Шемякин лекции 2023 / Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии
.pdfШифры замены
§ 5.4. Многоалфавитные шифры замены
Напомним, что правило зашифрования многоалфавитного шифра однозначной замены определяется следующим обра
зом. Пусть х = (я, |
— открытый текст, представленный |
|||
последовательностью |
шифрвеличин |
х ( е11, / = 1,/, |
и к — |
|
произвольный ключ. Тогда |
|
|
|
|
Ек(х) = (яг. О |
, |
я,(х,)), |
(2) |
где ^ , / = 1,/, — некоторые подстановки на множестве всех
шифрвеличин, однозначно определяемые данным ключом. При этом здесь и далее мы ограничимся рассмотрением слу чая, когда множества шифрвеличин и шифробозначений сов падают друг с другом (II = V ).
Заметим, что в рассматриваемых условиях любой много алфавитный шифр представляет собой совокупность шифров простой замены, каждая из которых используется для зашиф рования очередной шифрвеличины в соответствии с вспомо гательной последовательностью у/(к, /) (распределителем), определяемой выбранными ключом и открытым текстом по формуле (1), приведенной в гл. 3. Принципиально один мно гоалфавитный шифр отличается от другого лишь способом образования распределителя.
На практике используются в основном поточные много алфавитные шифры, среди которых выделяются два больших подкласса — шифры, реализуемые дисковыми шифраторами, и шифры гаммирования. В литературе можно найти упомина ние и о других примерах поточных многоалфавитных замен (см., например, [Са178]). В подобных шифрсистемах в (2) потенциально могут использоваться все возможные подста новки п данного алфавита. Они строятся с помощью произ
121
I лава Ь
ведений определенного вида из небольшого числа исходных подстановок.
В следующем подпункте мы остановимся на дисковых шифрах, а шифрам гаммирования, в силу их большой значи мости, отведем отдельную главу.
§ 5.5. Дисковые многоалфавитные шифры замены
Общая характеристика и принцип действия дискового шифратора были даны в гл. 1. Здесь мы рассмотрим правило зашифрования и некоторые свойства такого шифра.
Прежде всего следует выписать преобразование символов алфавита (в качестве которого, как и ранее, будем рассмат ривать множество Ъп = {0,1, ... ,я - 1}), осуществляемое дви
жущимся диском. Для этого рассмотрим два соседних угло вых положения диска при его повороте (по часовой стрелке). Пусть в исходном положении диск реализует подстановку
Для того чтобы выписать подстановку, реализуемую дис ком после поворота на угол 2я / 9взглянем на соответствую
щие рисунки (см. рис. 15, 16).
Так как диск сдвигается как твердое тело, символ откры того текста, поступающий на него с входной розетки, прохо дит затем по имеющимся в диске соединениям, превраща ясь в символ шифртекста.Разница между двумя рассматри ваемыми положениями диска, как видно из рисунков, состоит лишь в том, что после поворота символы с входной розетки поступают на входные контакты диска, номера которых уменьшаются на единицу (по модулю п ). Мы можем перену меровать входные символы, уменьшив каждый на единицу.
122
Шифры замены
Тогда входные контакты диска будут совпадать с входными символами, которые, пройдя по своим траекториям через диск, попадут на контакты выходной розетки. Чтобы вернуть ся к исходной нумерации символов, следует их увеличить на единицу.
Вх. розетка |
Диск |
Вых. розетка |
Р и с . 15. Начальное расположение диска
Вх. розетка |
Диск |
Вых. розетка |
Р и с . 16. Положение диска после поворота
Если ввести в рассмотрение подстановку
' 0 1... л - 2 л - 1 4
Т =
, 1 2... л - 1 О
то из сказанного выше следует, что после поворота диск реализует подстановку, представимую в виде произведения подстановок:
123
|
|
|
|
|
|
|
|
/ лава 5 |
|
|
х т = ( * ) |
Г/- |
пС |
л , |
1 |
Г * ) |
|
|
|
|
/—,1 |
= |
||||
|
|
|
|
|
|
+1, |
+1, |
|
2тп |
Теперь очевидно, что при |
повороте |
диска на угол |
|||||
|
----- - |
диск |
будет |
реализовать подстановку |
||||
п |
, т = \,п-\, |
|||||||
|
|
|
|
|
|
|
|
|
гр—7П ^ |
грШ |
|
|
|
|
|
|
Рассмотрим теперь дисковый шифратор, состоящий из не скольких насаженных на общую ось дисков, так что символы с входной розетки, попадая на блок дисков, последовательно прохо дят перепайки каждого из дисков, попадая на контакты выходной розетки. Обычно при работе такого шифратора диски при шифро вании очередного знака открытого текста сдвигаются (по опреде ленному правилу) на некоторые угловые положения (кратные
2л /) . Схема движения дисков является ключевым элементом
шифратора. Получим правило зашифрования текущего знака от крытого текста такого шифратора.
