Шемякин лекции 2023 / Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии
.pdfНадежность шифров
Шифр, выдерживающий все возможные атаки, можно при знать хорошим или надежным.
Различие в действенности различных криптоатак можно прокомментировать на примере шифра простой замены. Хотя этот шифр легко вскрываем даже при использовании атаки на основе шифртекста, это все-таки требует некоторых усилий. При проведении атаки на основе известного открытого текста задача становится вовсе тривиальной, как только в доступных открытых текстах встретятся все буквы алфавита. Наконец, при атаке на основе выбранного открытого текста ничего не нужно ждать, так как ключ автоматически получается при за шифровании всех букв алфавита.
При проведении любой криптоатаки обычно пользуются общепринятым в криптографии правилом Керкгоффса. В кни ге “Военная криптография”, изданной в 1883 г., он сформу лировал шесть следующих требований к системам шифрова ния:
1 ) система должна быть нераскрываемой, если не теоре тически, то практически;
2) компрометация системы не должна причинять не удобств ее пользователям;
3)секретный ключ должен быть легко запоминаемым без каких-либо записей;
4)криптограмма должна быть представлена в такой форме, чтобы ее можно было передать по телеграфу;
5)аппаратура шифрования должна быть портативной и такой, чтобы ее мог обслуживать один человек;
6)система должна быть простой. Она не должна требо вать ни запоминания длинного перечня правил, ни большого умственного напряжения.
Второе из этих правил и стало называться правилом Керкгоффса. Суть его состоит в том, что при проведении криптоанализа можно считать известной систему шифрова ния. Стойкость (или надежность) шифрования должна опре деляться лишь секретностью ключа шифрования.
171
Глава 7
Признание всеми этого принципа в криптографии связано с тем, что “шила в мешке не утаишь”. Рано или поздно те или иные сведения об используемой шифрсистеме становятся из вестными. В военных условиях могут быть захвачены узлы связи с шифртехникой. Могут потерпеть аварию и попасть в руки противника самолет или судно, оборудованные шифрсредствами. Нельзя исключать предательства шифровальщика и т. п.
Тем не менее шифры, используемые специальными служ бами, всемерно охраняются, Это обусловлено необходимо стью дополнительного запаса прочности, поскольку до сих пор создание шифров с доказуемой стойкостью является очень сложной проблемой.
Обоснование надежности шифрсистем осуществляется, как правило, экспериментально при моделировании крипто атак с привлечением группы высококвалифицированных спе циалистов, которым предоставляются благоприятные условия для работы и необходимая техника. На государственном уровне гарантию надежности криптографической защиты да ют уполномоченные для этой цели организации. В России та кой организацией является ФАПСИ. Любые средства шифро вания, используемые государственными организациями, должны иметь сертификат ФАПСИ.
Рассмотрение вопросов надежности шифрования невоз можно без введения качественной и количественной мер. В криптографии рассматривают два подхода к стойкости —
теоретическую стойкость и практическую (или вычисли тельную) стойкость.
Теоретическая стойкость шифров
При рассмотрении вопроса о теоретической стойкости шифров отвлекаются от реальных временных и сложностных затрат по вскрытию шифра (что определяет подход к практи ческой стойкости). Во главу угла ставится принципиальная
172
Надежность шифров
возможность получения некоторой информации об открытом тексте или использованном ключе. Впервые такой подход ис следовал К. Шеннон [ШенбЗ]. Он рассматривал уже знакомую нам модель шифра и единственную криптоатаку на основе шифртекста. Проследим за его рассуждениями.
Как мы указывали, конечной целью работы криптоанали тика является текст сообщения или ключ шифрования. Одна ко весьма полезной может быть даже некоторая вероятност ная информация об открытом тексте. Например, уже предпо ложение о том, что открытый текст написан по-английски, предоставляет криптоаналитику определенную априорную информацию об этом сообщении даже до того, как он увидит шифртекст. Так, например, он заранее знает, что слово “Ье11о” является более вероятным началом сообщения, чем, скажем, набор букв “аЬсс!е”. Поэтому первая цель криптоанализа со стоит в том, чтобы увеличить количество этой априорной ин формации, относящейся к каждому возможному открытому тексту таким образом, чтобы истинный открытый текст сде лать более вероятным после получения шифртекста, хотя, ко нечно, и не обязательно точным.
Пусть, например, криптоаналитик перехватил текст “аЪсссГ и знает (или предполагает), что он был зашифрован при помощи шифра простой замены. Этот шифртекст говорит ему о том, что открытый текст состоит из пяти букв, третья и четвертая из которых являются одинаковыми, а остальные отличными от этой буквы и разными. Хотя он не может быть уверенным, что этим словом является и‘Ье11о” (это может быть еще “1е8зу” или что-то подобное), тем не менее апостериор ные вероятности таких открытых текстов возрастают отно сительно их априорных вероятностей. Криптоаналитик, кроме того, полностью уверен (в предположении, что использова лась именно простая замена) в том, что этот открытый текст не может быть ни словом “айег”, ни словом “са!сЬ”, и, таким образом, апостериорная вероятность обоих этих открытых
173
( лава 7
текстов сокращается до нуля, даже вне зависимости от их ап риорных вероятностей.
