Шемякин лекции 2023 / Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии
.pdfОсновные понятия
Тогда источник “открытого текста” генерирует последова
тельность |
сх,с2,...,ск,ск+],... знаков алфавита |
А , в которой |
||
А;-грамма |
схс2...ск |
появляется |
с |
вероятностью |
р ( с хс2...ск) е Р (к)(А) , следующая А:-грамма |
с2с3...ск+] по |
|||
является с вероятностью |
р (с 2съ...ск+х) е Р (к)(А) и т. д. Назо |
|||
вем построенную модель открытого текста вероятностной моделью к-го приближения.
Таким образом, простейшая модель открытого текста -
вероятностная модель первого приближения - представляет собой последовательность знаков с1?с2,..., в которой каждый
знак с/ ?/ = 1,2,..., появляется с вероятностью
р(с() е Р^1)(А), независимо от других знаков. Будем назы вать также эту модель позначной моделью открытого тек ста. В такой модели открытый текст схс2...с1 имеет вероят ность
р{схс1...с1) = \ \ р { с , ) .
/ = 1
В вероятностной модели второго приближения первый знак с, имеет вероятность р{сх) ^ Р {Х){А), а каждый сле дующий знак с1 зависит от предыдущего и появляется с ве роятностью
р(с,/с,_ ,) = -Ж - . О
где р(с1^ с 1) е Р {1\ А ) , Ж , - Ж Р т (А), I = 2 Д .... Други-
ми словами, модель открытого текста второго приближения представляет собой простую однородную цепь Маркова. В
такой модели открытый текст с]с2...с1 имеет вероятность
81
Iлава 2
I
р (с 1с2...с1) = р {с х) • ]~[ р(с, /с,_,) .
1 = 2
Модели открытого текста более высоких приближений учитывают зависимость каждого знака от большего числа предыдущих знаков. Ясно, что, чем выше степень приближе ния, тем более “читаемыми” являются соответствующие мо дели. Проводились эксперименты по моделированию откры тых текстов с помощью ЭВМ.
Приведем примеры “открытых текстов”, выработанных компьютером на основе частотных характеристик (алфавита со знаком пробела) собрания сочинений Р. Желязны объемом 10652970 байтов:
1.(Позначная модель) алисъ проситете пригнуть стречи разве возникла
2.(Второе приближение) н умере данного отствии офици ант простояло его то;
3.(Третье приближение) уэт быть как ты хоть а что я спящихся фигурой куда п;
4.(Четвертое приближение) ество что ты и мы сдохнуть пересовались ярким сторож;
5.(Пятое приближение) луну него словно него словно из ты в его не полагаете помощи я д;
6.(Шестое приближение) о разведения которые звенел в тонкостью огнем только.
Как видим, тексты вполне “читаемы”.
Отметим, что с более общих позиций открытый текст может рассматриваться как реализация стационарного эргодического случайного процесса с дискретным временем и ко нечным числом состояний [Гне88].
82
Основные понятия
Критерии распознавания открытого текста
Заменив реальный открытый текст его моделью, мы мо жем теперь построить критерий распознавания открытого текста. При этом можно воспользоваться либо стандартными методами различения статистических гипотез, либо наличием в открытых текстах некоторых запретов, таких, например, как биграмма ЪЪ в русском тексте. Проиллюстрируем первый подход при распознавании позначной модели открытого тек ста.
Итак, согласно нашей договоренности, открытый текст представляет собой реализацию независимых испытаний слу чайной величины, значениями которой являются буквы алфа вита А = {ах,...,ап} , появляющиеся в соответствии с распре
делением вероятностей Р ( А ) = ( р ( а х) , . . . , р ( а п) ) . Требу ется определить, является ли случайная последовательность с]с2...с1 букв алфавита А открытым текстом или нет.
