Вопрос 36. Теоретико-автоматная характеризация шифросистем колонной замены.

Последовательность суммарных шифров зависит только от ключа (k,s) и не зависит от открытого сообщения.

Определение1:Шифросистема (А, А)- шифросистема колонной замены, если приведенная форма шифратора передачи есть внутренне автономный автомат.При X=Y- равносильна. Получаем:1* ==()^-1. Шифросистемы колонной замены получили наибольшее распространение в практике т.к. они не распространяют искажение.

Теорема1. Пусть (A, A)-произвольная шифросистема,X=Y, тогда шифросистема приемаAне распространяет искажений, когда(A, A)- шифросистема колонной замены(ШКЗ).

Доказательство: т.к.X=Y => A=A^-1- инъективный, по следствию (] A- инъективный автомат => А- не распространяет искажений  A/~- внутренне автономный) => нераспространение искажений инъективным автоматом А -внутренне автономен (1*) -внутренне автономен => (A, A)- ШКЗ по определению.

Теорема2: Пусть (A, A)- ШКЗ, Г={f_(k,s)(k,s)KS}- множ-во всех суммарных шифров шифратора передачи, тогдаа) n(A) : ГⁿГ: шифратор передачи А- представляется автоматом

Причем, при n<(A) такойне существует.б) (А)=m(A)=l(A)- если (А, А)- шифросистема гаммирования.

Доказательство: Пусть =(X, KS, Г, h, );_((k,s),x)=f_(k,s);- не зависит от входа => /~ -автономен; Отношенияв А и совпадают =>(A)=() => т.к. было упражнение, где доказано, что - представляется() ,без узла:y<--<--x; следуетA- представляется (). Для б): Пусть X^=(A), A_(k,s)()=A_(k,s)(), тогда по определению шифросистемы гаммирования следует, что совпали последовательности суммарных шифров: _(k,s)()=_(k,s)() => это равенство справедливо для любой последовательностиxX^ , последовательность суммарных шифров не зависит отx₀ => ключи (k,s) и (k,s) эквивалентны.последовательность является диагностическим экспериментом, аl-минимальное, тогда=(A)l(A) следует в силу ранее определенного неравенства(А)m(A)l(A) теорема доказана.

При таком представлении ключами являются (). Их всегоГⁿKS-налицо уменьшение трудоемкости подбора.(А)log_Г(KS), при малых длинах различимости. Из определения 1 и равенства 1* =>приX=Yвсякая ШКЗ (А^-1, А) может быть представлена с точностью до эквивалентности шифраторов при фиксированном долговременном ключеkв следующем виде:

блок: (1)(1) - совпадают с автономным автоматом, реализующим h_k: SS, в блоке (2)- реализуется суммарный шифрf_(k,s) в данном такте, в блоке (2)- обратное к нему биективное преобразование, т.е. f_(k,s)= f^-1_(k,s): ПриX=Y={0,1)  2 тождественных подстановки: => , что блоки(2) и (2) совпадают и представляются в виде:

, где ,_k: SX, получаем следующее утверждение:

Утверждение: ПриX=Y={0,1} всякая ШКЗ (с точностью до эквивалентности шифраторов) является инволютивной шифросистемой и шифросистемой гаммирования. S={0,1}ⁿ.

Вопрос 37. Характеризация эквивалентности ключей шифросистем колонной замены.

Шифросистема (A',A) удовлетворяет следующим условиям: X=Y и h- не зависит существенно от ключа(k,x)KX, т.е. получаем соответствие1* h=h((k,s),x)=h(s); h: SS - это шифросистема колонной замены, т.к.h не зависит отx.

Утверждение: Если выполнено 1* h- одноцикловая подстановка множ-ваS; k₁,k_2-- два долговременных ключа; s₁,s₂ - два разовых ключа; h^d(s₁)=s₂, гдеd - расстояние отs₁ доs₂. Справедливы следующие утверждения: а) (k₁,s₁)~(k₂,s₂)  f_(k1)(s,x)=f_(k2)( h^d(s),x) ,s,x; б) k₁~k₂  d0: f_(k1)(s₁,x)=f_(k2)(h^d(s),x),s,x; в) (k₁,s₁), (k₂,s₂)-изоэквивалентны g₁: XX, g₂:YY- подстановки: f_(k1)(s,x)=g₂(f_k2(h^d(s),g₁(x))) ,s,x

Доказательство: а): (k₁,s₁)~(k₂,s₂)  выходные последовательности при начальных состояниях совпадают для любой входной последовательности f_(k1)( hⁱ(s₁),x)= f_(k2)(hⁱ (s₂),x), i0 ,x f_(k1)( hⁱ(s₁),x)= f_(k2)(h^d(hⁱ(s₁)),x) i0 ,x, а т.к.h-одноцикловая => hⁱ-пробегает всеS => f_(k1)(s,x)= f_(k2)(h^d(s),x); x,s. Эквивалентность ключей - разовое состояние между ними.

б) по определению понятия эквивалентности долговременных одноцикловых ключей, получаем, что k₁~k₂  s₁,s₂: (k₁,s₁)~(k₂,s₂) => (а) для некоторого d.

в) Определение изоэквивалентности для рассматриваемого ШС означает: g₂(f_(k2)(hⁱ (s₂),g₁(x)))=f_(k1)( hⁱ(s1),x) i0,x; далее точно также как и в доказательстве пункта а) приходим к равенству:g₂(f_(k2)(h^d (s),g₁(x)) = f_(k1)(x) x,s.