2.2. Теоретическая стойкость криптосистем 2

Все схемы шифрования можно грубо разделить на два больших класса:

• схемы, принципиально не вскрываемые, что строго доказывается;

• схемы, стойкость которых основана на том, что дешифрование без знания ключа принципиально возможно, но требует неприемлемо больших затрат времени.

В данном разделе мы будем рассматривать схемы первого класса, опираясь, в основном, на методы анализа традиционных криптостистем, развитые К.Шенноном, начиная с его первой работы 1949 г.³

2.2.1. Системы с совершенной секретностью

Пусть М = {M₁, M₂, …, M_m} – множество всевозможных сообщений (например, всех текстов длиной не более 1000 букв), K = {K₁, K₂, …, K_n} – множество всевозможных ключей, C = {C₁, C₂, …, C_q} – множество всевозможных криптограмм (то есть зашифрованных сообщений).

Криптограммы и открытые сообщения связаны функционально: C_j = f(M_i, K_l).

Будем считать, что на множестве М задано распределение вероятностей P, то есть определены вероятности P(M_i), i = 1, …, m. Это априорное распределение вероятностей, которое известно и противнику.

Определение: криптосистема называется совершенно секретной, если выполняется равенство:

P(M_i | C_j) = P(M_i) (2.7)

при всех M_i, K_l, C_j = f(M_i, K_l). {Здесь P(M_i | C_j) – вероятность того, что открытое сообщение есть M_i, вычисленная при условиях: 1) шифрованное сообщение есть C_j (это известно противнику) и 2) C_j получено именно из M_i (это не известно противнику)}.

Поясним это определение. Пусть противник ℰ перехватил криптограмму C_j. Если (2.7) выполняется, то это означает, что он не получил никакой дополнительной информации о переданном сообщении, ему известно только указанное выше априорное распределение вероятностей. То есть знание C_j бесполезно для ℰ.

Рассмотрим конкретный пример. Пусть М – множество сообщений из шести букв на русском языке. Пусть априори известно, что для некоторой системы

P(М = "планер") = 0,00015; P(М = "ракета") = 0,0000012; и т.д.

Допустим, что мы имеем несовершенную систему и после перехвата криптограммы C_j* и необходимых вычислений ℰ получил свои оценки условных вероятностей:

P(М = "планер" | C_j*) = 10^20; P(М = "ракета" | C_j*) = 0,9999.

Это означает, что ℰ практически расшифровал сообщение, так как он практически уверен, что передано слово "ракета", ибо условные вероятности других сообщений меньше 0,00001.

Если же при любой перехваченной криптограмме C_j

P(М = "планер" | C_j) = 0,00015; P(М = "ракета" | C_j) = 0,0000012,

то ℰ может вообще не обращать внимание на перехваченный шифр, а ориентироваться только на априорную информацию о распределении вероятностей.

Свойства совершенной криптосистемы характеризуются следующей теоремой.

Теорема 2.1. Если система является совершенно секретной, то справедливо равенство:

P(C_j | M_i) = P(C_j) (2.8)

при всех i и j. Верно и обратное утверждение: если (2.8) выполняется, то система совершенно секретна.

Д о к а з а т е л ь с т в о.

Далее любое сообщение (открытое или шифрованное) будем считать случайным событием.

По определению условной вероятности для событий A и B справедливо: P(A | B) = = P(AB)/P(B) при P(B)  0. Поэтому при P(C_j)  0 можно записать:

P(M_i | C_j) = P(M_iC_j)/P(C_j) = P(M_i)P(C_j | M_i)/P(C_j).

С учетом (2.7), получим: P(M_i | C_j) = P(M_i | C_j)P(C_j | M_i)/P(C_j), то есть

P(C_j | M_i)/P(C_j) = 1,

что доказывает (2.8). Обратное утверждение доказывается "обратным проходом" по приведенным равенствам.