Шемякин лекции 2023 / Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии
.pdfНадежность шифров
К. Шеннон привел рабочую характеристику шифра про стой замены, сопоставив ее с неопределенностью шифра по открытому тексту (как функцией длины сообщения). Пунк тирная линия кривой на рис. 20 относится к области, где име ется несколько возможных решений. По мере увеличения объема перехвата количество необходимой работы быстро уменьшается, стремясь к некоторому асимптотическому зна чению, которое достигается, когда дополнительные данные уже не уменьшают работы.
Наибольший интерес представляет предельное значение IV(Щ при N -> со (то есть IV(со) ), которое можно рассмат ривать как среднюю работу по дешифрованию при неограни ченном объеме шифртекста. Практическое вычисление IV(со) представляет собой весьма сложную задачу. В связи с этим практическую стойкость шифра обычно оценивают с помо щью величины И^(оо), которую можно назвать достигнутой
оценкой рабочей характеристики. Она определяется средней трудоемкостью наилучшего из известных методов вскрытия данного шифра. Если значение IV (оо) вычисляет криптоана
литик, которому известны все имеющиеся в настоящее время методы анализа шифров, то полученная оценка практической стойкости шифра заслуживает доверия, особенно если вычис ления сделаны с достаточным “запасом”. Имеется в виду пра вильный выбор нижнего порога сложности А , выделяющий практически стойкие шифры неравенством РУД(оо) > Л .
Большое значение имеет математическая модель вычис лений, используемая при оценке практической стойкости шифра. По сути, речь идет о модели гипотетической ЭВМ, которой располагает потенциальный противник и которая способна реализовать крупный фрагмент алгоритма вскрытия как одну элементарную операцию. Например, опробование одного ключа к е К и проверку результата расшифрования по критерию открытого текста (выполняется ли включение
181
/ лава 7
Ок(у ) б ! ? ) , в принципе, можно принять за одну элементар
ную операцию.
Более детальное исследование вопросов практической стойкости (выходящее за рамки данной книги) выводит на серьезные проблемы теории сложности алгоритмов и разра ботки методов криптоанализа.
§ 7.4. Вопросы имитостойкости шифров
Как мы уже отмечали в гл. 2, помимо пассивных действий со стороны потенциального противника, состоящих в под слушивании или перехвате передаваемой по каналу связи шифрованной информации, возможны также его активные действия, состоящие в попытках подмены или имитации со общения.
Если передается шифрованное сообщение у е У (полу ченное из открытого текста х € X на ключе к е К ), то про тивник может его заменить на у ', отличный от у . При этом он будет рассчитывать на то, что на действующем ключе к новая криптограмма при расшифровании будет воспринята как некий осмысленный открытый текст х ' , отличный от х . Конечно, это событие может произойти с некоторой вероят ностью, и чем больше эта вероятность, тем успешнее будет попытка подмены.
Попытка имитации может быть предпринята противни ком в том случае, когда линия связи готова к работе (на прие ме и передаче установлены действующие ключи), но в рас сматриваемый момент никакого сообщения не передается. В таком случае противник может выбрать некий у е У и по слать его от имени законного отправителя. При этом он будет рассчитывать на то, что на действующем ключе его крипто грамма при расшифровании будет воспринята как некий ос мысленный открытый текст. Чем больше вероятность этого события, тем успешнее будет попытка имитации.
182
Надежность шифров____________________________________________
При теоретическом исследовании активных действий противника обычно ставят его в наиболее благоприятные ус ловия, помещая между отправителем и получателем, как это указано на схеме (см. рис. 2 1 ).
Рис. 21
Имитостойкость шифра определим как его способность противостоять попыткам противника по имитации или под мене. Естественной мерой имитостойкости шифра служит ве роятность соответствующего события:
(у ) е X — для попытки имитации сообщения;
(В к (У ) е Л (У * У) — Для попытки подмены сооб щения.
