信息论安全性

一个密码系统具有信息论安全性（英语：Information-theoretic security），意思是说它的安全性完全是以信息论为基础的。这种安全性要求即使攻击者有无限的计算能力也不能破解它。由于一定要使对手根本没有足够的信息来破解，所以这些密码系统被认为是不能以密码分析破解的。关于计算强度有一些不能证明的假设，具有信息论安全性的加密协议不依靠这种假设，所以当未来电脑有新的发展，例如量子计算，它不容易受到影响。一个具有信息论安全性的例子是一次性密码本。信息论安全性通信的概念是在1949年由信息论的发明者，美国数学家克劳德·香农提出来，并用来证明一次性密码本的系统是安全的^[1]。具有信息论安全性的密码系统已被用于最敏感的政府通信，因为敌方政府会尽最大努力试图破解。

有一个有趣的特例是完善保密性：密码系统产生的密文，在没有密钥的情况下，除了总长度以外，不可能泄漏任何有关明文的信息。这其实就是一次性密码本的保密原理。如果 E 是一个具有完善保密性的加密函数，就任何已知的明文 m 对每个密文 c 至少存在一个密钥 k 满足 c = E(k,m) 。可以确定具有完善保密性的任何密码系统，都必须使用与一次性密码本效用相同的密钥。^[1]

在面对拥有无限计算能力的对手时，常常可以见到一些密码系统会泄漏部分的信息，但仍然可以维持它的安全性。这类型的密码系统具有信息论安全性，但是没有完善保密性。这里的安全性是以案例中密码系统的需求为准。

对很多加密作业而言信息论安全性是有用而且有意义的。例如这几项：

秘密分享方案例如 Shamir's（英语：Shamir's Secret Sharing）在少于分享机密的人数时，不会泄漏任何机密信息，所以具有信息论安全性（也具有完善保密性）。
基本上，安全多方计算协议通常，但不是一定具有信息论安全性。
具有多重数据库的 Private information retrieval（英语：Private information retrieval）对用户的查询可以达成信息论安全性。
在各种加密基元或操作之间的归约通常可以达成信息论安全性。以理论的角度而言这种归约很重要，因为可以借此确认如果基元 $\Pi$ 可以实现，那么基元 $\Pi '$ 也可以实现。
对称密钥加密可以用一种叫做 entropic security（英语：entropic security）的信息论概念来架构，这个概念假设对手几乎不知道一点有关于被发送的消息。注意这时要达成的目标是隐藏关于明文的‘所有作用’而不是“所有的消息”。
量子密码学是信息论密码学中的一大课题。

参考文献[编辑]

^ ^1.0 ^1.1 Shannon, Claude E. Communication Theory of Secrecy Systems (PDF). Bell System Technical Journal (USA: AT&T Corporation). October 1949, 28 (4): 656–715 [2011-12-21]. （原始内容 (PDF)存档于2012-01-20）.

[Shannon-1] 1.0 ^1.1 Shannon, Claude E. Communication Theory of Secrecy Systems (PDF). Bell System Technical Journal (USA: AT&T Corporation). October 1949, 28 (4): 656–715 [2011-12-21]. （原始内容 (PDF)存档于2012-01-20）.

[1]