Một hình ảnh vật lý tùy ý có thể là một chìa khóa?

Giả sử một hình ảnh vật lý bí mật tùy ý¹, chẳng hạn như một Polaroid hóa học do tư nhân tạo ra¢ tương tự như hình ảnh này

Có cách nào khả thi và an toàn để hình ảnh vật lý này có thể được sử dụng làm khóa mật mã, có chức năng tương đương với khóa AES hoặc khóa riêng RSA mà không "đi kèm² dữ liệu kỹ thuật số khác" ngoài hình ảnh vật lý không? Chúng tôi sẽ cho rằng một máy quét sẽ số hóa hình ảnh vật lý ở mỗi lần sử dụng và tất cả phần còn lại được xử lý bằng kỹ thuật số.

Chúng tôi có thể muốn phân biệt 4 trường hợp sử dụng

• Mã hóa và giải mã thông điệp đối xứng
• Xác thực và xác minh thông báo đối xứng
• Giải mã bất đối xứng bản mã cho một tin nhắn bí mật, được mã hóa bằng khóa công khai đã tạo trước đó
• Không đối xứng/Chữ ký số của một tin nhắn, có thể xác minh công khai bằng cách sử dụng khóa chung được giả định là xác thực.

Đối với tính không đối xứng, có một vấn đề là trái ngược với các khóa riêng tư truyền thống, hình ảnh vật lý không thể chứa khóa chung, khóa này cần được chuẩn bị riêng (từ quá trình quét độc lập).

Giả sử chúng tôi muốn bảo mật ít nhất³ CPA và bảo mật chữ ký EUF-CMA; và chúng tôi sẵn sàng chấp nhận rằng mật mã và khóa công khai quá lớn, thuật toán chậm và việc giải mã hoặc xác minh chữ ký hợp pháp không thành công với một số xác suất thấp nhưng đáng chú ý.

Nếu điều đó là không thể (tôi không biết phương phápâ´), thì "dữ liệu kỹ thuật số khác đi kèm²" cần thiết có thể được công khai không? Tính toàn vẹn của nó có cần được tin cậy không? Nó cần lớn đến mức nào đối với các loại hình ảnh vật lý khác nhau, có lẽ bao gồm cả dữ liệu sinh trắc học (được cho là riêng tư)? "Dữ liệu khác" này có (những) tên tiêu chuẩn nào?

Cập nhật muộn (2021-09-08): Bây giờ tôi tự hỏi liệu đối với tiền điện tử đối xứng, chúng ta có thể sử dụng kết hợp

• tiền xử lý hình ảnh như trong câu trả lời này;
• Ran Canetti, Benjamin Fuller, Omer Paneth, Leonid Reyzin, Adam Smith: Bộ trích xuất mờ có thể tái sử dụng cho phân phối entropy thấp, ban đầu trong quá trình tố tụng của EuroCrypt 2016;
• AES-GCM với "trình trợ giúp" ở trên được chuyển dưới dạng dữ liệu được liên kết và nhập "trích xuất".

¹ Ban đầu, câu hỏi được đặt ra đối với dữ liệu sinh trắc học được coi là riêng tư và được thu thập theo cách được xã hội chấp nhận. Chẳng hạn, quét võng mạc, và có một phương pháp không thể giả mạo để nhận ra máy quét võng mạc an toàn với những máy sẽ giữ bản sao của bản quét hoặc làm mù người dùng, và các bác sĩ nhãn khoa không giữ tài liệu lưu trữ và việc xoay phím là không cần thiết. Lý do chính mà tôi đề cập đến sinh trắc học là để đẩy lùi nó để sử dụng thay thế trực tiếp khóa mật mã, với lập luận bảo mật cứng rắn hơn là chỉ đáp ứng kém các mục tiêu chức năng.

² Bằng cách "đi kèm", ý tôi là được giữ dọc theo hình ảnh, với cùng một bí mật và tính toàn vẹn. Do đó, câu hỏi không bao gồm e.g. tạo dấu ấn trên hình ảnh vật lý.Nhưng việc nhúng vào bản mã một số dữ liệu được tạo ra từ quá trình quét hình ảnh vật lý sẽ là trò chơi.

