Tạp chí ATTT đã giới thiệu phần 1 của bài báo “Những điểm sáng – tối trong quan hệ giữa mật mã và toán học”, trong đó đã nêu lên những “điểm sáng” trong mối quan hệ giữa toán học và mật mã. Trong phần 2 này, sẽ nêu lên và phân tích những điểm còn “tối” trong mối quan hệ đó.
3. Một vài điểm còn tối
Mặc dù đã có những ví dụ kỳ diệu về ứng dụng toán học đối với mật mã, nhưng trong mối quan hệ này cũng tồn tại hai nhược điểm lớn trong mối quan hệ giữa toán học và mật mã.
Nhược điểm thứ nhất đề cập tới hiệu ứng đoàn tàu. Vào thập niên 1990, Hội đồng Nghiên cứu khoa học tự nhiên và kỹ thuật Canada gửi cho tôi xem xét một dự án lớn được lập bởi nhóm do một nhà toán học nổi tiếng lãnh đạo, với khẳng định rằng, nghiên cứu được đề nghị sẽ là quan trọng đối với mật mã. Sau khi đọc mô tả dự án, tôi nhận thấy rằng dự án này là mạnh theo quan điểm toán học, những vấn đề về mật mã khá mờ nhạt. Điều đáng tiếc là một vài nhà toán học dường như cảm thấy bị ép vào vị trí nghiên cứu những vấn đề có liên quan với mật mã.
Vào cuối thập niên 1980 NSA nhận thấy đã sai lầm trong việc chống lại cộng đồng toán học trước đó và tìm cách hàn gắn mối quan hệ. Trong giới học viện, cách tốt nhất để cải thiện tranh luận là đầu tư kinh phí cho nghiên cứu khoa học. Do đó họ đã thiết lập một hệ thống tài trợ mà chúng đã trở thành nguồn thu nhập chủ yếu trong những lĩnh vực nhất định, trong đó có khoa học lý thuyết số.
Đối với quan niệm của số đông, sẽ là tốt khi có nhiều tiền dành toán học - dù động cơ của người tài trợ có mục đích gì. Tuy nhiên, cũng có thể có những tác động tiêu cực “tinh tế” đối với toán học. Trước đó nhiều năm, William Thurston và các cộng sự đã cảnh báo về những nguy hại đối với toán học mà phụ thuộc quá nhiều vào nguồn tài trợ quân sự.
Vào đầu thập niên 1990 NSA có đề nghị tài trợ cho hội nghị về chủ đề Các module Drinfeld. Tuy nhiên, yêu cầu đặt ra trong lời đề nghị khiến người ta lo lắng. Trong phiên hội thảo về “ảnh hưởng của hội nghị đối với khả năng cạnh tranh của toán học Mỹ”, những người soạn thảo định chia lĩnh vực giữa toán học Mỹ và “không Mỹ” và biện hộ cho hội thảo về những vấn đề cơ sở sẽ làm tăng địa vị cạnh tranh của những người sáng lập. Có thể nói rằng, toán học có tính quốc tế cao nhất trong các lĩnh vực trí tuệ. Sự tương tác và công việc liên kết trong lĩnh vực toán học dễ dàng vượt qua các biên giới quốc gia. Vì vậy, khó có thể xác định tỉ lệ tín dụng dành cho toán học ở mỗi nước là vì thúc đẩy toán học hay vì lợi nhuận. Một “giọng điệu sô vanh” như thế không phù hợp với tinh thần hợp tác và quốc tế của ngành toán học… Phải chăng họ thảo ra luận điệu này với sự quan tâm chân thành đối với “sự cạnh tranh của toán học Mỹ” hay là để phục vụ cho cái mà họ đoán sẽ là sự nhận thức ở NSA….
