lại quá trình người ta phát hiện và phân tích Stuxnet, con sâu máy tính được cho là đã phá hỏng hàng ngàn máy ly tâm trong các nhà máy làm giàu uranium của Iran:

It was January 2010, and investigators with the International Atomic Energy Agency had just completed an inspection at the uranium enrichment plant outside Natanz in central Iran, when they realized that something was off within the cascade rooms where thousands of centrifuges were enriching uranium.

Natanz technicians in white lab coats, gloves and blue booties were scurrying in and out of the “clean” cascade rooms, hauling out unwieldy centrifuges one by one, each sheathed in shiny silver cylindrical casings.

Any time workers at the plant decommissioned damaged or otherwise unusable centrifuges, they were required to line them up for IAEA inspection to verify that no radioactive material was being smuggled out in the devices before they were removed. The technicians had been doing so now for more than a month.

Normally Iran replaced up to 10 percent of its centrifuges a year, due to material defects and other issues. With about 8,700 centrifuges installed at Natanz at the time, it would have been normal to decommission about 800 over the course of the year.

But when the IAEA later reviewed footage from surveillance cameras installed outside the cascade rooms to monitor Iran’s enrichment program, they were stunned as they counted the numbers. The workers had been replacing the units at an incredible rate — later estimates would indicate between 1,000 and 2,000 centrifuges were swapped out over a few months.

The question was, why?

Tóm gọn lại thì Stuxnet:

1. Chứa mã khai thác 4 lỗ hổng chưa vá (zero-day vulnerability) của hệ điều hành Windows. Trên thị trường mua bán lỗ hổng và mã khai thác, giá của một đoạn mã khai thác lỗ hổng Windows chưa được vá có thể lên đến hàng trăm ngàn USD.

2. Được chứng thực điện tử (digitally signed) bằng khóa riêng (private key) hoàn toàn hợp lệ của hai công ty phần mềm Đài Loan. Điều này giúp Stuxnet “trà trộn” và thay đổi nhưn của Windows mà không bị phát hiện.

3. Chỉ tập trung vào một mục tiêu duy nhất, mặc dù đã được “trang bị tận răng”. Mục tiêu này có vẻ không kết nối Internet, nên Stuxnet cũng không có cơ chế lây lan qua Internet, mà lây lan thông qua mạng LAN hoặc các ổ cứng USB.

4. Âm thầm phá hoại khi đã lây nhiễm vào mục tiêu. Coi phim Hollywood thường thấy bọn cướp ngân hàng hay đánh lừa các hệ thống camera theo dõi bằng cách chiếu đi chiếu lại một đoạn băng đã thu trước. Stuxnet cũng có một đoạn mã dành riêng cho việc đánh lừa các hệ thống theo dõi y như trong phim!

Kết quả là:

If the malware’s aim had been to destroy centrifuges in Iran and cripple the country’s ability to produce a nuclear weapon, the consensus is that it failed. A physical attack would have been much more effective, though obviously much less stealthy or politically expedient. But if its intent was simply to delay and sow uncertainty in Iran’s nuclear program, then it appeared to succeed — for a time.

Earlier this year, the outgoing head of Israel’s Mossad said that unspecified malfunctions had set back Iran’s ability to produce a nuclear weapon until 2015. United States Secretary of State Hillary Clinton also said Iran’s nuclear program had been “slowed,” but added “[W]e have time. But not a lot of time.” Albright has noted that Iran has material to build only 12,000-15,000 centrifuges, and if 1,000 to 2,000 were destroyed, this would hasten the demise of its stockpile.

]]> http://www.procul.org/blog/2011/07/15/stuxnet/feed/ 2 Mật mã khóa công khai: hành trình 35 năm http://www.procul.org/blog/2011/04/12/m%e1%ba%adt-ma-khoa-cong-khai-s%e1%bb%b1-phat-tri%e1%bb%83n-t%c6%b0%c6%a1ng-h%e1%bb%97-v%e1%bb%9bi-cac-nganh-khoa-h%e1%bb%8dc-khac/ http://www.procul.org/blog/2011/04/12/m%e1%ba%adt-ma-khoa-cong-khai-s%e1%bb%b1-phat-tri%e1%bb%83n-t%c6%b0%c6%a1ng-h%e1%bb%97-v%e1%bb%9bi-cac-nganh-khoa-h%e1%bb%8dc-khac/#comments Tue, 12 Apr 2011 22:40:32 +0000 Phan Dương Hiệu http://www.procul.org/blog/?p=3250 (Một phiên bản ngắn hơn của bài  này sẽ đăng trong số kỷ niệm 20 năm báo Tia Sáng. Các bạn có thể xem tại đây)

Mã hóa khóa công khai ra đời cách đây 35 năm, đánh dấu bởi công trình khoa học của Whitfield Diffie và Martin Hellman. Đó thực sự là một bước ngoặt đưa mật mã từ một nghệ thuật thành một ngành khoa học. Trong quá trình 35 năm phát triển, những phát kiến trong mật mã hầu hết rất phản trực quan, và do đó càng bất ngờ thú vị, đã có ảnh hưởng lớn đến nhiều ngành khoa học khác: áp dụng những kết quả trừu tượng trong lý thuyết số vào thực tế; thúc đẩy sự phát triển của các thuật toán xác suất; đưa ra những khái niệm quan trọng trong lý thuyết tính toán mà điển hình là khái niệm chứng minh tương tác; tạo cầu nối giữa lý thuyết số và khoa học máy tính thông qua lý thuyết số tính toán… Trong bài này, chúng tôi sẽ điểm sơ qua sự phát triển của mật mã trong mối liên hệ với các ngành khoa học khác, và thảo luận về những hướng phát triển của mật mã trong những năm tới.

Thay đổi trong cách tiếp cận tính an toàn.

Từ ngàn xưa con người ta đã có nhu cầu trao đổi bí mật: từ những mệnh lệnh trong các cuộc chiến tranh cho đến những hẹn hò thường nhật. Ta tìm thấy vết tích của mật mã từ thời Ai cập cổ đại, cho tới hệ mã nổi tiếng mà Ceasar dùng trong thời La mã, cho tới bức thư tình mà George Sand gửi cho Alfred de Musset… Ở thời kỳ sơ khai, mật mã có thể coi như nghệ thuật che giấu thông tin mà độ an toàn đạt được là nhờ có sự thống nhất một qui ước bí mật chung. Như vậy, thuật toán lập mã và giải mã là bí mật. Nhưng khi tầm ứng dụng càng rộng thì yêu cầu bí mật cơ chế mã lại càng không hợp lý vì nhiều người sử dụng nên tất yếu sẽ rất dễ bị lộ. Cuối thế kỷ 19, Kerckhoffs đề nghị một nguyên tắc xem xét độ an toàn chỉ dựa trên khóa bí mật còn thuật toán lập mã/giải mã không cần phải giữ kín. Qui tắc này đến nay vẫn còn là rất cơ bản. Xuyên suốt thế kỷ vừa qua, người ta đã xây dựng được rất nhiều các cơ chế mã tốt, với độ an toàn dựa trên sự bảo mật của khóa chung giữa người gửi và người nhận. Tuy vậy, sự cần thiết chia sẻ khóa bí mật là một điểm bất thuận lợi, nó là rào cản lớn cho việc trao đổi thông tin trên diện rộng: ví dụ để thiết lập kênh bí mật đôi mội giữa một nghìn người thì cần tới cả nửa triệu khóa bí mật.

Mật mã khóa công khai đã vượt qua rào cản đó và đưa đến một bước ngoặt trong sự phát triển ngành mật mã. Ý tưởng chính của nó khá giản đơn: lập mã và giải mã là hai quá trình có bản chất khác nhau, nếu như giải mã nhất thiết phải dùng khóa bí mật (nếu không ai cũng giải được) thì lập mã lại không nhất thiết như vậy, và thậm chí sẽ càng tốt hơn khi ai cũng có thể lập mã. Do vậy, nếu ta có thể sinh ra một khóa bí mật cho giải mã và một khóa công khai tương ứng cho lập mã thì quá trình lập mã không còn cần bất kỳ bí mật nào. Tuy có vẻ tự nhiên nhưng việc mã hóa sử dụng khóa công khai làm thay đổi hoàn toàn yêu cầu về sự an toàn: khóa bí mật không cần chia sẻ nữa, mỗi người có khóa bí mật của riêng mình và chỉ cần giữ kín nó, không cần thiết phải chia sẻ nó với bất kỳ ai khác. Sự đảm bảo an toàn không còn cần dựa trên sự tin tưởng lẫn nhau giữa người gửi và người nhận.