³ Ngoài ra, chúng tôi muốn mã hóa đó vẫn an toàn với giả định rằng kẻ thù có thể gửi các bản mã tùy ý cho một nhà tiên tri giải mã và biết được liệu quá trình giải mã có thành công hay không. Điều này tương đương với bảo mật CCA.

â´ Vấn đề chính là kết quả quét khác nhau và không có thuật toán nào có thể sửa chữa (theo cả hai nghĩa của thuật ngữ) nó (ít nhất, đối với tất cả các hình ảnh tùy ý) thành một thứ có thể sử dụng trực tiếp làm khóa trong hệ thống mật mã tiêu chuẩn mà không cần một số "dữ liệu khác". tôi nghi ngờ (mạnh mẽ?) bộ trích xuất mờ có thể giúp ích ở một mức độ nào đó, nhưng tôi thừa nhận rằng bản thân kiến ​​thức của tôi về chúng còn mờ nhạt. Do đó, dường như không thể xác định chức năng biến các lần quét thành khóa cho hệ thống mật mã đối xứng chưa sửa đổi tiêu chuẩn như AES-CTR hoặc AES-GCM, đồng thời đảm bảo an toàn và hoạt động đáng tin cậy ở mức chấp nhận được. Để minh họa độ khó, tôi đã quét một ảnh (không phải ảnh ở trên), 5 lần, sử dụng cùng một máy quét với cùng cài đặt (B&W 8-bit), chỉ di chuyển hình ảnh ở mỗi lần quét và di chuyển thủ công một hình chữ nhật lựa chọn có kích thước không đổi. Dưới đây là các bản quét. Tôi tin rằng bất kỳ thuật toán xác định nào biến các lần quét này thành khóa ổn định sẽ cần chứa dữ liệu được trích xuất từ ​​một trong các lần quét để có được đầu ra ổn định cho các lần quét khác (và sẽ không hoạt động đáng tin cậy đối với hầu hết các lần quét khác được thực hiện từ hình ảnh khác nhau), hoặc sẽ không có đủ entropy trong đầu ra của nó.

Vui lòng để tôi xác nhận vấn đề chính là việc đọc thông tin khóa cá nhân gây ồn ào, do đó hầu hết các kế hoạch tiền điện tử (tất cả đều nổi tiếng) sẽ thất bại. Sửa lỗi là lĩnh vực được thiết lập tốt có toán học/công cụ thích hợp để xử lý vấn đề như vậy.

Đối với chữ ký "khóa riêng ồn ào", người ta sẽ tránh chỉnh sửa thực tế, tập trung vào các quyết định "khoảng cách/số liệu nhỏ" đối với dữ liệu riêng tư trong khi xác minh. Một sơ đồ sửa lỗi cụ thể, mã Goppa, có thể thuận tiện khi kết hợp với giao thức Schnorr để đạt được chữ ký như vậy, IACR 2008/359.

Độ tương tự trình tự có thể là một số liệu khác đôi khi được gọi là Lặp lại song song ngắn (STR) và có một số cơ sở dữ liệu xác định STR pháp y xung quanh. Người ta có thể tiếp cận một số liệu như vậy với mô hình đa thức đặc trưng trình tự và đếm chèn/xóa (đặt thành viên). Có trình tự được thay thế bằng đa thức, người ta sẽ kết hợp nó với Schnorr để đạt được bằng chứng về sự giống nhau của DNA, IACR 2008/357.

Biểu diễn đồ thị đa thức là tiền thân của đa thức đặc trưng trình tự (IACR 2008/363 và MCCS 2012), đạt được đẳng cấu đồ thị, chứng hamilton và tô màu với các thử thách "lớn" (không phải nhị phân như 0 hoặc 1); chưa có lỗi hoặc số liệu tương tự nào.

Các đa thức bí mật sẽ mời một giao thức giống như Schnorr với các đa thức bậc cao hơn (nhiều hơn là tuyến tính, bậc 1) trong thử thách của trình xác minh. Cuối cùng, tất cả các kết quả được đề cập sẽ yêu cầu một số trình trợ giúp/thư viện đại số máy tính được triển khai để xử lý các đa thức bậc cao hơn đó.

Phần thử thách chủ yếu là về xử lý hình ảnh chứ không phải nhiều về tiền điện tử. Bạn muốn trích xuất đủ entropy từ hình ảnh theo cách đáng tin cậy.