Lúc này, nhiều nhà toán học gia nhập đội ngũ nghiên cứu khoa học mật mã. Bên cạnh đó, các nhà mật mã học cũng đã phát hiện ra sức mạnh toán học – công cụ hỗ trợ có thể đắc dụng trong các tình huống cạnh tranh. Họ bắt đầu chứng minh các định lý toán học cho là bảo đảm sự an toàn của hệ thống của họ - ý tưởng là thuyết phục người ngoài cuộc rằng hệ thống của họ là 100% an toàn. Đây là “mặt tối” thứ hai của quan hệ toán học và mật mã học, chúng đã phát triển khi mỗi nhóm tìm những cách khai thác tình trạng của nhóm kia để nâng cao lợi ích của nó. Trước khi giải thích việc dùng (hoặc lạm dụng) này của toán học chi tiết hơn, tôi muốn nhận xét sự đụng chạm về văn hóa nghiên cứu giữa toán học và mật mã.
Việc xuất bản toán học hoạt động có sự khác biệt rõ rệt. Thứ nhất, hầu hết các bài viết xuất hiện trên các tạp chí mà không phải là ấn phẩm hội nghị - và các tạp chí không có thời hạn cuối cùng. Thứ hai, người trong toán học có xu hướng đánh giá thấp các tác giả vội vàng đưa in một số lượng lớn các bài báo nhỏ - cái thuật ngữ xúc phạm là LPU (đơn vị bé nhất có thể xuất bản ) - thay vì chờ đợi cho đến khi họ đã sẵn sàng để công bố một sự giải quyết đầy đủ chủ đề trong một bài viết duy nhất.
Các bộ phận toán học thường tin vào Phỏng đoán sau: Đối với sự phát triển của toán học, sẽ là tốt hơn cho một người nào đó nếu xuất bản một bài báo tuyệt vời trong n năm thay vì n bài gần như vô giá trị trong một năm.
Trong những lĩnh vực khoa học khác – thật không may, bao gồm cả khoa học máy tính và mật mã - phỏng đoán tương tự như thế, trong khi nhiều khả năng là đúng, lại không được tin tưởng rộng rãi.
Mật mã học đã bị ảnh hưởng nặng nề bởi văn hóa ngành khoa học máy tính, nó hoàn toàn khác với văn hóa của toán học. Một vài giải thích cho sự khác nhau giữa hai lĩnh vực có thể là vấn đề của quy mô thời gian. Các nhà toán học, là một bộ phận truyền thống phong phú của hàng ngàn năm qua, cảm nhận sự qua đi của thời gian như một con voi đi. Trong lược đồ lớn các sự vật, sẽ ít quan trọng việc bài báo lớn của họ xuất hiện trong năm nay hoặc năm sau. Khoa học máy tính và mật mã học, mặt khác, lại chịu ảnh hưởng của thế giới doanh nghiệp công nghệ cao, với cuộc chạy đua chiếm lĩnh để là người đầu tiên mang lại một cái mới nào đó cho thị trường. Các nhà mật mã, do đó, thấy thời gian trôi qua như một con chim ruồi bay. Các nhà nghiên cứu hàng đầu muốn rằng thực tế mỗi hội nghị nên bao gồm một hoặc nhiều bài báo vội vàng của họ hoặc sinh viên của họ.
Trong những năm 1980 dường như tất cả các nhà mật mã vui mừng khi thấy dòng càng nhiều các nhà toán học tham gia nghiên cứu mật mã. Hai mươi năm sau, tuy nhiên, tôi có ấn tượng rằng một số người trong số họ muốn rằng chúng tôi đi ngay đi.
Ý tưởng về "an toàn có thể chứng minh" là cung cấp một chứng minh toán học nghiêm ngặt của một loại bảo đảm có điều kiện về sự an toàn của một giao thức mật mã. Là điều kiện ở chỗ nó điển hình có dạng "giao thức của chúng tôi là miễn dịch khỏi với tấn công loại X miễn rằng bài toán Y là khó tính toán."
Ở đây chữ "giao thức" có nghĩa là một dãy cụ thể các bước mà người ta thực hiện trong một ứng dụng đặc biệt của mật mã. Từ những năm đầu của mật mã khóa công khai nó đã trở thành truyền thống việc gọi hai người sử dụng A và B của hệ thống bằng những cái tên "Alice" và "Bob." Vì vậy, việc mô tả một giao thức có thể tiến hành như sau: "Alice gửi cho Bob..., sau đó Bob trả lời với..., sau đó Alice trả lời với..." và cứ như vậy.