Mật mã khóa công khai còn làm thay đổi hoàn toàn phạm vi ứng dụng, cho phép mật mã được sử dụng rộng rãi trong thực tế: việc thiết lập kênh bí mật giữa một nghìn hay một triệu người thì cũng chỉ yêu cầu mỗi người cần giữ một khóa bí mật và công bố một khóa công khai, không cần phải thống nhất khóa chung nào. Áp dụng vào thực tế, một cửa hàng trực tuyến có thể thu hút hàng triệu khách hàng mà chỉ cần công khai duy nhất một khóa để ai mua hàng cũng chỉ cần dùng khóa công khai đó để gửi thông tin bảo mật về thẻ thanh toán.

Mật mã với lý thuyết độ phức tạp tính toán

Bên cạnh những ưu điểm mang tính bước ngoặt, mã hóa khóa công khai ẩn chứa một điều đáng lo ngại về tính an toàn: khi công bố khóa công khai tương ứng với khóa bí mật sẽ có thể dẫn tới việc khóa bí mật không còn … hoàn toàn bí mật! Điều lo ngại đó hoàn toàn có cơ sở bởi một kẻ tấn công có thể thử hết các trường hợp có thể để tìm ra khóa bí mật tương ứng với khóa công khai. Do đó, về nguyên tắc, kẻ tấn công có thể phá được sơ đồ mã hóa, tìm ra khóa bí mật mà không cần quan sát bất kể bản mã nào! Chính vì thế mà độ an toàn của mật mã khóa công khai sẽ không thể chỉ dựa trên sự giữ bí mật khóa nữa. Muốn đảm bảo sự an toàn, ta phải chứng tỏ làm sao, dù về nguyên tắc, kẻ tấn công có thể tìm ra khóa bí mật, nhưng thời gian để đạt được mục đích đó phải là rất lớn, cỡ hàng triệu năm trên một máy tính nhanh nhất chẳng hạn. Hay nói cách khác, độ phức tạp mà kẻ tấn công có thể tìm lại khóa bí mật là lớn phi thực tế.

Một cách rất tự nhiên, nghiên cứu độ an toàn của mật mã khóa công khai đã nằm gọn trong lý thuyết độ phức tạp tính toán (Computational Complexity). Trong lý thuyết độ phức tạp, ta không chỉ quan tâm xem một bài toán có thể giải được hay không, mà điều quan trọng nhất là nghiên cứu xem để giải bài toán đó thì độ khó khăn lớn đến đâu. Độ phức tạp được phân cấp theo các lớp, trong đó hai lớp quan trọng nhất là lớp P và lớp NP. Lớp P bao gồm những bài toán giải được trong thời gian đa thức, và nó được coi là lớp các bài toán có thể giải được trong thực tế. Chẳng hạn các bài toán sắp xếp dữ liệu theo một thứ tự định sẵn, tìm đường đi ngắn nhất giữa hai thành phố, biến đổi Fourrier rời rạc (đều có thể thực hiện được với cỡ nlog(n) bước cho n đối tượng, tức là bị chặn bên bởi một đa thức p(n)=n^2) là những bài toán trong P. Lớp NP là lớp các bài toán có thể kiểm tra được lời giải đúng hay sai trong thời gian đa thức. Chẳng hạn trò chơi Sudoku thuộc lớp NP vì để giải nó có thể rất khó (thậm chí nó được chứng minh là một trong những bài toán thuộc lớp khó giải nhất trong NP) nhưng để kiểm tra một phương án có là lời giải không thì có lẽ chỉ cần đến một cậu bé biết phân biệt các con số với nhau và duyệt qua tất cả các ô. Rõ ràng chỉ khi lời giải có thể kiểm tra được trong thực tế thì bài toán mới được quan tâm, do vậy mà lớp NP có vai trò quan trọng. Câu hỏi trọng tâm của lý thuyết độ phức tạp là liệu các bài toán trong NP có thể có lời giải thực tế (tức trong thời gian đa thức) hay không, tức liệu P có bằng NP? Nếu P=NP thì điều đó đem lại một sự bất ngờ cho nhận thức của chúng ta: việc tìm ra lời giải cũng chỉ khó như việc kiểm tra lời giải. Điều khó tin đó làm người ta thường giả thuyết rằng P khác NP. Sự quan trọng của câu hỏi “P chọi NP?” là lý do để nó được viện Clay xếp vào một trong bảy bài toán thiên niên kỷ.

Quay trở lại với lý thuyết mật mã và xem xét nó dưới góc nhìn của lý thuyết độ phức tạp. Giờ đây ta có thể định nghĩa hệ mã bị phá nếu như có thuật toán phá mã (tìm lại khóa bí mật từ khóa công khai, hay đơn giản hơn, tìm lại bản rõ từ bản mã) trong thời gian đa thức. Vậy độ phức tạp của thuật toán phá mã liệu có thể đánh giá trong trường hợp chung? Câu trả lời là có và với mọi sơ đồ mã hóa khóa công khai đều có thuật toán phá mã thuộc lớp NP: do điều kiện cần của hệ mã là khi giải mã ta phải tìm lại đúng bản rõ, bài toán kiểm tra xem 1 khóa bí mật có tương ứng với 1 khóa công khai hay không là dễ dàng (chỉ cần chọn 1 bản rõ, mã nó dùng khóa công khai rồi giải mã nó với khóa bí mật xem có thu lại được đúng bản rõ hay không). Bài toán “P chọi NP” trở nên có tầm quan trọng sống còn tới lý thuyết mật mã: nếu hai lớp này tương đương thì toàn bộ lý thuyết nghiên cứu mật mã dưới góc nhìn độ phức tạp sẽ hoàn toàn sụp đổ vì việc phá mã, vốn thuộc NP, khi đó sẽ có thể thực hiện được trong thời gian đa thức. Và cũng do vậy, nghiên cứu độ phức tạp trong mật mã cần phải dựa trên giả thuyết “P khác NP”.

Hàm cửa lật một chiều và sự phát triển của lý thuyết số tính toán

Khi tính an toàn chia tay với nghệ thuật che giấu bí mật để chuyển sang dựa trên lý thuyết độ phức tạp thì cũng là lúc mật mã bất ngờ tìm đến và làm những nghiên cứu trừu tượng trong lý thuyết số bỗng có những áp dụng đầy ý nghĩa trong thực tế. Nó cũng đưa lý thuyết số tính toán (computational number theory) trở thành một nhánh nghiên cứu quan trọng, nằm giữa vùng giao thoa của toán học và tin học.

Tựu chung yêu cầu để xây dựng mật mã khóa công khai là: hàm lập mã thì dễ (với khóa công khai), nhưng hàm giải mã thì khó khi không có khóa bí mật. Đó là các hàm cửa lật một chiều (trapdoor oneway functions): tính xuôi thì dễ, tính ngược lại phải khó, nhưng với cửa lật là khóa bí mật thì tính ngược, tức giải mã, cũng phải dễ. Yêu cầu trông có vẻ đơn giản đó nhưng thực tế là sau rất nhiều năm tìm kiếm vẫn chỉ có rất ít hàm có thể thỏa mãn. Các bài toán trong lớp NP-đầy đủ (là lớp các bài khó nhất trong NP, trò chơi Sudoku là một trong số đó; ta chỉ cần giải được 1 bài trong lớp NP-đầy đủ trong thời gian đa thức là đủ để chứng tỏ P=NP) rõ ràng là những ứng cử viên tiềm năng để xây dựng hàm cửa lật một chiều. Nhưng thực tế không hề dễ như ban đầu người ta hình dung, vì hai lý do: thứ nhất là bởi các bài toán NP chỉ quan tâm đến độ khó trong trường hợp xấu nhất, trong khi mã hóa cần mã an toàn cho mọi bản rõ nên cần ít nhất độ khó trong trường hợp trung bình; thứ hai là bởi tính chất cửa lật, bài toán cần khó nhưng với một số thông tin thì nó lại phải trở nên dễ giải, và chính yêu cầu về tính chất cửa lật đó đã khiến nhiều hệ mã dựa trên bài toán NP-đầy đủ (như hệ mã Chor-Rivest dựa trên bài toán xếp ba lô) bị phá vỡ.