Пусть в начальных угловых положениях рассматриваемые диски реализуют подстановки Х 1Э...,Х ^ из симметрической
группы 8 п (они также являются ключевыми элементами) и в дан ный такт шифрования данные диски находятся в соответствую щих угловых положениях у ^ , у^ е 0, п - 1. Это означа
ет, что /-й диск реализует подстановку Т~Гг • X; • Т Гг. Тогда
очередная буква открытого текста X будет зашифрована в букву
У ~ Ек (* ), где
у = Т~г' -X , - Т п ~Г2 • Х 2 •Т Гг~Уъ |
Х]ч Т г»(х). |
Формально определить правило зашифрования любого от крытого текста для дискового шифратора чрезвычайно сложно (в связи с обилием различных ключевых элементов). Для поточных
124
Шифры замены
шифров, как правило, бывает достаточно знания правила зашиф рования буквы текста.
Число простых замен, из которых “состоит” многоалфавит ный шифр, реализуемый дисковым шифратором, может быть чрезвычайно большим. Чем больше это число, тем сложнее крип тоанализ такого шифра. В связи с этим параметры дисковых схем (число дисков, реализуемые ими подстановки, схемы движения дисков и т. д.) должны быть тщательно продуманы.
Схемы токопрохождения электрических импульсов в диско вом шифраторе могут усложняться за счет введения “отражающе го экрана”, вместо выходной розетки. В результате этого импульс тока вторично проходит через блок дисков, только в противопо ложную сторону. Такая “обратимая” схема токопрохождения была использована в знаменитой “Энигме”.
Криптоанализ дисковых шифраторов является весьма слож ной задачей, выходящей за рамки данной книги.
Контрольные вопросы
1.Какие шифры называются шифрами простой замены?
2.Что является ключом шифра простой замены? Каково макси мально возможное число ключей шифра простой замены?
3.Что более целесообразно для надежной защиты информации: архивация открытого текста с последующим шифрованием или шифрование открытого текста с последующей архиваци ей?
4.Имеет ли шифр Плейфера эквивалентные ключи, то есть такие ключи, на которых любые открытые тексты шифруются оди наково? Сколько различных неэквивалентных ключей имеет шифр Плейфера?
5.Предположим, что матричный шифр Хилла используется для зашифрования открытого текста, представленного в виде дво ичной последовательности. Сколько ключей имеет такой шифр?
125
Глава 6
Шифры гаммирования
Напомним, что в основе рассматриваемых систем шиф рования лежит метод “наложения” ключевой последователь ности — гаммы — на открытый текст. “Наложение” заключа ется в позначном (побуквенном) сложении или вычитании по тому или иному модулю. Хотя мы уже отмечали выше, что данные шифрсистемы относятся к многоалфавитным систе мам замены, шифры гаммирования имеют целый ряд особен ностей и заслуживают отдельного рассмотрения. В силу про стоты своей технической реализации и высоких криптогра фических качеств эти шифры получили широкое распространение.
Исторически первый шифр гаммирования совпадал, по сути, с шифром Виженера, однако без использования самой таблицы Виженера. Заметим, что таблица Виженера пред ставляет собой квадрат, каждая строка и каждый столбец ко торого — некоторая перестановка знаков данного алфавита. Произвольная такая таблица называется латинским квадра том. Идя по пути обобщения, введем понятие шифра таблич ного гаммирования.
§ 6.1. Табличное гаммирование
Шифр |
табличного |
гаммирования |
в |
алфавите |
А = |
определяется произвольным латинским квад |
ратом I на А и способом получения последовательности букв из А, называемой гаммой шифра (см. рис. 17). Буква а, от
крытого текста под действием знака гаммы а] переходит в
букву ак шифрованного текста, содержащуюся ву'-й строке и
126
Шифры гаммирования
I-м столбце квадрата Ь (подразумевается, что строки и столбцы в Ь занумерованы в соответствии с порядком следо вания букв в алфавите А).
Т0—> а{
г 1
а, ак
Рис. 17
С алгебраической точки зрения буква ак есть результат
применения к буквам а{ и а] квазигрупповой операции *,
табличным заданием которой является латинский квадрат Ь :
ак = а 1*а] .