Hình thức mà các phép chứng minh an toàn thực hiện là cái được biết đến như một phép suy diễn. Những suy diễn từ vấn đề này đến vấn đề khác ngầm xảy ra thông qua toán học; trong khoa học máy tính, các suy diễn là công cụ chính được sử dụng để so sánh và phân loại các vấn đề theo độ khó của chúng.
Trong các bài báo về an toàn có thể chứng minh, các tác giả cố gắng chứng minh rằng một vấn đề toán học được tin tưởng rộng rãi là khó về mặt tính toán, chẳng hạn như phân tích các số nguyên lớn hoặc tìm lô ga rít rời rạc trên đường cong elliptic, quy về một tấn công thành công lên một dạng được mô tả trước trên giao thức mật mã của chúng. Điều này có nghĩa rằng, bất cứ ai đã có thể phá vỡ hệ thống mật mã của họ cũng, chỉ thêm một chút nỗ lực, có thể giải quyết vấn đề toán học được cho là khó khăn này. Vì điều này được giả định là không thể, nên kết luận rằng giao thức là an toàn có thể chứng minh.
Các nhà toán học nghiên cứu an toàn có thể chứng minh có những lý do để không công nhận suy diễn này. Rõ ràng nhất là, một định lý an toàn có thể chứng minh chỉ áp dụng cho những tấn công thuộc một loại đặc biệt và không nói gì về những tấn công thông minh mà có thể là không được nói đến trong định lý này. Hơn nữa, kết quả này là có điều kiện theo nghĩa mạnh. Không giống như trong toán học, nơi các định lý có điều kiện thường có nghĩa gì đó giống như là "giả thiết rằng Giả thuyết Riemann là đúng" (mà nó gần như chắc chắn là đúng), trong mật mã điều kiện này là loại "giả sử rằng không ai tìm thấy một thuật toán cải tiến cho một vấn đề toán học nhất định" - và đó là phỏng đoán của bất kỳ ai. Thực tế, lịch sử đã phản bác với loại giả thiết thứ hai. Ví dụ, trong cuối những năm 1980 và đầu những năm 1990 sự phát triển của sàng trường số để phân tích các mô đun N của RSA dẫn đến giảm đáng kể thời gian chạy của các thuật toán phân tích tính chỉ số
Các kết quả về an toàn có thể chứng minh thường được sử dụng để gây ấn tượng cho những người có ít hiểu biết về ý nghĩa thực sự của chúng. Giả sử một số người đang sử dụng mật mã khóa công khai để bảo vệ những số thẻ tín dụng trong thương mại điện tử, duy trì bí mật của các hồ sơ y tế, hoặc tạo ra các chữ ký số. Làm thế nào họ có thể chắc chắn rằng hệ thống là an toàn? Đối với những người không phải là chuyên gia, "an toàn có thể chứng minh" có nghĩa là có một sự đảm bảo: đó là mỗi bit cũng tuyệt đối đúng như phép chứng minh của Định lý Pythagore vậy. Theo quan điểm của chúng tôi điều này là rất sai lầm.
Ngoài ra còn có một khó khăn xuất phát từ văn hóa kỷ luật của mật mã mà tôi đã lưu ý trước. Người ta thường viết các bài báo dưới áp lực thời hạn chót và họ hiếm khi đọc bài báo của các tác giả khác một cách cẩn thận. Kết quả là, ngay cả những nhà nghiên cứu giỏi đôi khi vẫn công bố những bài báo với các lỗi nghiêm trọng mà đã còn tồn đọng trong rất nhiều năm.
Năm 1994, hai trong số các chuyên gia hàng đầu trong các lĩnh vực mới của an toàn có thể chứng minh, Mihir Bellare và Philip Rogaway, đề xuất một phương pháp mã hóa dựa trên RSA mà họ gọi là OAEP (O thay cho "tối ưu", một từ bị lạm dụng nhiều trong thế giới công nghệ cao bị cường điệu quá mức). Họ có quan điểm cho rằng, các chứng minh an toàn cần phải đủ chi tiết để người ta có thể nhận được những đảm bảo cụ thể cho những kích thước khóa đã được chỉ ra và lựa chọn các tham số. Một phần vì phép chứng minh an toàn đi kèm với OAEP, nó đã được chấp nhận để sử dụng trong một chuẩn mới về Visa và MasterCard. Tuy nhiên, phép chứng minh đã được đưa ra thực chất là ngụy biện, như Victor Shoup đã phát hiện ra điều này 7 năm sau đó. Đây là một phần của vụ bê bối và khiến cho nhiều người ngạc nhiên về kiểm soát chất lượng trong các bài báo an toàn có thể chứng minh.