Những hàm cửa lật thông dụng trong mật mã đã đến từ những bài toán rất cổ điển của lý thuyết số! Đó là bài toán phân tích số (cho một số N = pq là tích của hai số nguyên tố, phân tích nó ra thừa số nguyên tố p,q) và bài toán logarit rời rạc trong trường hữu hạn (cho một phần tử sinh g của một nhóm con của một trường hữu hạn, và một phần tử nhóm u=ga, bài toán là phải tìm lại a). Cả hai bài toán này, tuy về mặt toán học là giải được, nhưng cho đến nay không thể giải được trong thời gian đa thức. Bài toán phân tích số là nền tảng cho độ an toàn của hệ mã nổi tiếng RSA, và bài toán logarit rời rạc là cơ sở cho hệ mã Elgamal. Chính vì tính phổ dụng của hai hệ mã này mà một cách tất nhiên, bài toán phân tích số và bài toán logarit rời rạc trở thành đối tượng nghiên cứu rất được quan tâm. Việc nghiên cứu tính phức tạp của việc tìm ra lời giải cho các bài toán lý thuyết số đã đưa tới sự phát triển sâu rộng của lý thuyết số tính toán.

Sau nhiều công trình nghiên cứu quan trọng thì các bài toán bài toán phân tích số và bài toán logarit rời rạc tuy chưa giải được trong thời gian đa thức nhưng cũng không cần đến thời gian hàm mũ để giải nó, mà đã có các thuật toán dưới mũ (sub-exponention) như thuật toán dùng tính chỉ số (index calculus) và thuật toán dùng đường cong elliptic của Lenstra, được giới thiệu năm 1985. Dù cho những công trình này không làm các hệ mã sụp đổ, nhưng nó buộc phép xây dựng các hệ mã phải giảm hiệu quả vì phải dùng các khóa dài hơn để đảm bảo an toàn. Công trình của Lenstra cũng đánh dấu lần đầu tiên lý thuyết các đường cong elliptic được sử dụng vào mật mã, ở đây có vai trò như phá mã. Điều thú vị là ngay sau đó thì lý thuyết các đường cong elliptic đã được sử dụng cho việc lập mã. Koblitz và Miller cùng độc lập đề nghị thay thế việc sử dụng nhóm trong trường hữu hạn bằng nhóm các điểm trên đường cong elliptic vì ở đó, các thuật toán dưới mũ đã biết để giải quyết bài toán logarit rời rạc có vẻ như không thể áp dụng được. Từ đó việc sử dụng đường cong elliptic dẫn tới dẫn đến những hệ mã hiệu quả hơn (do không cần phải chọn khóa quá dài để chống lại các thuật toán dưới mũ).

Các kết quả lý thuyết sâu sắc trong lý thuyết số tiếp tục được áp dụng vào mật mã. Việc sử dụng đường cong elliptic dẫn tới yêu cầu cần phải lựa chọn những đường cong phù hợp. Tấn công MOV (đưa ra bởi Menezes, Okamoto, và Vanstone) chỉ ra không phải loại đường cong elliptic nào cũng có thể được sử dụng, bằng cách đưa việc giải quyết bài toán logarit rời rạc trên đường cong elliptic trở lại bài toán logarit rời rạc trên một trường hữu hạn mở rộng với độ mở rộng tùy thuộc vào loại đường cong. Do đó, các đường cong siêu lạ (supersingular) rất được ưa dùng ở giai đoạn đầu lại trở nên rất yếu vì ở đó độ mở rộng chỉ cao nhất là 6. Nét đặc biệt trong tấn công MOV là việc sử dụng phép ghép cặp (pairings) trên các đường cong elliptic, với những kết quả khá mới mẻ trong lý thuyết số. Không chỉ phục vụ cho việc phá mã, việc sử dụng phép ghép cặp sau đó đã trở nên cực kỳ hữu hiệu trong việc xây dựng mã. Khởi đầu là Joux đã dùng phép ghép cặp để xây dựng sơ đồ  trao đổi khóa 3 bên, nhưng sự kiện nổi bật là việc dùng phép ghép cặp để giải quyết vấn đề mở về xây dựng mã hóa dựa trên danh tính-Identity based Encryption. Một cách giản đơn, mã hóa dựa trên danh tính cho phép ta sử dụng một khóa công khai duy nhất cho tất cả mọi người (từ đó giải quyết được vấn đề quản lý khóa của mã hóa khóa công khai, tuy vậy nhược điểm của nó là lại cần có thêm người quản trị đáng tin cậy để sinh ra khóa công khai chung và khóa bí mật cho từng người) và hàm lập mã dựa trên khóa công khai chung và danh tính của người nhận như địa chỉ email.  Sau khi Sakai-Ohgishi-Kasahara và Boneh-Franklin đưa ra lời giải cho bài toán mã hóa dựa trên danh tính vào những năm 2000, phép ghép cặp đã được sử dụng hầu khắp trong mọi lĩnh vực của mật mã (mã hóa, chứa ký điện tử, sơ đồ định danh…) để nâng cao tính an toàn và hiệu quả và đôi khi là giải quyết những bài toán mở đã bế tắc trong thời gian dài (chẳng hạn như trong việc xây dựng chữ ký nhóm). Đến cách đây vài năm người ta đã tổ chức hẳn một hội nghị (Pairing-based Cryptograhy) dành cho các nghiên cứu liên quan đến các thuật toán xây dựng và phân tích các phép ghép cặp trên các đường cong elliptic hay hyperelliptic và các phương pháp mã và tấn công mã dựa trên phép ghép cặp.

Nhìn lại các phát triển của lý thuyết số tính toán, ta nhận thấy các phương pháp mới thường được đề nghị đầu tiên cho phá mã, nhưng rồi sau đó lại được sử dụng rất hiệu quả cho việc lập mã. Điều đó cũng phần nào chứng tỏ vai trò tương hỗ giữa cộng đồng những người thám mã và lập mã: trong rất nhiều trường hợp, chính những người say mê tìm cách phá tính an toàn của các hệ thống mật mã, sẽ là những người đem tới những phát kiến mới mẻ để xây dựng những hệ mã an toàn hơn.

Đảm bảo tính an toàn và sự phát triển của lý thuyết các thuật toán xác suất

Để có thể cài đặt được hệ mã RSA, một phần tất yếu là sự cần thiết phải tìm được những số nguyên tố lớn để có thể đảm bảo yêu cầu an toàn tối thiểu (khóa công khai chứa tích của hai số nguyên tố, và nếu một trong hai số nguyên tố là nhỏ thì bài toán phân tích số sẽ là dễ). Từ đó mà yêu cầu tìm các số nguyên tố lớn trở nên rất cần thiết.

Cho tới nay, các phương pháp tìm số nguyên tố lớn đều theo nguyên tắc hai bước: bước 1 là chọn một số tự nhiên đủ lớn và bước 2 là kiểm tra xem số được chọn có là số nguyên tố hay không. Do các số nguyên tố có cấu trúc rất bí hiểm và ta chưa hiểu được quy luật tường minh của chúng nên bước 1 chưa có cách nào khác là chọn một số ngẫu nhiên. Bước thứ 2 là bước kiểm tra tính nguyên tố. Chính những thuật toán kiểm tra tính nguyên tố, mà điển hình là những thuật toán được sử dụng rộng rãi của của Rabin và Solovay, Strassen,  đã khởi đầu cho việc dùng xác suất để thiết kế các thuật toán (chú ý rằng trước đó khá lâu phương pháp xác suất đã được Erd ̋os sử dụng trong việc chỉ ra sự tồn tại của các đối tượng tổ hợp). Các thuật toán xác suất cho ta lời giải không hoàn toàn chính xác, nhưng độ không chính xác có thể làm nhỏ tới bao nhiêu cũng được, với điều kiện đầu vào của thuật toán có một nguồn ngẫu nhiên đủ lớn.