Пусть Н 0 — гипотеза, состоящая в том, что данная по следовательность — открытый текст, Н х — альтернативная гипотеза. В простейшем случае последовательность схс2...с1
можно рассматривать при гипотезе Н х как случайную и рав новероятную. Эта альтернатива отвечает субъективному представлению о том, что при расшифровании криптограммы с помощью ложного ключа получается “бессмысленная” по следовательность знаков. В более общем случае можно счи
тать, что при гипотезе Н, последовательность схс2...с1 пред
ставляет собой реализацию независимых испытаний некото рой случайной величины, значениями которой являются бук вы алфавита А = {а19...,аЛ}, появляющиеся в соответствии с
распределением вероятностей @ (А ) = (д(ах д(а„) ) . При
таких договоренностях можно применить, например, наибо
83
(лава 2
лее мощный критерий различения двух простых гипотез, ко торый дает лемма Неймана— Пирсона [Кра75]
В силу своего вероятностного характера такой критерий может совершать ошибки двух родов. Критерий может при нять открытый текст за случайный набор знаков. Такая ошиб ка обычно называется ошибкой первого рода, ее вероятность
равна а = . Аналогично вводится ошибка второго
рода и ее вероятность /? = /?{Н0/Н ,} . Эти ошибки опреде
ляют качество работы критерия. В криптографических иссле дованиях естественно минимизировать вероятность ошибки первого рода, чтобы не “пропустить” открытый текст. Лемма Неймана—Пирсона при заданной вероятности первого рода минимизирует также вероятность ошибки второго рода.
Критерии на открытый текст, использующие запретные сочетания знаков, например к -граммы подряд идущих букв, будем называть критериями запретных к -грамм. Они уст роены чрезвычайно просто. Отбирается некоторое число 5 редких А;-грамм, которые объявляются запретными. Теперь, просматривая последовательно к -грамму за к -граммой ана лизируемой последовательности с1с2...с/ , мы объявляем ее
случайной, как только в ней встретится одна из запретных к - грамм, и открытым текстом в противном случае. Такие кри терии также могут совершать ошибки в принятии решения. В простейших случаях их можно рассчитать. Несмотря на свою простоту, критерии запретных к -грамм являются весьма эф фективными.
Контрольные вопросы
1.Чем отличаются подходы к обеспечению безопасности информации в криптографии и в методах сокрытия ин формации?
84
Основные понятия
2.Какими методами обеспечивается конфиденциальность информации?
3.Что такое целостность информации?
4.Для каких аспектов информационного взаимодействия необходима аутентификация?
5.Какие средства используются для обеспечения невоз можности отказа от авторства?
6.В чем суть предварительного распределения ключей?
7.В чем разница между обычным и открытым распределе ниями ключей?
8.Для чего нужны схемы разделения секрета?
9.Что такое сертификат открытого ключа?
10.Каковы функции центра сертификации ключей?
11.Чем отличаются алгебраическая и вероятностная модели шифра?
12.С какими целями в криптографии вводят модели откры тых текстов?
13.Как подсчитать вероятность данного открытого текста в модели первого приближения?
14.Какие подходы используются для распознавания откры тых текстов?
15.Какая идея воплощена в расположении клавиш на клавитуре пишущей машинке, компьютера, логотипа?
Глава 3
Классификация шифров по различным признакам
В качестве первичного признака, по которому произво дится классификация шифров, используется тип преобразова ния, осуществляемого с открытым текстом при шифровании. Если фрагменты открытого текста (отдельные буквы или группы букв) заменяются некоторыми их эквивалентами в шифртексте, то соответствующий шифр относится к классу шифров замены. Если буквы открытого текста при шифрова нии лишь меняются местами друг с другом, то мы имеем дело с шифром перестановки. С целью повышения надежности шифрования шифрованный текст, полученный применением некоторого шифра, может быть еще раз зашифрован с помо щью другого шифра. Все возможные такие композиции раз личных шифров приводят к третьему классу шифров, которые обычно называют композиционными шифрами. Заметим, что композиционный шифр может не входить ни в класс шифров замены, ни в класс шифров перестановки. В результате полу чаем первый уровень классификации шифров (см. рис. 8).
Рис. 8
86
Классификация шифров
§ 3.1. Математическая модель шифра замены
Определим модель 2\А = ( Х , К , У , Е , 0 ) произвольного
шифра замены. Будем считать, что открытые и шифрованные
тексты являются словами в алфавитах А |
и В |
соответствен |
|
но: 1 с # , |
У с 5 * ,|Д | = я, |2?| = /ю. |
Здесь |
и далее С* |
обозначает множество слов конечной длины в алфавите С . Перед зашифрованием открытый текст предварительно
представляется в виде последовательности подслов, называе мых шифрвеличинами. При зашифровании шифрвеличины заменяются некоторыми их эквивалентами в шифртексте, ко торые назовем шифробозначениями. Как шифрвеличины, так и шифробозначения представляют собой слова из А * и В * соответственно.
