3.2.Идеально стойкие криптосистемы
Существуют два основных класса стойкости криптосистем:
Идеально (безусловно) стойкие или совершенные криптосистемы, для которых стойкость к криптоанализу (дешифрованию без знания ключа) не зависит от вычислительной мощности оппонента. Их называют теоретически недешифруемыми (ТНДШ) системами.
Вычислительно стойкие криптосистемы, у которых стойкость к криптоанализу зависит от вычислительной мощности оппонента.
Система является теоретически не дешифруемой, если никакая криптограмма при условии, что ключ неизвестен, не раскрывает никаких сведений о сообщении , зашифрованном в эту криптограмму. В соответствие с теорией информации это происходит при условии, что равна нулю взаимная информация между множеством сообщений и множеством криптограмм. Из этого условия следует, что при неизвестном ключе дешифрования вероятность угадывания переданного сообщения не зависит от того, используется криптограмма или нет.
Оппоненты имеют доступ к открытому каналу связи и перехватывают, подслушивая, все криптограммы сообщений, которые пересылаются от отправителя к получателю. Но при идеальном шифровании, если оппоненты ничего не знают о ключе, криптосистема «обрывает» канал передачи от информации, которой обмениваются легальные пользователи, к оппонентам.
Равносильное
определение идеального шифрования
устанавливает независимость элементов
любой пары
и
из множества сообщений и множества
криптограмм. Независимость означает,
что перехват криптограммы не влияет на
возможность расшифровки сообщения.
Можно показать, что если двоичные элементы ключа выбираются взаимно независимыми и равновероятными, то этого достаточно, чтобы система шифрования оказалась ТНДШ.
Рассмотрим пример построения теоретически недешифруемой системы (рис. 2).
Рис.
2. Система передачи
с
шифрованием двоичных сообщений
Предположим
(не умаляя общности), что сообщение
является двоичной последовательностью
длины n. Тогда можно
сформировать криптограмму как двоичную
последовательность такой же длины n
по следующему правилу:
,
используя
поразрядное сложение
по модулю 2 сообщения
с
ключом
.
Здесь ключ также является двоичной
последовательностью длины n
и играет роль маскирующего слагаемого.
Например, при n = 21
получаем
|
|
011001101111010001110 |
Å |
|
Å |
|
, |
010011110101100110101 . |
|
|
. |
|
|
001010011010110111011 |
При известном ключе , который должен быть передан на приемную сторону каким-либо секретным образом, сообщение легко восстанавливается по той же формуле, по которой производилось шифрование:
,
поскольку
.
3.3.Необходимое условие теоретической недешифруемости
Практическим примером теоретически недешифруемой системы является система шифрования с одноразовым блокнотом. Блокнот выпускается в двух идентичных экземплярах для отправителя и получателя, имеет отрывные страницы, на которых напечатаны таблицы символов ключа. При шифровании и дешифровании значение символа ключа Ki определяется по местоположению соответствующего символа сообщения Mi или шифртекста Ei. Для каждого следующего символа сообщения или шифртекста берется следующий символ из блокнота.
Каждое новое сообщение шифруется с новой страницы. Использованные страницы уничтожаются.
Заметим, однако, что рассмотренная система обладает существенным недостатком. Он заключается в том, что требуемая длина ключа N должна быть равна длине сообщения n:
N = n.
При передаче длинных сообщений необходима генерация, передача, и хранение в секрете огромного числа бит ключа. Это делает рассматриваемую систему дорогой и непригодной для массового применения, доступной разве только привилегированным пользователям. Более того, пока не доказано, что условие n = N , будучи достаточным, является и необходимым для построения любой ТНДШ.
Формулировка необходимого условия ТНДШ рассматривает не отдельные символы, а целые сообщения и выглядит следующим образом: число возможных ключей, используемых в теоретически не дешифруемых (ТНДШ) системах, должно быть не меньше числа сообщений, которые засекречиваются на этих ключах.
Полученный вывод может быть сформулирован и по-другому. Необходимым условием ТНДШ является пропорциональность длины ключа длине сообщения, поскольку, чем больше длина последовательности, тем больше существует для нее вариантов.
Из
теории информации известно, что при
все последовательности, выдаваемые
источником сообщений делятся на два
множества: множество типических и
множество нетипических последовательностей.
С вероятностью близкой к единице источник
формирует только типические
последовательности. Суммарная вероятность
нетипических последовательностей
практически равна нулю, и шифровать их,
прямой необходимости нет. Шифровать
нужно только, так называемые, «типические»
последовательности. Тогда вариантов
ключей может быть меньше, и ключи могут
быть короче.
Более того. Из теории информации известно, что естественные источники (например, разговорные языки) обладают избыточностью. Обычно они производят число символов, несущих информацию, больше, чем необходимо для передачи этой информации. Поэтому для обеспечения наиболее экономного, с точки зрения длины ключа, идеального шифра первоначально выполняется кодирование, устраняющее избыточность (для документов это может быть представлено как архивирование), и лишь затем производится шифрование – сложение по модулю 2 ключевой последовательности со сжатым (более коротким) сообщением.
Таким образом, необходимым условием ТНДШ является пропорциональность длины ключа длине сообщения. Для избыточных источников коэффициент пропорциональности может быть уменьшен.