Việc phát triển các thuật toán xác suất dẫn tới sự cần thiết tìm nguồn ngẫu nhiên đủ lớn. Điều đó dẫn tới việc nghiên cứu những bài toán sau đó đã trở nên rất có ý nghĩa trong khoa học máy tính như bài toán trích nguồn ngẫu nhiên (randomness extractor, nhằm từ một nguồn không hoàn toàn ngẫu nhiên ta phải trích ra từ đó một lượng tin có độ ngẫu nhiên cao)  và bài toán sinh dãy giả ngẫu nhiên (pseudo-random generator – từ một nguồn ngẫu nhiên nhỏ làm sao sinh ra một nguồn gần như ngẫu nhiên lớn hơn rất nhiều, nó không hoàn toàn ngẫu nhiên nhưng không có thuật toán nào trong thời gian đa thức có thể chỉ ra tính không ngẫu nhiên của nó)

Sau nhiều phát triển quan trọng của lý thuyết thuật toán xác suất, người ta quay lại hoài nghi “liệu độ ngẫu nhiên có thực sự mang tới sự hiệu quả?”. Bài toán “BPP chọi P” (ở đó BPP là lớp các bài toán giải được theo nghĩa xác suất) là một bài toán mở trọng tâm của lý thuyết độ phức tạp. Cũng như bài toán “P vs. NP”, nếu câu trả lời là hai lớp tương đương thì nó sẽ dẫn tới một khẳng định bất ngờ: mọi thuật toán xác suât đều có thể có thuật toán tất định tương đương. Bên cạnh câu hỏi tổng quan này, các nhà nghiên cứu quay lại với bài toán tìm số nguyên tố nhằm đưa ra một lời giải tất định cho nó. Công trình lý thuyết đột phá của Agrawal–Kayal–Saxena đưa ra năm 2000, đã chỉ ra một thuật toán tất định để kiểm thử tính nguyên tố trong thời gian đa thức, giải quyết trọng vẹn bước thứ 2 một cách tất định. Sự hấp dẫn của một lời giải hoàn chỉnh cho bài toán tất định tìm số nguyên tố chính là nguồn cảm hứng chung rất lớn của các nhà toán-tin học và nó được chọn là bài toán khởi đầu cho một kế hoạch đầy tham vọng nhằm thay đổi tư duy trong hợp tác nghiên cứu khoa học: hợp tác mở thông qua đóng góp, trao đổi mở trên mạng. Với sự nhiệt tình của Timothy Gower, Terence Tao  (cả hai đều đạt giải thưởng Fields), đã có rất nhiều nhà khoa học tham gia vào dự án mở Polymath để cùng trao đổi nhằm tìm kiếm lời giải cho bài toán này. Tuy chưa thể đưa ra lời giải toàn phần, họ đã có một số kết quả dẫn tới một bài báo khoa học dưới tên tác giả Polymath. Rất có thể đây sẽ là một hình thức cộng tác khoa học xuyên biên giới có sức mạnh tổng hợp lớn trong tương lai.

Chứng minh tương tác không để lộ tri thức

Trong mật mã, mọi trao đổi thông tin đều giả thiết có sự hiện diện của kẻ xấu. Mục đích của ta là vừa có thể thuyết phục người đối thoại về tính đúng đắn của một mệnh đề nào đó, lại vừa không cần tin tưởng anh ta, và không muốn sau khi trao đổi anh ta cũng có khả năng chứng minh mệnh đề đó với người khác. Chẳng hạn, một thành viên của một câu lạc bộ bí mật muốn chứng minh danh tính của mình cho người gác cổng, nhưng lại không muốn nói mật khẩu của mình vì sợ chính người gác cổng sẽ bán nó cho kẻ khác. Trong ngữ cảnh đó, một trong những khái niệm thú vị nhất của khoa học máy tính đã được đề nghị: chứng minh tương tác (interactive proofs). Khái niệm này được đưa ra bởi Goldwasser, Micali và Rackof vào đầu những năm 80 và nhờ đó họ đã được trao giải Godel đầu tiên trong lịch sử (giải thưởng hàng năm cho công trình lý thuyết xuất sắc nhất trong khoa học máy tính).

Dưới góc độ toán học, ta thường quan niệm chứng minh là một dãy các lập luận lô gíc có thể trình bày tường minh trên giấy. Liệu chăng yếu tố đối thoại, tương tác giữa người chứng minh và người kiểm tra có mang đến điều mới mẻ? Để trả lời câu hỏi đó, trước hết khái niệm về một chứng minh sẽ phải thay đổi. Goldreich thường trích lời thầy giáo Simon của mình khi giảng về các chứng minh tương tác:

“chứng minh là bất kể cách gì có thể thuyết phục được tôi” (“ A proof is whatever convinces me”).

Theo nghĩa đó, một chứng minh tương tác là một chuỗi các chất vấn, cho tới khi người hỏi bị thuyết phục hoàn toàn bởi người chứng minh. Một câu chuyện vui kể rằng, rằng, một cậu bé cho rằng mình có câu thần chú để mở vách ngăn giữa hai nhánh của một hang động. Tất nhiên cậu ta không muốn lộ câu thần chú của mình, nhưng lại muốn chứng minh khả năng đó.  Trò chơi đuổi bắt có thể là một chứng minh tương tác hiệu quả: chú bé chạy vào 1 trong hai ngã, một người đuổi chon một hướng nhằm dồn chú vào ngách ngăn nhưng cuối cùng không lần nào bắt được chú. Nếu đuổi một lần ta có thể cho là chú đã chọn ngã khác, nhưng lặp đi lặp lại trò chơi tới 100 lần mà không lần nào đuổi được thì có lẽ ta bị thuyết phục là chú đúng là có câu thần chú (ví dụ lấy từ Wikipedia). Các chứng minh tương tác hầu hết dựa trên một tinh thần như thế.

Có những bài toán mà người ta chưa biết cách nào chứng minh trong thời gian đa thức, nhưng lại chứng minh được thông qua tương tác, chẳng hạn bài toán chứng minh hai đồ thị không đồng cấu với nhau.  Hơn thế nữa, trong nhiều bài toán, người chứng minh có thể không cần để lộ ra bất kể tri thức nào anh ta có về cái chứng minh đó (zero-knowledge proofs).

Kết quả rất đẹp của Goldreich, Micali và Wigderson cho ta kết quả bất ngờ: dựa trên giả thuyết tồn tại các hàm một chiều, tất cả những gì ta có thể chứng minh trong thực tế (theo nghĩa trong thời gian đa thức), đều có thể chứng minh mà không để lộ tri thức! Bài toán chứng minh danh tính phía trên là một trong số đó.

Các chứng minh không để lộ tri thức đặc biệt quan trọng trong mật mã, là thành phần cơ bản trong việc xây dựng các sơ đồ mã hóa, chữ ký điện tử. Chứng minh không để lộ tri thức cũng là thành phần không thể thiếu trong một sơ đồ bầu cử điện tử, cho phép mỗi cử tri kiểm tra được lá phiếu của mình đã được tính đến mà việc kiểm phiếu lại không cần phải công bố nội dung từng lá phiếu, đảm bảo quyền lựa chọn bí mật của cử tri.

Ở một khía cạnh khác, chứng minh tương tác cũng là phần hồn của nhánh khoa học «chứng minh tính bảo mật » (provable security), nơi ta cố gắng chứng minh tính an toàn của hệ thống trong một thế giới tương tác rất phức tạp (với sự hiện diện của kẻ tấn công luôn muốn lừa hệ thống thông qua quan sát, nghe trộm, đóng giả người tốt để tương tác với hệ thống) dựa trên những giả thuyết tĩnh, giản đơn của toán học.

Một số hướng đi tương lai của mật mã

Bảo mật trong điện toán đám mây (cloud computing)

Điện toán đám mây cho phép ta lưu trữ những khối lượng thông tin khổng lồ trên mạng và thực hiện các thao tác trên nó một cách dễ dàng. Nó có thể giúp ta giải quyết những bài toán lớn mà trước đây khó có thể giải quyết trên một mạng lưới các máy tính mang tính chất cục bộ. Tuy nhiên, điều đó mang tới một thách thức vô cùng lớn về tính bảo mật. Có hai điều có vẻ như mâu thuẫn nhau: lưu trữ dữ liệu lớn trên các hệ thống xa lạ rõ ràng rất dễ bị đánh cắp thông tin, nhưng nếu ta mã hóa toàn bộ dữ liệu thì sẽ khó có thể tận dụng sức mạnh của tính toán đám mây để thao tác dữ liệu đó.

Nhưng gần đây, vấn đề tưởng khó có thể giải quyết này đã có chút tia hy vọng, với công trình của Gentry năm 2009 về mật mã đẳng cấu theo cả phép nhân và phép cộng (fully homomorphic encryption). Hệ mã này cho phép, từ hai bản mã của hai bản rõ mm’, ta có thể tính được bản mã nhân của mm’ và bản mã cộng của m+m’. Vấn đề với bề ngoài đơn giản nhưng chứa đựng không ít nghịch lý trong đó: hệ mã vừa phải đảm bảo an toàn cho dữ liệu (không thể biết thông tin về bản rõ m, m’), mà lại vẫn thao tác được trên dữ liệu đó. Và cũng với bề ngoài giản đơn như vậy, nó lại mang đến một ý nghĩa rất bao quát: do mọi tính toán đều có thể qui về các phép toán cơ bản là cộng và nhân, một hệ mã như thế sẽ cho ta khả năng làm mọi tính toán trên dự liệu được mã hóa! Điều đó có nghĩa ta có thể để tất cả dữ liệu bảo mật trên những máy mạng không an toàn mà vẫn có thể tận dụng được sức tính toán lớn của điện toán đám mây để thao tác trên dữ liệu được mã hóa. Tuy nhiên, hiện tại, hệ mã Gentry và một số hệ mã cải tiến còn có hiệu quả vô cùng thấp, hầu như chỉ mang tính lý thuyết. Một hệ mã hiệu quả sẽ là lời giải tuyệt vời cho bài toán an toàn thông tin trong điện toán đám mây.