Пусть V = {и19...9им} — множество возможных шифрве-
личин, V = — множество возможных шифробо-
значений. Эти множества должны быть такими, чтобы любые тексты х е Х , у е У можно было представить словами из
соответственно. Требование однозначности расшиф
рования влечет неравенства N > п 9 М >т, М > N .
Для определения правила зашифрования Ек(х) в общем
случае нам понадобится ряд обозначений и понятие распреде лителя, который, по сути, и будет выбирать в каждом такте шифрования замену соответствующей шифрвеличине.
Поскольку М > N , множество V можно представить в
|
N |
|
виде объединения V = I К |
непересекающихся непустых |
|
|
/=1 |
|
подмножеств |
У(1). Рассмотрим произвольное семейство, со |
|
стоящее из г |
таких разбиений множества V : |
|
(лава 3
и соответствующее семейство биекций
<ра - М ^ { У ^ , . . . , У ^ } ,
для которых фа(к,) = У^ |
, г = 1,N . |
|
|
|
Рассмотрим |
также |
произвольное |
отображение |
|
ц/ : К х N —> Ы*, |
где |
= {1, 2,..., г}, такое, что для любых |
||
к € К, I € N |
|
|
|
|
у/{к,1) = а\к\..а \к\ сс(к)е К г, у = Ц . |
(1) |
|||
Назовем последовательность у/{к,1) распределителем, отвечающим данным значениям к е ЛГ, / е N .
Теперь мы сможем определить правило зашифрования произвольного шифра замены. Пусть
х е Х , х = хг .лс/5 х е [/,1 = 1,1; к е К
и у/(к,1) = а \к)...а \к). Тогда Я* О ) = у |
, где у |
= у х...у, , |
у ] е<ра(к)(х]) , ; = 1,1. |
(2) |
|
В качестве у / можно выбрать любой элемент множества |
||
(р (*)(дг ). Всякий раз при шифровании |
этот |
выбор можно |
а1 |
|
|
производить случайно, например, с помощью некоторого рандомизатора типа игровой рулетки. Подчеркнем, что такая многозначность при зашифровании не препятствует расшиф
рованию, так как У^° Г\УУ} = 0 при / Фу .
88
Классификация шифров
§ 3.2. Классификация шифров замены
Если ключ зашифрования совпадает с ключом расшифро вания: к3 = кр , то (как уже указывалось в гл. 2) такие шифры
называют симметричными, если же к3 Ф кр — асимметрич
ными.
В связи с указанным различием в использовании ключей сделаем еще один шаг в классификации (см. рис. 9).
Рис. 9
Отметим также, что в приведенном определении правило зашифрования Ек(х) является, вообще говоря, многозначной функцией. Выбор ее значений представляет собой некоторую проблему, которая делает многозначные функции Е к(х ) не
слишком удобными для использования. Избавиться от этой проблемы позволяет использование однозначных функций, что приводит к естественному разделению всех шифров заме ны на однозначные и многозначные замены (называемых так же в литературе омофонами) (см. рис. 10).
Для однозначных шифров замены справедливо свойство:
I лава 3
для многозначных шифров замены:
З а ,/:|К в(,)|> 1 .
Рис. 10
Исторически известный шифр — пропорциональной за мены представляет собой пример шифра многозначной заме ны, шифр гаммирования — пример шифра однозначной заме ны. Далее мы будем заниматься в основном изучением одно значных замен, получивших наибольшее практическое при
менение. Итак, далее М = N |
и фа {иг)=: Уа^ \ |
I = 1 ,М . |
Заметим, что правило |
зашифрования Ек |
естественно |
“рассматривается как” отображение, Ек : II* - > У * .
Всилу инъективности (по к ) отображения Ек и того, что
м= и . введенные в общем случае отображения (ра явля ются биекциями (ра :11 <-> V , определенными равенствами
90