В случае шифра Виженера квазигруппа (Л,*) является
группой (2 Л,+) . При этом уравнение шифрования имеет вид
ь, = ( а , + г 1)т о й п , |
( 1 ) |
а {//} представляет собой периодическую последователь-
ность, образованную повторением некоторого ключевого слова.
Наряду со сложением используется и вычитание знаков гаммы. Соответствующие уравнения шифрования принимают вид
Ь,=(а,-г,)тоАп (2)
ИЛИ
ь, =(у, - а ,) т о й п . |
(3) |
127
/лава 6
Шифры гаммирования с уравнениями шифрования (1) —
(3) обычно называют шифрами модульного гаммирования.
Если в качестве квазигрупповой операции * на множестве 5-мерных двоичных векторов используется операция покоор динатного сложения по модулю 2:
Ъ, =а, ®у,, |
(4) |
то получаем шифр Бернама.
Шифры гаммирования, определяемые уравнениями (3) и (4), замечательны тем, что при их применении для зашифро вания и расшифрования требуется лишь один узел. В самом деле, знаки открытого текста находятся из тех же уравнений при взаимной замене а1 на Ь(. Такие шифры обычно называ
ют обратимыми (см. замечание после примера шифра Хил ла).
Сделаем следующее замечание. Как шифр замены, произ вольный шифр гаммирования имеет следующую интерпрета
цию. |
|
|
|
|
С /-й строкой латинского квадрата |
Ь ( у = 1, п ) можно |
|||
связать подстановку |
(“сдвиг” на а ^ ): |
|
||
|
а* *а а~>*а |
...а |
*а |
у |
|
У 2 |
,,,мл |
|
|
из симметрической группы $!(А) . Пусть |
|
|||
|
К{А) = {%] ^ |
= \,п}. |
|
Тогда в каждом такте шифрования знак открытого текста заменяется по одной из подстановок из К(А). Распределите лем такого «-алфавитного шифра замены является сама гамма шифра.
128
Шифры гаммирования
Иногда Я(А) — это группа или смежный класс по неко торой подгруппе из 8(А) . В таких случаях мы будем назы вать шифр табличного гаммирования групповым. Произволь ный шифр табличного гаммирования не слишком удобен для практической реализации. Наиболее удобны именно группо вые шифры, к которым относятся шифры модульного гамми рования.
§ 6.2. О возможности восстановления вероятностей знаков гаммы
Криптоанализ произвольного шифра табличного гамми рования во многом схож с криптоанализом шифра модульно го гаммирования. Рассмотрим основные идеи анализа на при мере шифра с уравнением ( 1 ).
Занумеруем буквы алфавита А числами от 0 до п -1 и воспользуемся формальными моделями рассматриваемых последовательностей (см. гл. 2). Пусть и 81 — вероят
ности появления знака / в открытом тексте, гамме и в шифро ванном тексте соответственно. Тогда задание вероятностных распределений на знаках открытого текста и гаммы (которые естественно считать независимыми) индуцирует распределе ние вероятностей знаков шифртекста по формуле:
п- 1
(5)
в которой разность } —г берется по модулю п. (Достаточно заметить, что Ъ = у <=> а = у - г, у —/, и воспользоваться
формулой полной вероятности.) Легко проверить, что
п- 1
129
|
|
|
|
Гпава 6 |
Из формулы |
(5) следует, что |
если |
г{ |
= \/п при всех |
/ = 0, п - 1, то и |
= 1/и при всех |
у = 0, |
и - |
1 . Это означает, |
что при зашифровании открытого текста равновероятной гаммой получается шифртекст, вероятностные свойства кото рого не отличаются от самой равновероятной гаммы. Это обстоятельство не оставляет шансов криптоаналитику ис пользовать диаграмму повторяемости букв открытого текста, поскольку при наложении гаммы эта информация как бы сти рается. Поэтому на практике стремятся к тому, чтобы по сво им вероятностным свойствам гамма была близка к случайной равновероятной последовательности.
Возникает естественный вопрос о том, можно ли при ис пользовании неравновероятной гаммы восстановить ее веро ятностные характеристики непосредственно по шифртексту и можно ли эту информацию использовать при криптоанализе шифра гаммирования.
Попытаемся сначала оценить вероятности гг непосредст
венно по шифртексту. При этом мы должны располагать дос таточно точными приближениями распределений
р = (р 0,...,р„_1), ? = V I )
(получаемыми с помощью подсчета частот встречаемости знаков).
Рассмотрим соотношение (5) как систему линейных уравнений относительно неизвестных гг9 г —0, и - 1 . Нетрудно заметить, что матрица рассматриваемой системы имеет вид
130