Mở rộng mô hình mã hóa: cho đối tượng nhóm và cho việc giải mã bộ phận

Mã hóa thường cho ta thiết lập kênh trao đổi thông tin giữa một người với một người. Tuy nhiên, những ứng dụng thực tế đòi hỏi khả năng ta mã một lần sao cho nhiều người cùng có thể giải mã. Một ví dụ điển hình là việc phát chương trình truyền hình mã hóa sao cho hàng triệu thuê bao đều giải được mã. Nhưng một ứng dụng như vậy sẽ đặt ra hai vấn đề: mã một lần cho nhiều người (broadcast encryption) và ngăn chặn một người hay một nhóm người thuê bao cấu kết nhau để làm một bộ giải mã giả (tracing traitor). Hiện tại các thuật toán được sử dụng trong truyền hình thuê bao hầu hết đang còn ở thời nguyên thủy: độ an toàn buộc phải dựa trên tính bí mật của thuật toán. Nhưng cũng bởi vậy nên khi một nhóm phá mã có thể phá được nguyên lý bằng kỹ nghệ đảo ngược (reverse engineering) thì thị trường chợ đen có thể bán tràn lan các bộ giải mã giả mà không có cách gì truy lại được ai là thủ phạm.

Hai năm trở lại đây, một hướng nghiên cứu khá mới là về một kiểu mã tổng quát có thể bao quát hết các khái niệm về mã hóa công khai, mã hóa dựa trên danh tính, hay mã hóa một lần cho nhiều người. Đó là loại mã hàm (functional encryption) ở đó nó cho phép người lập mã định nghĩa một cơ chế giải mã để đối với mỗi người nhận, tùy vào thuộc tính được gán có mà có thể truy cập sâu vào bản rõ tới đâu. Cho tới nay, đối với những cơ chế mã với các cấu trúc tương đối phức tạp, các phương án lập mã còn rất hạn chế về hiệu quả. Những kết quả trong tương lai chắc chắn sẽ mang tới những ứng dụng rất hiệu quả, đặc biệt là cho việc truy cập các cơ sở dữ liệu mã hóa lớn.

An toàn trước các tấn công vật lý

Mật mã thường phân tích tính an toàn dựa trên giả thuyết là khóa bí mật được bảo vệ tốt. Tuy nhiên, những tấn công vật lý đôi khi lại có thể tìm ra những thông tin về khóa (chẳng hạn bằng cách đo năng lượng tiêu thụ của máy giải mã trên các bản mã khác nhau). Do vậy, một trong các mục đích của mật mã là tìm cách hình thức hóa các khái niệm tấn công vật lý và tiếp sau đó là thiết kế các sơ đồ mã hóa mà tính an toàn có thể đảm bảo chỉ duy nhất dựa trên các giả thiết toán học. Hướng nghiên cứu an toàn trong mô hình khóa bị lộ (key leakage resilient cryptography) đang khá được quan tâm trong cộng đồng mật mã.

An toàn trước sự tấn công của máy tính lượng tử

Cuối cùng, chúng ta không thể bỏ qua sự hiện diện tiềm tàng của máy tính lượng tử, dù rằng cho tới nay các máy tính lượng tử mới chỉ phân tích được số 21 ra thừa số nguyên tố. Nhưng về mặt lý thuyết, nó có tiềm năng to lớn không thể không kể tới. Công trình của Shor năm 94 đã chỉ ra rằng bài toán phân tích số có thể giải được trong thời gian đa thức bởi máy tính lượng tử.  Bài toán logarít rời rạc trong trường hữu hạn hay trên đường cong elliptic cũng có thể giải được trong thời gian đa thức bởi máy tính lượng tử. Điều đó có nghĩa là các hệ mã thông dụng hiện nay sẽ bị phá vỡ một khi máy tính lượng tử được thiết kế chạy được trên dữ liệu lớn. Để phòng ngừa trước điều đó (dù khả năng sớm xảy ra được đánh giá là rất nhỏ), nhiều nghiên cứu nhằm xây dựng các hệ mã có thể an toàn trước máy tính lượng tử được đề nghị. Hai hướng chính đang được quan tâm là các hệ mã dựa trên mã sửa sai (error correcting codes) và dựa trên lý thuyết lưới Euclid (lattice based cryptography), nơi sự hiện diện của máy tính lượng tử có vẻ như không đem lại hiệu quả đặc biệt.

wordpress statistics


]]> http://www.procul.org/blog/2011/04/12/m%e1%ba%adt-ma-khoa-cong-khai-s%e1%bb%b1-phat-tri%e1%bb%83n-t%c6%b0%c6%a1ng-h%e1%bb%97-v%e1%bb%9bi-cac-nganh-khoa-h%e1%bb%8dc-khac/feed/ 17 Stuxnet, tế bào đầu tiên của Skynet? http://www.procul.org/blog/2010/09/22/stuxnet-t%e1%ba%bf-bao-d%e1%ba%a7u-tien-c%e1%bb%a7a-skynet/ http://www.procul.org/blog/2010/09/22/stuxnet-t%e1%ba%bf-bao-d%e1%ba%a7u-tien-c%e1%bb%a7a-skynet/#comments Thu, 23 Sep 2010 02:21:29 +0000 NQH http://www.procul.org/blog/?p=2336 Skynet là “nhân vật” phản diện trong bộ Terminator. Mấy tháng vừa qua, bà con đang xôn xao về Stuxnet:

The appearance of Stuxnet created a ripple of amazement among computer security experts. Too large, too encrypted, too complex to be immediately understood, it employed amazing new tricks, like taking control of a computer system without the user taking any action or clicking any button other than inserting an infected memory stick. Experts say it took a massive expenditure of time, money, and software engineering talent to identify and exploit such vulnerabilities in industrial control software systems.
Unlike most malware, Stuxnet is not intended to help someone make money or steal proprietary data. Industrial control systems experts now have concluded, after nearly four months spent reverse engineering Stuxnet, that the world faces a new breed of malware that could become a template for attackers wishing to launch digital strikes at physical targets worldwide. Internet link not required.
“Until a few days ago, people did not believe a directed attack like this was possible,” Ralph Langner, a German cyber-security researcher, told the Monitor in an interview. He was slated to present his findings at a conference of industrial control system security experts Tuesday in Rockville, Md. “What Stuxnet represents is a future in which people with the funds will be able to buy an attack like this on the black market. This is now a valid concern.”

Xem thêm bài này, và chuỗi bài này.

]]> http://www.procul.org/blog/2010/09/22/stuxnet-t%e1%ba%bf-bao-d%e1%ba%a7u-tien-c%e1%bb%a7a-skynet/feed/ 2 Cẩn thận với mấy bạn Trung Của http://www.procul.org/blog/2010/02/02/c%e1%ba%a9n-th%e1%ba%adn-v%e1%bb%9bi-m%e1%ba%a5y-b%e1%ba%a1n-trung-c%e1%bb%a7a/ http://www.procul.org/blog/2010/02/02/c%e1%ba%a9n-th%e1%ba%adn-v%e1%bb%9bi-m%e1%ba%a5y-b%e1%ba%a1n-trung-c%e1%bb%a7a/#comments Tue, 02 Feb 2010 06:29:27 +0000 NQH http://www.procul.org/blog/?p=1935 Theo tờ Sunday Times, một tài liệu “bị lộ” của tổ chức phản gián MI5 của Anh cho biết nhiều doanh nhân Anh bị các bạn Trung Của gài bẫy bằng mỹ nhân kế và các phương tiện khác để phải tiết lộ bí mật kinh doanh. Một trong các bẫy khác là các bạn Trung Của tặng cho các doanh nhân các ổ USB có gài rệp, hoặc các máy chụp ảnh. Dùng các ổ USB này thì các con rệp sẽ cho phép các bạn Trung Của truy cập máy tính từ xa. Các “mỹ nhân” thì là gián điệp của quân đội nhân dân Trung Của. Các phòng khách sạn mà chính khách hay doanh nhân thường vãng lai cũng bị cài rệp.

Lần sau đi hội nghị nào do các bạn Trung Của tổ chức, gặp các em groupies, thì các bác cẩn thận, nhất là bác An Hải có nhiều groupies.