Một trường hợp gây ấn tượng hơn so với trường hợp OAEP là một tập "cải tiến" các giao thức thỏa thuận khóa được thiết kế bởi Hugo Krawczyk. Ông làm việc cho IBM và là một nhà nghiên cứu hàng đầu trong an toàn có thể chứng minh. Tháng 2/2005, ông đã gửi một bài báo tới Crypto 2005, trong đó ông tuyên bố đã tìm thấy những lỗ hổng trong hệ thống thỏa thuận khóa Menezes-Qu-Vanstone (MQV). Ông đã thay thế nó bằng một phiên bản sửa đổi (HMQV) mà ông tuyên bố là vừa hiệu quả hơn vừa an toàn có thể chứng minh. Nếu tuyên bố của ông là đúng, thì điều này sẽ là một lúng túng lớn không chỉ cho Menezes và các đồng tác giả của mình, mà còn cho NSA, nơi đã cấp giấy phép MQV từ Certicom và cho các chuyên gia đã nghiên cứu nó một cách cẩn thận.
Krawczyk đã không gửi bài báo của mình cho Menezes hoặc các nhà thiết kế khác của MQV trước khi trình nó, mặc dù làm như vậy sẽ được coi là một sự lịch thiệp trong thế giới khoa học. Nhưng đối với tôi điều dường như tai tiếng hơn là không một ai bàn gì về ban chương trình Crypto 2005. Họ dường như vội vã chấp nhận bài báo sau khi chỉ đọc hời hợt. Khi Menezes cuối cùng có một bản sao của bài báo - sau khi nó đã được chấp nhận bởi ban chương trình - ông lập tức thấy rằng những cái được gọi là lỗ hổng trong MQV mà Krawczyk đã liệt kê thì hoặc được dựa trên sự hiểu lầm hoặc là những điểm lý thuyết tầm thường không có ý nghĩa thực tế.
Cả Krawczyk và trọng tài trong Ủy ban chương trình đã bị mê hoặc bởi cái gọi là các "chứng minh" mà chúng đã thất bại theo nghĩa thông thường. Bất cứ ai làm việc trong lĩnh vực mật mã cũng nên suy nghĩ cẩn thận trước khi bỏ một bước tin cậy vốn đã được đưa vào để ngăn chặn các vấn đề an toàn. Chắc chắn một người nào đó với kinh nghiệm như Krawczyk và sự tinh thông sẽ không bao giờ phạm sai lầm như vậy nếu anh không quá tự tin bởi "chứng minh" an toàn….
4. Kết luận
Mật mã học có vai trò thực tiễn lớn hơn là một lĩnh vực học thuật. Có một lần, một diễn giả từ NSA phàn nàn về các nhà nghiên cứu trường đại học, những người phóng túng, khi đề xuất những hệ mật không được kiểm tra. Ông chỉ ra rằng, trong thế giới thực nếu hệ mật của bạn thất bại, tổ chức mất một triệu đô la hoặc nhân viên bí mật của tổ chức bị giết. Tại học viện, nếu một viện sĩ viết về một hệ mật và một vài tháng sau đó tìm thấy một cách để phá vỡ nó, viện sĩ đó đã có hai bài báo mới để bổ sung vào lý lịch khoa học.
Kịch tính và xung đột là vốn có trong mật mã học, thật ra, nó có thể được định nghĩa là khoa học truyền và quản lý thông tin với sự hiện diện của kẻ thù. Tâm lý "gián điệp đối chọi với gián điệp" của đối thủ cạnh tranh và sự đua tài đưa tới văn hóa kỷ luật của lĩnh vực này. Điều này có thể xem là động lực nghiên cứu trong lĩnh vực mật mã học.