В соответствии с этим введем следующие обозначения:
Р им *“ шах р (В к (у) е X ), |
(22) |
уеУ |
|
Р п о т = т а х Р Ф к ( У ') е Х ) . |
(23) |
у,у'еУ |
|
У'*У
183
I лава /
которые назовем соответственно вероятностью имитации и вероятностью подмены6. Полагая, что противник выбирает ту попытку, которая с большей вероятностью приводит к ус пеху, вводят также вероятность навязывания формулой
Рн ~~т ах(Рим, р подм} .
Для шифров с равновероятными ключами (в рамках вве денной в гл. 2 модели) можно получить общие оценки вве денных вероятностей.
Утверждение 1 .Для шифра |
с равновероятными клю- |
нами имеет место достижимая оценка р им > |
|
Д оказательство. Пусть |
К (у ) = { к ^ К \ Ок(у) е X } . |
Тогда в силу условия равновероятности ключей
Согласно (22),
(24)
Заметим, что имеет место соотношение
(25)
у<=У
6 В [Сим88] р подм определяется несколько иначе, однако утверждение 2 для него остается справедливым.
184
Надежность шифров
В самом деле, рассмотрим таблицу зашифрования, стро ки которой занумерованы ключами, столбцы — открытыми текстами, а на пересечении строки с номером к е К и столб
ца с номером |
х е X |
расположен |
шифрованный текст |
у —Ек(х) . Легко |
видеть, |
что сумма |
совпадает с |
|
|
|
уеУ |
числом клеток этой таблицы, откуда следует (25). Из (25) следует очевидное неравенство
из которого, с учетом (24), получаем требуемое неравенство. Остается доказать его достижимость. Приведем пример шиф-
ра, для которого р ИМ =
Рассмотрим |
шифр |
]Г#, определенный |
условием |
^к\(х\)~ ^к2 ^х2 ) |
тогда |
и только тогда, когда |
кх —к2 и |
х\ = *2 • Ясно, что для такого шифра выполняются равенства
= -т-у, что и требуется.
Обратим внимание на то, что для эндоморфного шифра с равновероятными ключами (например, для шифра гаммиро
вания с равновероятной гаммой) р ИМ = 1. Это означает, что
такой шифр максимально уязвим к угрозе имитации сообще ния. Поэтому, несмотря на их многие положительные качест ва, эндоморфные шифры нуждаются в имитозащите. Утвер ждение 2 показывает, что имитостойкость шифра растет про
порционально отношению и Это объясняет широко ис
185
Iлава /
пользуемый для имитозащиты способ введения избыточности в передаваемое сообщение, например, дополнительных “до бавок” к передаваемому сообщению типа аутентификаторов или имитовставок.
Утверэвдение 2. Для шифра |
в с равновероятными клю |
чами имеет место достижимая оценка |
|
\Х\-1 |
|
Рпот ~ |}^|_| |
‘ |
Д оказательство. Пусть К ( у ,у ') = К ( у ) г > К ( у ') . То
гда, в силу условия равновероятности ключей, из (24) полу чаем:
ад '
Несложно заметить, что выполняется соотношение
2 |К 0 ', / ) | = ( И - ] ) '|В Д |, |
(28) |
у\(у'*у)
из которого (поскольку сумма в левой части равенства содер
жит |У| - 1 слагаемых), следует неравенство
шах ^ |
^ |
—г— . |
(29) |
|
\К(у] |
|У |-1 |
|
В силу (27)
\К(У)\ •
186
Надежность шифров
Отсюда и из (29) получаем требуемое неравенство. Оста ется доказать его достижимость. Для этого построим соответ ствующий пример.
Попытаемся построить шифр удовлетворяющий усло виям
|ВДН*</)|. УУ./еГ,
\К(У\,Уг\= К ( у \ , у 2 ), Ч у \ , у \ е Г . |
<30) |
Согласно (25) и (28) для такого шифра выполняются соотно шения
( | г|-|*Су)|=|*Н4у61'У.
[1*001 • (|*| -1)=1*0,У)| • (|г|-1), Чу,/6 У,
из которых сразу получаем искомое равенство
|
| * 0 ' . / ) | |
1 4 - * |
р “ т |
|* о о | |
И - г |
Таблицу зашифрования шифра, удовлетворяющего усло виям (30), можно построить с помощью так называемых ор тогональных латинских квадратов.