]]> http://www.procul.org/blog/2010/02/02/c%e1%ba%a9n-th%e1%ba%adn-v%e1%bb%9bi-m%e1%ba%a5y-b%e1%ba%a1n-trung-c%e1%bb%a7a/feed/ 5 GT 3: Ứng dụng trong dòng dữ liệu và bảo mật http://www.procul.org/blog/2009/12/17/gt-3-%e1%bb%a9ng-d%e1%bb%a5ng-trong-dong-d%e1%bb%af-li%e1%bb%87u-va-b%e1%ba%a3o-m%e1%ba%adt/ http://www.procul.org/blog/2009/12/17/gt-3-%e1%bb%a9ng-d%e1%bb%a5ng-trong-dong-d%e1%bb%af-li%e1%bb%87u-va-b%e1%ba%a3o-m%e1%ba%adt/#comments Thu, 17 Dec 2009 21:39:48 +0000 NQH http://www.procul.org/blog/?p=1838 3. Vài ứng dụng của thử nhóm bất ứng biến

Muthu Muthukrishnan là một khoa học gia máy tính có rất nhiều đóng góp nặng ký trong nhiều nhánh khác nhau: cơ sở dữ liệu, thuật toán, dòng dữ liệu, v.v. Gần đây anh chuyển về Google làm về các thuật toán ad bidding, một nhánh “hot” liên kết kinh tế học và KHMT; có thể xem là một phần của môn “kinh tế tính toán” — còn non trẻ nhưng rất thú vị. Muthukrishan cũng là một trong các khoa học gia vui vẻ dễ gần nhất mà tôi biết. Một lần giới thiệu Muthu nói chuyện, tôi hỏi anh muốn giới thiệu như thế nào, anh bảo giới thiệu thế này: “đây là Muthu, anh ta sẽ nói chuyện”. Muthukrishnan và Cormode mấy năm trước có một bài báo rất thú vị ở hội nghị FUN với nhan đề “Làm thế nào để tăng tỉ lệ nhận bài của các hội nghị đỉnh”. Tôi đã giới thiệu bài này trong một blog post cũ.

Hai bài trước đã bàn về khái niệm thử nhóm bất ứng biến tổ hợp và một vài kết quả cơ bản. Trước khi nói đến các kết quả sâu hơn thì ta quay lại mô tả chi tiết một vài ứng dụng. Ứng dụng đầu tiên do Cormode và Muthukrishnan đề xuất là cho một bài toán trong dòng dữ liệu.

3.1. Một ứng dụng trong dòng dữ liệu

Dòng dữ liệu là một nhánh nghiên cứu khá mới và đầy tiềm năng, dù hai năm đổ lại đây có vẻ hơi bế tắc.

Trong phạm vi của bài này ta chỉ thảo luận một bài toán của dòng dữ liệu: tính các phần tử tần suất cao (heavy hitter). Đại khái, giả sử ta có một router phải xử lý rất nhiều gói dữ liệu trên mạng. (Các routers ở trung tâm của Internet phải xử lý một gói dữ liệu trong vòng vài nano-giây hay thậm chí ít hơn.) Mỗi gói dữ liệu có địa chỉ đích đến. Nếu ta đang quan sát các gói dữ liệu trên dòng các gói đi qua router (cả nhiều triệu gói) mà trong đó có “rất nhiều” gói có cùng đích đến thì có khả năng là đia chỉ đó đang bị tấn công DoS. Ngược lại, nếu quá nhiều gói có cùng địa chỉ nguồn thì máy nguồn có lẽ đang bị một con sâu nhiễm và nó đang quét mạng. Trong ngữ cảnh khác, các ISPs có thể muốn thống kê xem trong số các gói dữ liệu gửi qua mạng của họ, có một số địa chỉ nào xuất hiện với tần suất cao hay không. Còn đây là một ứng dụng khác hẳn: các công ty như Google và Yahoo có rất nhiều “click streams” — triệu triệu clicks con chuột mỗi ngày. Họ có thể muốn biết hiện nay website nào được click nhiều nhất.

Từ những vấn đề thực tế như vậy, chúng ta có thể định dạng bài toán tính các phần tử tần suất cao trong một dòng dữ liệu. Giả sử ta có một dòng {m} gói, trong đó {m} cực lớn và không biết trước. Mỗi gói có nhãn trong tập nhãn {[N]}, trong đó {N} cũng rất lớn. Ví dụ, nếu tập nhãn là các địa chỉ IP thì {N} có thể lên đến {2^{32}}. Chúng ta muốn thiết kế một thuật toán chỉ ra các nhãn có tần suất lớn hơn {m/(d+1)}, trong đó {d} là một tham số (thường là hằng số). Bài toán là thiết kế một thuật toán, xử lý từng gói từng gói một trong dòng, sao cho thời gian chạy và tổng bộ nhớ dùng cho thuật toán là sub-linear trên các tham số {N}{m}.

Chú ý rằng có nhiều cách để định nghĩa bài toán tìm nhãn tần suất lớn này, tùy theo ứng dụng thực tế. Ví dụ, chúng ta có thể muốn tìm {d} phần tử xuất hiện nhiều nhất (không nhất thiết phải lớn hơn {m/(d+1)} lần.)

Ví dụ 1 (Bài toán phần tử đa số) Nếu {d=1} thì ta cần thiết kế một thuật toán trả về nhãn nào xuất hiện nhiều hơn {m/2} lần. Đây là một bài tập rất tốt cho các bạn làm quen với các dòng dữ liệu. Dĩ nhiên, chúng ta không thể dùng một dãy gồm {N} phần tử để đếm nhãn vì như vậy tổng không gian dùng sẽ là {\Omega(N)}. Làm thế nào làm được việc này trong thời gian và không gian polo-log{(m,N)}?

Sau đây là một lời giải rất dễ thương của Fischer và Salzberg; trước đó Boyer và Moore cũng đã đề xuất lời giải tương tự trong một báo cáo kỹ thuật (technical report).

Thuật toán Boyer-Moore-Fischer-Salzberg

Chúng ta sẽ lưu trữ một biến đếm counter và một nhãn, gọi là nhãn hiện hành

1. gán counter =1 và nhãn đầu tiên trong dòng dữ liệu là nhãn hiện hành

2. với mỗi nhãn mới {a} trong dòng dữ liệu (từ nhãn thứ 2 trở đi)

  • nếu {a} giống nhãn hiện hành thì tăng counter lên 1.

  • nếu {a} khác nhãn hiện hành
    • nếu (counter == 0) thì thay nhãn hiện hành bằng {a} và gán counter = 1;
    • nếu (counter > 0) thì giảm counter đi 1

Thuật toán trên chỉ dùng bộ nhớ với kích thước {\Theta(\log N + \log m)}, dĩ nhiên là tối ưu. Khi kết thúc, nếu có tồn tại một phần tử đa số (xuất hiện hơn {m/2} lần) thì phần tử đa số chính là nhãn hiện hành. Rất tiếc là nếu không có phần tử đa số thì thuật toán này không phân biệt được. Có thể chứng minh được rằng một thuật toán luôn luôn chỉ ra được phần tử đa số (hoặc báo cáo là không tồn tại phần tử đa số) buộc phải dùng không gian cỡ {\Omega(m)}. Do đó, nếu chỉ được phép dùng không gian cỡ poly-log thì buộc chúng ta phải chấp nhận các giải pháp xấp xỉ. Ngoài ra, đã có rất nhiều các bài báo khác đưa ra các lời giải tổng quát hơn cho {d>1}, xem bài mới nóng hổi của Cormode-Hadjieleftheriou ở CACM 2009 và các tham khảo trong đó.

Thuật toán như trên và các mở rộng của nó không giải quyết được trường hợp khi ta trừ bớt một nhãn khỏi dòng dữ liệu. Ví dụ, xét dòng dữ liệu là các đơn đặt hàng trên mạng của Amazon, trong đó nhãn của một mặt hàng có thể là loại mặt hàng chẳng hạn. Một cái click của một trong số cả triệu người dùng Amazon sẽ tạo ra một nhãn mới. Nhưng người dùng cũng có thể click để hủy bỏ một đơn hàng đã đặt trước đó. Như vậy, một biến thể của bài toán tính các phần tử tần suất cao đòi hỏi thuật toán cho phép xóa nhãn nữa.