Шеннон назвал шифр совершенным, если для любого от крытого текста знания, которые могут быть получены из со ответствующего ему шифртекста, не раскрывают никакой ин формации об открытом тексте, за исключением, возможно, его длины. Другими словами, для совершенных шифров апо стериорные вероятности открытых текстов (вычисленные по сле получения криптограммы) совпадают с их априорными вероятностями.
Вспомним о введенной нами модели шифра Xв , в кото рой фигурировали распределения вероятностей Р {Х ), Р(К) . Они как раз и являются наборами априорных вероятностей
Р х (*),х е |
X и р к (к), к е К. Будем предполагать, что |
Р х (* )> |
Рк (к) > 0 для любых х е X , к е К . |
Далее мы будем рассматривать лишь такие шифры, для которых выбор ключа и выбор открытого текста являются независимыми событиями. Это равносильно тому, что рас пределения Р ( Х \ Р(К ) являются независимыми. Эти рас
пределения естественным образом индуцируют распределе
ние вероятностей Р(У) = {р у(у),У е У} на |
множестве воз |
можных шифртекстов по формуле |
|
Рг(У)= X Р х (х ) ' Р к (к )• |
О 4) |
(*,*) |
|
Ьк(х)=У |
|
Поясним корректность такого определения. Нужно проверить, что
5 ] р у (у) = 1•
уеУ
174
Наоежность шифров |
|
||
Рассмотрим |
отображение |
/ : X х К -» У , определенное |
|
условием / | |
|
= Е к для любого к е К . Тогда, поскольку |
|
|
|
/ - \ У ) |
= Х х К , |
получаем: |
|
Е РХ(Х)'Рк(к) = |
|
У , Р у(у ) = Т, |
|||
уеУ |
уеУ |
(х,к) |
|
|
|
Ек(х)=у |
Е Рх(х) ' Р Л к)= |
=ЕЕ Рх(х) - р А к)= |
|||
уеУ |
|
(х,к)е/(~\ |
(х,к)еХхК |
=Е Е (*)•^ (*)=Е**(*)•ЕРк ( * ) = 1•
Естественным образом вводятся и условные вероятности
Ру/х ( у / х )> Ру/к (У/к) 9определяемые формулами: |
|
|
Р у/ х (у / х ) = |
Е р И * ) , |
(15) |
|
кеК: |
|
|
Ек (х)=у |
|
Р у / к ( у / к ) = |
Е / * ( * ) • |
( 16> |
|
д:еХ: |
|
Ек(х)=у
Несложно проверить, что формулы (15) и (16) задают ве роятностные распределения, то есть что при любом х е Х
^ Р у/ х (у / х ) = 1>
уеУ
и при любом к е К
.Т кР у / к ( у / к ) = У
кеУ
175
I лава 7
С целью упрощения записи нижние индексы в обозначе
ниях р }/х ( у / х), |
Ру/к(у/к) будем опускать и записывать |
||
их в виде р (у /х ), |
р ( у /к ) |
соответственно. |
|
Отметим, что с помощью формулы для условной вероят |
|||
ности |
|
|
|
|
П Ф |
) - ^ |
(17) |
Р(Ь)
мы можем вычислить и условные вероятности
Р(х/У% Р(к/У) ■
Р , М
(18)
р ( к / у ) = р А к ) р ( у / к ) .
Ру(у )
Следующее определение лишь формализует предложен ный выше подход к теоретической стойкости шифра (только по отношению к атаке на основе единственного шифртекста).
Определение. Назовем шифр Ев совершенным, если для
любых х е X , у е У выполняется равенство |
|
р(х/у) = Р х (х ) . |
(19) |
Отметим одно очевидное свойство совершенного шифра. |
|
Утверждение 1. Если шифр Ев — совершенный, то |
|
\Х\<\У\<\К\. |
(20) |
Д оказательство. Первое неравенство, очевидно, имеет место для любого шифра. Если шифр — совершенный, то для
любых хеX, у е У найдется ключ к & К , такой, |
что |
Ек(х) = у . В самомделе, в противном случае,согласно |
(15), |
176 |
|
Надежность шифров
мы бы имели р ( у / х ) = 0 , а тогда и, согласно (18),
р ( х / у ) - 0 . Согласно (19), вероятность р х (х) также оказы
вается равной нулю, вопреки нашей договоренности о том, что р х (х) > 0 для любого х е Х .
Отсюда следует также, |
что для любого |
х е X выполня |
ется равенство {Ек(х), |
к е К} = У и, |
следовательно, |
|у| < |К \ . Утверждение доказано.
В большинстве случаев применяемые на практике шифры обладают свойством X = У . Следуя К. Шеннону, назовем такие шифры эндоморфными. К. Шеннону удалось полностью описать эндоморфные совершенные шифры с минимально возможным числом ключей. Согласно (20), это минимально
возможное число ключей |А^| равно |к |. В несколько более
общей форме теорема формулируется следующим образом.