Два латинских квадрата размером п х п , составленные из элементов множества 1, 2,..., п . называются ортогональными,
если при их совмещении друг с другом получается таблица, содержащая (в своих клетках) все п возможных (упорядо
ченных) пар чисел (г,/), /,У е 1, п .
Известно [Хол70], что перестановкой строк и столбцов любой латинский квадрат можно привести к виду, в котором в первом столбце числа 1, 2 идут в возрастающем порядке.
187
I лава 7
Такой латинский квадрат называется полуиормсшизованным. Известно также [Хол70], что любую пару ортогональных ла тинских квадратов можно привести перестановкой строк и столбцов к паре полунормализованных латинских квадратов.
Рассмотрим теперь таблицу чисел размером 2п х (п - 1), полученную из пары полунормализованных латинских квад ратов размером п х п наложением друг на друга и вычерки ванием получившегося первого столбца. При этом 2п строк образуются графически из полученного прямоугольника, если
каждую составляющую его пару (/, /) записать в виде ГО
У )
Можно заметить, что ее можно использовать в качестве таб лицы зашифрования искомого шифра. Гак, для п = 3 соот ветствующий пример изображен на рис. 22-24.
1 |
2 |
3 |
1 |
3 |
2 |
2 |
3 |
1 |
2 |
1 |
3 |
3 |
1 |
2 |
3 |
2 |
1 |
Рис. 22. Полунормализованные ортогональные латинские квадраты
0 ,1) |
(2,3) |
(3,2) |
(2,2) |
(3,1) |
(1,3) |
(3,3) |
(1 ,2) |
(2,1) |
Рис. 23. Наложение латинских квадратов
В данном примере |АХ.У)| = 4, \К (у,у' )| = 2. Построенный таким образом шифр X# имеет следующие
параметры: |х | = п - 1, |г | = п, (А-] = 2п . Поэтому для него
188
Надежность шифров
РПОДМ |
|
П - 2 |
|
|
п - 11 |
||
|
Х\ |
Х2 |
|
|
2 |
3 |
|
к 2 |
3 |
2 |
|
к, |
3 |
1 |
|
|
|
||
К |
1 |
3 |
|
1 |
2 |
||
К |
|||
|
|
||
К |
2 |
1 |
|
|
|
Рис. 24. Таблица зашифрования
Для доказательства утверждения 2 остается добавить, что имеет место следующее утверждение [Хол70]: для всякого п > 6 существует пара ортогональных латинских квадратов порядка п .
Утверждение доказано.
Итак, вероятность навязывания р н для шифра с равнове роятными ключами удовлетворяет неравенству
Поэтому для надежной защиты от подмены или навязывания необходимо, чтобы число |Г| значительно превосходило чис-
ло \х\.
Возникает естественный вопрос, как определить совер шенную шттостойкостъ (то есть теоретически наилучшую
189
/лава /
защиту от имитации или подмены), достижимую при данной величине |Т| множества допустимых криптограмм и при про извольном распределении Р ( К ) на множестве ключей. Что бы ответить на этот вопрос, приведем более тонкую оценку для вероятности р им, известную как граница Симмонса.
Обозначим через 1(У,К ) взаимную информацию между
У и К [Сим88], то есть величину, определяемую формулой
1(У,К) = Щ У ) - Н ( У / К ) , |
(31) |
тогда справедливо следующее.
Утверждение 3. Имеет место достижимая оценка
1оё Р и и > - 1 ( У , К ) . |
(32) |
||
Д оказательство. Обозначим через 8 ( у , к ) |
индикатор |
||
события с1к(у ) е X : |
|
|
|
|
<*к(>>)*х. |
|
|
Тогда для данного ключа к € К |
криптограмма у |
будет при |
|
нята как допустимая лишь в том случае, когда 8 (у, к) = 1. |
|||
Согласно формуле |
полной |
вероятности |
вероятность |
р {у —доп) того, что у |
окажется допустимой криптограм |
||
мой, равна |
|
|
|
р ( у - доп) = 5 ] р(к) • р(у - доп/ к ) ,
а поскольку 190