Nó liên quan nhiều đến cách bạn sử dụng hình ảnh và mô hình đối thủ của bạn. Nếu đối thủ của bạn hoàn toàn không biết gì về hình ảnh, thì một số đặc điểm thô sơ đơn giản có thể là đủ, nếu đối thủ của bạn biết nhiều về hình ảnh, chẳng hạn như đã nhìn thoáng qua hoặc biết gần đúng nơi nó được chụp, bạn cần phải cẩn thận hơn về thông tin nào được trích xuất từ ​​​​hình ảnh và sẽ cần sử dụng các tính năng hình ảnh chi tiết hơn, điều này sẽ khó trích xuất theo cách ổn định.

Nếu mỗi lần sử dụng, hình ảnh được quét trong cùng một máy quét chất lượng cao và giữa các lần sử dụng, hình ảnh được lưu giữ an toàn để không bị phai màu, nhăn nheo hoặc tích tụ bụi thì sẽ dễ dàng hơn nếu các bản quét ở rất gần nhau và chỉ có tự động căn chỉnh và phân biệt đơn giản (không gian và màu sắc) để có được chuỗi bit gần như giống nhau mỗi lần.

Sau đó, câu hỏi đặt ra là mô hình lỗi chúng tôi có cho kết quả quét là gì? Chúng ta có mong đợi tiếng ồn gaussian không? muối và hạt tiêu? căn chỉnh tiếng ồn? Vòng xoay? bổ sung các mảnh lớn liên tục của tiếng ồn? ánh sáng tiếng ồn? Mỗi loại tiếng ồn có thể được xử lý khác nhau.

Phác thảo chung cho một giải pháp: Chúng tôi sử dụng các kỹ thuật xử lý hình ảnh để giảm thiểu nhiễu để chuyển sang một biểu diễn giúp loại bỏ hầu hết chúng, sau đó bạn giới hạn không gian ở chỉ một số điểm hợp lệ nhất định và chọn điểm hợp lệ gần nhất với điểm chúng tôi phải giảm nhiễu. về không.

Chúng tôi sẽ phân biệt đủ mạnh và chọn đủ các điểm hợp lệ thưa thớt để cho phép chúng tôi đạt được độ ồn bằng 0 một cách đáng tin cậy. Tại thời điểm này, chúng ta vẫn có nhiều hơn độ dài khóa cần thiết nhưng trong một không gian vẫn liên quan chặt chẽ với hình ảnh gốc và do đó, các bit sẽ bị sai lệch và tương quan. Việc áp dụng hàm băm mật mã cho dữ liệu đó sẽ phân loại dữ liệu đó và cho phép chúng tôi có đủ tài liệu khóa chất lượng cao được lấy một cách đáng tin cậy và nhận được cùng một khóa chính xác bất cứ khi nào bạn quét. Điều này có thể được sử dụng như một khóa AES.

Nếu bạn muốn tạo khóa RSA, bạn sẽ cần nhiều bit ngẫu nhiên hơn. Tuy nhiên, bạn có thể trích xuất bao nhiêu bit tùy thích trong khi vẫn nhận được các bit giống nhau một cách đáng tin cậy mỗi lần và sử dụng số đó để tạo PRNG mật mã và sử dụng nó để tạo khóa riêng RSA.

Chỉnh sửa: Tôi đã không cố gắng thực hiện một giải pháp đầy đủ, nhưng tôi đã mở một cuốn sổ tay và chơi với mô hình tiếng ồn được đề xuất, tiếng ồn gaussian và sự dịch chuyển mà tôi tin là được sửa dễ dàng, vì vậy tôi đã kiểm tra xem điều gì sẽ xảy ra nếu tôi xoay hình ảnh (với phép nội suy) 2 độ và xoay ngược lại 1,8 độ, tôi nhận được độ chênh lệch tối đa (trên hình ảnh bên trên) là 33%, điều này chứng minh cho tuyên bố của tôi rằng bằng cách xác định xoay và dịch chuyển bộ đếm tốt nhất, giảm độ phân giải và định lượng mạnh mẽ, bỏ qua các cạnh, chúng ta nên có thể nhận được 1-2 bit trên mỗi kênh trên ~25 vùng pixel. Đối với hình ảnh trên, nó có ít nhất 36K bit và sau khi băm, tôi cá rằng nó sẽ có 128 bit entropy thực tế

