2.2.2. Шифр Вернама

Этот шифр был предложен в 1918 г., однако доказательство его невскрываемости было получено позже К.Шенноном.

Рассмотрим этот шифр для случая двоичного алфавита.

Пусть множество М состоит из слов двоичного алфавита длины n, то есть всего сообщений не более 2ⁿ. В шифре Вернама множество ключей также состоит из двоичных слов той же длины n и каждый ключ используется с вероятностью 2^n.

Пусть необходимо зашифровать сообщение М = m₁ m₂ … m_n и пусть выбран ключ K = k₁ k₂ … k_n. Зашифрованное сообщение С = с₁ с₂ … с_n будем получать по формуле

с_i = m_i  k_i , i = 1, …, n (2.9)

где   знак операции сложения по модулю 2 (побитовая операция xor). То есть сообщение шифруется по схеме:

m



₁ m₂ … m_n

k ₁ k₂ … k_n

с₁ с₂ … с_n

Соответственно, дешифровка осуществляется по формуле:

m_i = c_i  k_i , i = 1, …, n (2.10)

Теорема 2.2. Шифр Вернама является совершенно секретной криптосистемой.

Д о к а з а т е л ь с т в о.

Согласно теореме 2.1 достаточно доказать справедливость соотношения (2.8).

Для условий данной теоремы имеем:

P(C_j | M_i)  P(c₁ c₂ … c_n | m₁ m₂ … m_n) =

= P(k₁ = c₁  m₁, k₂ = c₂  m₂, …, k_n = c_n  m_n) = P(K = k₁ k₂ … k_n) = 2^n. (*)

С учетом этого по формуле полной вероятности получим:

P(C_j) = = 2^n = 2^n. (**)

В последнем переходе учтено, что здесь мы имеем дело с полной группой событий. С учетом (*) и (**) приходим к соотношению (2.8).

Выше мы предполагали, что ключ K шифра Вернама не обладает никакими "регулярными свойствами" (это предположение фактически заложено в условие выбора ключа – см. выше). Однако в действительности первоначальный вариант шифра предполагал работу с периодическим ключом [5]: использовалась закольцованная лента с двоичным кодом. В этом случае, даже если лента очень длинна, последовательность двоичных букв в ключе периодически повторяется и, следовательно, можно взломать шифр, располагая достаточно длинным шифрованным сообщением.

Поэтому впоследствии Д.Моборн предложил улучшить схему шифрования, добившись требуемой структуры ключа за счет выработки последовательности k₁ k₂ … k_n с помощью генератора равномерно распределенных случайных чисел.

Сложность применения шифра Вернама обусловлена большой величиной ключа – его длина должна быть равна длине максимально длинного сообщения, которое может оказаться актуальным в период действия ключа. В этом случае, при необходимости частой смены ключа (а это необходимо как средство защиты от "прямого воровства"), может резко возрасти стоимость секретного канала связи (см. рис. 1.1). Это обстоятельство приводит к тому, что на практике данный шифр редко применяют.

В то же время известно, что шифр Вернама использовался, например, при защите правительственной связи на "горячей линии" "Москва – Вашингтон". Его имеет смысл применять, например, для секретной связи между банком и его филиалами, если они находятся в одном городе. Тогда регулярное оперативное обновление секретного ключа возможно, например, с помощью соответствующей курьерской службой.