Có một giải pháp của Cormode-Muthukrishnan dựa trên ý tưởng thử nhóm như sau. Giả sử ta có một ma trận {d}-phân-cách {{\bf M}=(m_{ij})} với {t} hàng và {N} cột. Như sẽ thấy trong một bài viết tới, không cần phải xây dựng ma trận này cụ thể ra (vì nếu không sẽ cần không gian {\Omega(tN)}). Ta biết cách thiết kế một thuật toán hiệu quả để xác định xem {m_{ij}=1} hay không. Lưu trữ {t} bộ đếm {c_1, c_2, \dots, c_t}, khởi tạo bằng {0}. Mỗi khi có một nhãn {j} mới tới, nếu {m_{ij}=1} thì tăng {c_i} lên {1}. Còn nếu nhãn {j} được xóa đi thì giảm {c_i} đi {1}, cho với mọi {i}{m_{ij}=1}. Ta cũng đếm tổng số {c} các gói đã đến cho đến thời điểm này, và giảm hoặc tăng {c} tùy theo phần tử mới trong dòng dữ liệu có phải xóa hay không. Tổng số không gian dùng là {O(t\log m)}. Nếu nhãn {j} xuất hiện với tần suất nhiều hơn {c/(d+1)} thì {c_i > c/(d+1)} với mỗi bộ đếm {i}{m_{ij}=1}. Để đơn giản vấn đề, ta sẽ giả sử rằng các nhãn tần suất thấp xuất hiện với tổng tần suất nhiều nhất là {c/(d+1)}. (Có cách để làm mềm cái giả thiết này, nhưng điều đó không quan trọng trong ngữ cảnh của bài này.) Như vậy, nếu {c_i \leq m/(d+1)} thì tất cả các nhãn mà bộ đếm này đếm đều là các nhãn tần suất thấp. Vì thế, từ vector bộ đếm ta có thể xây dựng vector kết quả thử nhóm {{\bf r} \in \{0,1\}^t} bằng cách đặt {r_i = 1} nếu và chỉ nếu {c_i > m/(d+1)}. Theo bài của Cormode-Hadjieleftheriou ở trên thì giải pháp dựa trên thử nhóm cạnh tranh được với các giải pháp khác vì nó có lợi điểm là rất chính xác và nhanh, tuy vẫn còn dùng hơi nhiều không gian.

Giải pháp này rất cần một thuật toán giải mã chạy trong thời gian poly-log{(N)}, sẽ được thảo luận trong một bài tiếp theo. Đây là một động cơ để chúng ta đi tìm cách giải mã kết quả thử nhóm trong thời gian poly{(t, \log N)} cho một ma trận {d}-phân-cách {t \times N}.

3.2. Hai ứng dụng trong bảo mật

Trong bảo mật, chúng ta thường phải kiểm tra tính vẹn toàn dữ liệu (data integrity). Cách thường dùng là kèm với dữ liệu một dạng mã kiểm tra lỗi hoặc mã khôi phục lỗi (error detection, error correction codes). Phương pháp này được dùng mọi nơi, trong đĩa cứng, CD, DVD, gói dữ liệu mạng, vân vân. Đơn giản là ta thường tính giá trị băm (hash value) dùng một hàm băm tốt nào đó và tính lại giá trị này để xác minh tính toàn vẹn dữ liệu. Đây là dạng mã kiểm tra lỗi thông dụng nhất. Giả sử ta phải chứa {N} món dữ liệu trong một cấu trúc dữ liệu nào đó. Ví dụ như mỗi đỉnh của một cây nhị phân, hoặc mỗi nốt trong một danh sách liên kết (linked list), hoặc mỗi nốt trong một danh sách nhảy quãng (skip list), đều có thể là một món dữ liệu. Để kiểm tra tính toàn vẹn dữ liệu, chúng ta có thể chứa {N} giá trị băm của từng món. Sau đó, để kiểm tra tính toàn vẹn, ta tính lại giá trị băm của cả {N} món. Goodrich-Atallah-Tamassia gợi ý chúng ta tính giá trị băm của nhiều tập con của các món dữ liệu này. Khi cần kiểm tra, nếu một giá trị băm không trùng thì ta biết một món trong tập con bị thay đổi. Đến đây, các bạn có thể đoán được rằng ta chỉ cần lưu trữ {O(d^2\log N)} giá trị băm thôi và đã có thể chỉ ra các món dữ liệu bị thay đổi rồi.

Một ứng dụng thứ hai trong bảo mật là ứng dụng để xác minh chữ ký điện tử. Nếu ta có một văn kiện điện tử đã ký dùng khóa riêng, ta có thể dùng khóa công cộng để xác minh chữ ký dễ dàng. Tuy nhiên, nếu phải làm điều này với hàng triệu văn kiện thì cũng tốn nhiều thời gian. Ý tưởng của môn “mật mã hàng loạt” (batch cryptography) là làm thế nào giảm thời gian chạy của các thuật toán mật mã học bằng cách xử lý hàng loạt các tác vụ loại này cùng một lúc. Dĩ nhiên là cái thuật toán chữ ký điện tử phải được thiết kế để nó có thể xác minh hàng loạt một cách hiệu quả được. Thuật toán xác minh chữ ký hàng loạt có tính chất sau đây: có thể đưa cho thuật toán xác minh một nhóm các văn kiện đã ký — thuật toán trả về {0} nếu tất cả các văn kiện đều được xác minh và {1} nếu ít nhất một văn kiện bị lỗi. Một số thuật toán xác minh hàng loạt đã được đề nghị, xem bài này, và bài này cùng các tham khảo trong chúng. Các bạn có thể đoán phần còn lại: các ma trận {d}-phân-cách cho ta biết nên nhóm các văn kiện như thể nào để xác minh hàng loạt. Lý do mà ta cân phiên bản bất ứng biến là vì ta có thể có chạy song song các phép thử trên nhiều bộ vi xử lý cùng một lúc. Bài báo của Zaverucha và Stinson so sánh các giải pháp thử nhóm khác nhau cho bài này. Các cấu hình multi-core hứa hẹn sẽ càng ngày càng phổ dụng. Còn các thuật toán ứng biến thì có bản chất tuần tự. Do đó thử nhóm bất ứng biến là một công cụ quan trọng.

]]> http://www.procul.org/blog/2009/12/17/gt-3-%e1%bb%a9ng-d%e1%bb%a5ng-trong-dong-d%e1%bb%af-li%e1%bb%87u-va-b%e1%ba%a3o-m%e1%ba%adt/feed/ 1 GT 1: Bệnh giang mai, đại số, hồi phục tín hiệu thưa, và dòng dữ liệu http://www.procul.org/blog/2009/12/14/gt-1-b%e1%bb%87nh-giang-mai-d%e1%ba%a1i-s%e1%bb%91-h%e1%bb%93i-ph%e1%bb%a5c-tin-hi%e1%bb%87u-th%c6%b0a-va-dong-d%e1%bb%af-li%e1%bb%87u/ http://www.procul.org/blog/2009/12/14/gt-1-b%e1%bb%87nh-giang-mai-d%e1%ba%a1i-s%e1%bb%91-h%e1%bb%93i-ph%e1%bb%a5c-tin-hi%e1%bb%87u-th%c6%b0a-va-dong-d%e1%bb%af-li%e1%bb%87u/#comments Mon, 14 Dec 2009 17:31:03 +0000 NQH http://www.procul.org/blog/?p=1818 1. Đại số và bệnh giang mai

Hòa thượng (HT) Thích Học Toán là chuyên gia đại số hàng đầu thế giới. (Tôi học đòi cách viết bài của giáo sư Richard Lipton mà tôi rất thích.) Gần đây HT lại thành celebrity sau bầu chọn của tạp chí Time. Nhất định sẽ có nhiều bạn hỏi thế công trình của HT có ý nghĩa như thế nào trong cuộc sống, hoặc ít nhất cũng tìm cách “diễn Nôm” ý nghĩa của đóng góp của HT. Để trả lời các câu hỏi kiểu đó, xin mạn phép gợi ý 3 hướng trả lời sau đây. (Hướng cuối cùng là liên quan đến KHMT, cho nên các bạn hủ máy tính có thể nhảy xuống đó mà đọc, bỏ qua các hướng đầu.)

  1. Kể lại một truyền thuyết về Euclid, do Stobaeus kể lại:

    Khi một chú học trò hỏi Euclid: “chúng ta học hình học thì được cái gì?”, Euclid gọi một anh nô lệ vào bảo: “cho nó một đồng xu, vì nó muốn kiếm lời từ cái nó học”.

  2. Kể lại câu chuyện của Cụ Hinh và Anh La:

    Nghe thiên hạ đồn rằng có bộ kinh tiếng Phạn nọ rất thâm sâu. Cụ Hinh cầu cạnh anh La giảng giải cho. Anh La nhíu mày, rít thuốc, nhâm nhi cà fê cả buổi sáng. Đến chiều, anh La dịch toàn bộ kinh sang tiếng Bồ.

    Cụ Hinh xem xong gật gù tán thưởng.