Chỉnh sửa 2: Tôi đã tải xuống các hình ảnh quét tỷ lệ xám được cung cấp và chơi với chúng, tôi căn chỉnh bán tự động khi xoay hai hình ảnh đầu tiên.

img = io.imread("quét/scan078.tif")
img2 = io.imread("quét/scan079.tif")
imgr = transform.rotate(img,angle = -0,78)
imgr2 = transform.rotate(img2,angle = -0,805)
tr1=transform.rescale(imgr[:-10,:-6],0.1)[20:-20,20:-20]
tr2=transform.rescale(imgr2[10:,6:],0.1)[20:-20,20:-20]

Việc đọc này sẽ xoay từng căn chỉnh và cắt xén, lấy mẫu xuống 10 lần và cắt xén để loại bỏ các cạnh có thể có tạo tác. Điều này mang lại sự khác biệt Tối đa dưới 6% cho mỗi giá trị pixel. Đó là khá tốt. Tuy nhiên, mức chênh lệch 6% này có thể dễ dàng nằm xung quanh bất kỳ giới hạn nào mà chúng tôi chọn, vì vậy ngay cả khi lượng tử hóa mạnh mẽ cũng không đưa ra 0 lỗi.

bin1 = tr1 > 0,5
bin2 = tr2 > 0,5

Điều này đã tạo ra sự khác biệt ở 103 bit trong số 27248 bit hoặc 0,37% Các lỗi này dường như được trải ra một cách hợp lý. Việc thay đổi kích thước và định lượng tích cực này làm mất rất nhiều thông tin nhưng có lẽ chúng ta vẫn có đủ. Đây là những gì hình ảnh trông giống như:

Các lỗi được trải đều khá tốt (và chúng ta luôn có thể áp dụng một hoán vị cố định hoặc sử dụng các ký hiệu lớn hơn nếu cần). Vì vậy, bây giờ chúng tôi có thể áp dụng bất kỳ bước sửa lỗi nào (ví dụ: Reed solomon), chúng tôi sẽ chỉ thực hiện bước giải mã (không thực sự làm điều này) và chúng tôi sẽ nhận được cùng một đầu ra từ một trong hai hình ảnh có khả năng cao và vẫn có ~ 20K bit.

Nếu chúng tôi giảm tỷ lệ 5x thay vì 10x, chúng tôi nhận được 816 bit khác nhau. nhưng nhận được gấp 4 lần số bit, với mức chênh lệch 0,6%. Có thể chơi với điều này và tìm thấy tối ưu.

Chúng tôi cũng có thể làm tốt hơn ở bước lượng tử hóa và lưu giữ nhiều thông tin hơn một cách đáng tin cậy. Lượng tử hóa tích cực mà tôi đã sử dụng sẽ chỉ hoạt động đối với những bức ảnh được cân bằng hợp lý, một bức ảnh bị phơi sáng quá mức sẽ xuất hiện tất cả một giá trị duy nhất. Chúng tôi có thể thêm tiền xử lý để xử lý tình huống này.

Nếu bạn sử dụng ít nhất 7 xáo trộn riffle để chọn ngẫu nhiên một bộ bài gồm 52 quân bài và chụp ảnh bộ bài trải rộng vừa đủ sao cho có thể nhìn thấy rõ từng chữ cái/bộ bài, điều đó sẽ cho bạn một (nhật ký₂ (52!)) == Khóa bí mật 225 bit để sử dụng trong mã hóa đối xứng. Sau đó, bạn có thể kéo dài phím để đưa bạn lên cao hơn một chút nếu cần.

Bạn có thể đưa ra các kế hoạch tương tự miễn là bạn có đủ quyền kiểm soát đối với các mục được chụp để đảm bảo không có sự mơ hồ. Ví dụ: bạn có thể thả một hộp tăm xuống sàn, sau đó điều chỉnh thủ công từng que tăm sao cho nó chỉ nghiêng một góc 0, 45 hoặc 90 độ trước khi chụp ảnh. Sau đó, quá trình trích xuất chìa khóa sẽ sử dụng góc của mỗi tăm chính xác đến 45 độ.