Теорема (К. Шеннон). Пусть — шифр, для которого
\Х\ = |Г| = |^Г|. Тогда шифр ^ — совершенный тогда и толь
ко тогда, когда выполняются два условия:
1) для любых х е X , у е У существует единственный ключ к е К , для которого Ек(х) = у ;
2) распределение вероятностей Р (К ) — равномерное, то есть для любого ключа р к (к ) = —
Д оказательство. Пусть шифр Ъв — совершенный. Со гласно доказательству утверждения 1 ,
177
|
|
|
|
|
|
/ лава 7 |
|
Поэтому |
из |
неравенства |
к , Ф к2 |
следует |
неравенство |
||
Ек[ (х) * Ек2(х) для любого |
х е X . Это доказывает необхо |
||||||
димость условия 1). |
|
|
|
|
|
||
Пусть |
X = |
. Зафиксируем |
произвольный эле |
||||
мент у е У |
и |
занумеруем |
ключи так, |
чтобы |
Е^. (х1) = у, |
||
г - \ }М . Тогда |
|
|
|
|
|
|
|
( х |
/ А = Р ( у / х , ) ' Р х (х .) = Р к ( К ) ' Р х ( х , ) |
(2П |
|||||
|
|
Ру(у) |
|
р Л у ) |
|
|
|
Так как |
— совершенный шифр, то р(х,/у) = р х |
(*/). |
|||||
Отсюда и |
из (21) получаем |
равенство |
р к (к,) = р у(у) |
для |
|||
любого г = 1,Л^, которое доказывает необходимость условия
2).
Пусть условия 1) и 2) выполнены. Тогда, пользуясь для фиксированного элемента у е У введенной выше нумерацией ключей, имеем цепочку равенств:
А - 0 0 = |
' Т и Р х ( х , ) р К ( к , ) = |
|
^ |
N |
|
(уол1))ЛГ |
|||
Як,(х,)=У |
|
|
|
|
из которой |
|
|
|
|
( |
/ ) = Р А ^ У М |
= А У |
|
|
|
Р у (у ) |
(у“ |
2» |
|
Достаточность условий теоремы также доказана.
Обратим внимание на то, что таблица зашифрования шифра, удовлетворяющего условиям теоремы Шеннона, со гласно условию 1 ) этой теоремы, является латинским квад ратом. Поэтому в случае, когда X = У = К = , по сути де ла, шифры табличного гаммирования со случайными равно178
Надежность шифров
вероятными ключами, и только они являются единственными совершенными шифрами.
V/к |
X, |
|
х ы |
|
|
|
|
К |
Е кх(х 1> |
|
Е кх(*ы) |
кы |
Е кы (*1> |
... |
Е км (* * ) |
Подчеркнем также, что не только указанные шифры яв ляются совершенными. В качестве примера можно указать следующий не эндоморфный совершенный шифр.
Пример
X = {*(),*,}, У = {Уо,У\,Уг), К = {к0,кь к2},
Ек, (х] ) = Ут> т = (* +У)тос13, р К(к, ) = 1/3, / = 0,2.
Теорема Шеннона может быть обобщена и для некоторых других криптоатак. Например, в статье [Со<190] такое обоб щение проводится для криптоатак на основе нескольких шифртекстов, полученных на одном ключе, а также для крип тоатак на основе ряда открытых и соответствующих им шиф рованных текстов, образованных с помощью одного ключа.
Практическая стойкость шифров
В своей работе [ШенбЗ] К. Шеннон, помимо исследова ний по теоретической стойкости, рассматривал также вопрос о практической стойкости шифров. Он рассуждал следую щим образом (рассматривая, как и ранее, криптоатаку на ос нове одного шифртекста на шифр, не являющийся совершен ным).
179
I лава 7
После того как объем перехвата ( у ) превзойдет расстояние единственности (естественно, предполагается, что для рассматри ваемого шифра оно существует!), обычно будет сущесгвовать единственное решение (х или к ) криптограммы. Задача дешиф рования и состоит в нахождении этого единственного решения, имеющего высокую вероятность ( р ( х / у ) или р ( к / у )). До того как объем перехвата достигнет расстояния единственности, задача состоит в нахождении всех решений, имеющих большую вероят ность (по сравнению с остальными решениями), и, конечно, в оп ределении вероятностей этих решений.
Несмотря на то, что эти решения можно в принципе найти, поочередно перебирая, например, все ключи при расшифровании, для различных шифров нужно будет затратить для этого весьма различающиеся объемы работы. Средний объем работы IV(И) , необходимый для определения ключа по криптограмме, состоя щей из N букв, измеренный в удобных элементарных операциях, К.Шеннон предложил назвать рабочей характеристикой шифра.
Это среднее значение берется по всем сообщениям и всем ключам с соответствующими им вероятностями. Функция IV(М) харак
теризует средние затраты (временные и материальные), необхо димые для практического дешифрования криптограммы. Подоб ную характеристику можно рассматривать не только для одной конкретной криптоатаки, но и для других постановок задач крип тоанализа.
Рис. 20
180