  3. Đại số có ứng dụng trong trị bệnh giang mai.

Hồi thế chiến thứ 2, Robert Dorfman và David Rosenblatt là hai nhà kinh tế làm việc cho phòng quản lý giá cả (Office of Price Administration) của Mỹ. Họ thiết kế một thủ thục thử máu để chỉ ra ứng viên quân dịch nào có bệnh giang mai. Hồi đó người ta chưa biết chữa giang mai, và rất sợ nó lây lan vào quân dân. (Mặc dù penicillin được Alex Fleming khám phá hồi 1928, phương pháp sản xuất penicilin hàng loạt phải chờ đến đầu thập thiên 40, và sau đệ nhị thế chiến người ta mới thật sự sản xuất penicillin cho đại chúng.) Dorfman có một bài ở tạp chí Annals of Mathematical Statistics mô tả bài toán này và một giải pháp đơn giản.

Số là người ta có thể lẫy mẫu máu của các ứng viên quân dịch. Sau đó có thể dùng phép thử máu Wasserman để xem mẫu máu có kháng nguyên giang mai hay không. Nếu có kháng nguyên giang mai thì nhiều khả năng là chú nhóc bị bệnh, và vì thế sẽ mất dịp tham gia D-Day. Hãy bỏ qua vụ false positive, và cho rằng phép thử máu không bị lỗi: nếu phép thử bảo có là có! (Chúng ta sẽ quay lại với trường hợp phép thử bị lỗi sau.) Vấn đề là thử nhiều triệu mẫu máu như vậy rất tốn thời gian và công sức. Ý tưởng của Dorfman là bỏ nhiều mẫu máu vào một “nhóm” và thử cùng một lúc. Nếu phép thử bảo không thì tất cả các mẫu máu đều âm tính. Nếu phép thử bảo có thì ít nhất một trong các mẫu máu là dương tính. Câu hỏi là, cho trước {N} mẫu máu, thiết kế các nhóm thử — càng ít nhóm càng tốt — để chỉ ra tất cả các mẫu máu dương tính. Mỗi mẫu máu có thể được trích ra để bỏ vào nhiều nhóm. Mỗi nhóm có thể chứa một hoặc nhiều mẫu máu. Phép thử từng cá nhân một cần đến {N} phép thử. Ý tưởng “thử nhóm” có làm giảm đáng kể tổng số các phép thử hay không?

Từ bài báo đó, Môn thử nhóm ra đời. Lúc đầu, nó có thể được xem là một nhánh của môn thiết kế thí nghiệm thống kê (statistical experiment design). Sau nhiều năm, người ta khám phá ra rằng bài toán thử nhóm cũng có thể được đặt theo nhiều cách khác. Thử nhóm là một “thinking paradigm” rất lợi hại mà chúng ta sẽ nói chi tiết hơn trong các bài tiếp theo. Sau đây là một số ví dụ về các ứng dụng trực tiếp của bài toán thử nhóm:

  1. Thay mẫu máu bằng các đồng tiền, và phép thử máu bằng phép cân tiền thì ta có các biến thể của các bài toán tìm tiền giả rất phổ biến.
  2. Stan Ulam (một đồng tác giả của bom nguyên tử H) trong quyển Adventures of a Mathematician có đặt một bài toán gọi là bài toán “20 câu hỏi” như sau: Tí nghĩ trong đầu một số nguyên giữa {1} và một triệu, Tèo có quyền hỏi Tí các câu hỏi nhị phân (nghĩa là câu trả lời chỉ là Có hoặc Không). Tèo cần hỏi bao nhiêu câu hỏi để đoán được con số mà Tí nghĩ? Ở đây, con số bí mật là mẫu máu bị giang mai, các câu hỏi nhị phân là các phép thử máu. Dĩ nhiên, Tí có thể nghĩ nhiều hơn một số bí mật, và trong một biến thể khác thì Tèo cần phải chỉ ra tất cả các con số bí mật mà Tí nghĩ.
  3. Sàng DNA (DNA screening) trong sinh học tính toán
  4. Pattern matching
  5. Dòng dữ liệu (data streaming)
  6. Compressed sensing & sparse signal recovery
  7. Nén ảnh
  8. Nhiều ứng dụng trong mạng máy tính như Thiết kế MAC-protocol cho các mạng cục bộ và mạng cảm biến, gán kênh trong mạng không dây

  9. Rất nhiều ứng dụng trong bảo mật như Digital forensics, Xác minh các chữ ký điện tử theo nhóm
  10. vân vân

Một biến thể rất quan trọng của bàn toán thử nhóm là “thử nhóm bất ứng biến” (non-adaptive group testing), trong đó chúng ta phải thiết kế tất cả các phép thử trước, thử tất các các nhóm cùng một lúc, rồi từ đó chỉ ra các mẫu máu bị bệnh. Nếu cho phép “ứng biến” thì mẫu sau có thể tùy thuộc vào kết quả thử của mẫu trước. Ví dụ như Tèo hỏi Tí “số bạn nghĩ có lớn hơn 500 nghìn không?”, nếu câu trả lời là Có thì hỏi tiếp “số bạn nghĩ có lớn hơn 750 nghìn không?”, còn nếu câu trả lời là Không thì hỏi “số bạn nghĩ có lớn hơn 250 nghìn không?” Trong biến thể “bất ứng biến” thì không được thiết kế các câu hỏi kiểu đó, mà phải viết tất cả các câu hỏi lên giấy, gửi cho Tí tất cả, rồi dựa trên tất cả các câu trả lời để xác định các con số bí mật.

Năm 1964, Kautz và Singleton viết một bài báo trên tạp chí IEEE Transactions on Information Theory, trong đó họ đề ra một cách thiết kế các nhóm chỉ cần {O(d^2 \log^2 N)} phép thử, trong đó {d} là chặn trên của số mẫu máu dương tính, và {N} là tổng số mẫu. Họ cũng chứng minh được rằng tồn tại các phép thiết kế chỉ cần {O(d^2\log N)} phép thử, nhưng không chỉ ra được cách xây dựng. Trong bài báo này, họ nghiên cứu các “mã chồng” (superimposed codes), nhưng hai bài toán xây dựng mã chồng và xây dựng phép thử nhóm bất ứng biến là tương đương nhau. Ý tưởng của họ là dùng một mã phân tách khoảng cách tối đa (Maximum distance separable codes, viết tắt là mã MDS) để xây dựng các phép thử này. Ý tưởng này là một trường hợp đặc biệt của phép nối mã (code concatenation) khá phổ biến trong lý thuyết mã hóa.

Mã MDS phổ biến nhất là mã Reed-Solomon, được dùng hàng ngày trong các ổ đĩa cứng, trong các CD và DVD, trong hệ thống truyền thông xDSL, trong truyền thông vệ tinh, vân vân và vân vân. Ý tưởng chính của mã RS rất đơn giản: để gửi một đa thức bậc {d} trên một trường hữu hạn, ta có thể gửi nhiều hơn {d} điểm mẫu (“sample points”). Mà ta biết, nhờ một định lý cơ bản của đại số về các đa thức trên trường hữu hạn, là ta có thể xây dựng lại đa thức chỉ cần {d+1} điểm mẫu khác nhau.

Gần đây hơn, mã RS và các mã RS tổng quát còn được chứng minh là có tính chất “giải mã danh sách” được (list-decodable), liên quan rất mật thiết đến lý thuyết độ phức tạp và định lý PCP. Dùng các kết quả này, không những chúng ta có thể thiết kế các phép thử nhóm hiệu quả (chỉ cần {O(d^2\log N)} phép thử — tốt hơn phép xây dựng của Kautz và Singleton) mà còn thiết kế được các thuật toán chỉ ra các mẫu máu dương tính rất hiệu quả (chạy trong thời gian poly-log{(N)}). Thời gian giải mã nhanh này rất quan trọng trong một số ứng dụng, ví dụ như ứng dụng dòng dữ liệu.

Hy vọng là mối liên hệ giữa đại số và bệnh giang mai đã được thiết lập. Lần tới chúng ta sẽ đi vào chi tiết kỹ thuật — không phải của bệnh giang mai — mà là của cả bài toán thử nhóm, các thuật toán xây dựng phép thử và giải mã kết quả thử, và của cả một số ứng dụng của bài toán thử nhóm.

]]> http://www.procul.org/blog/2009/12/14/gt-1-b%e1%bb%87nh-giang-mai-d%e1%ba%a1i-s%e1%bb%91-h%e1%bb%93i-ph%e1%bb%a5c-tin-hi%e1%bb%87u-th%c6%b0a-va-dong-d%e1%bb%af-li%e1%bb%87u/feed/ 7