Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
2. Часть 1.doc
Скачиваний:
101
Добавлен:
02.06.2015
Размер:
5.54 Mб
Скачать

7.1. Задача определения периода гаммы в шифре гаммирования по заданному шифртексту

Пусть (Х=IN,К= U,У= IN, f), U – шифр гаммирования

f(а12,…,аN; 1,2,…,N)= b1,b2,…,bN.

Здесь А(N)= а12,…,аN – открытый текст, G(N)=– гамма изU, В= b1,b2,…,bN – шифрованный текст.

Задача состоит в определении периода гаммы по известному шифртексту (либо установления факта ее непериодичности).

Статистические методы определения периода гаммы в шифре гаммирования по заданному шифртексту. Определение статистическими методами периода гаммы в шифре гаммирования по заданному шифртексту основано на переборе возможных значений периода и решения для каждого значения периода задачи «о перекрытии» – установления факта того, что два заданных шифртекста получены зашифрованием двух открытых текстов одной гаммой.

Пусть b1,b2,…,bN – известный шифртекст, полученый зашифрованием неизвестного открытого текста a1,a2,…,aN на ключе – гамме 1,2,…,N. Для проверяемого периода d образуется вспомогательная последовательность

b1-b1+d, b2-b2+d, …,bj-bj+d,…,b(k-1)d+r-bkd+r , N=kd+r.

Напомним, что вычитание и сложение проводится по модулю |I| номеров букв, упорядоченных в естественном расположении. Так как bj=aj+j, то, в случае истинного периода d гаммы, получаем

bj-bj+d=aj-aj+d

для любого j{1,…,(k-1)d+r}, то есть вспомогательная последовательность является, как говорят, «разностью двух открытых текстов». При случайном выборе этих «открытых текстов» вспомогательная последовательность тоже является случайной, вероятностное распределение букв (номеров), которой равно Р-=(р12,…,р|I|) (ГИПОТЕЗА H(0)), где рj=, сумма берется по всемc,c`: c-c`=j (mod |I|) .

Если d не является истинным периодом гаммы, то

bj-bj+d=aj+j-aj+d-j+d .

Естественно предположить, что знаки j,j+d выбирались при шифровании независимо. Вспомогательная последовательность в этом случае не является «разностью двух открытых текстов». При случайном выборе открытых текстов a1,a2,…, a(k-1)d+r ; a1+d,a2+d,…,akd+r нередко предполагают, что вспомогательная последовательность является случайной независимой выборкой из равновероятного распределения на I (ГИПОТЕЗА H(1)).

Относительно вспомогательной последовательности решают статистическую задачу – принятия гипотезы H(0) или H(1). Принятому решению в статистической задаче соответствует решение криптографическое: истинным периодом является d или d – не истинный период. Основными характеристиками изложенного метода являются: N и ошибки критерия.

Метод Фридриха Казиского. Метод Фридриха Казиского, представленный в 1863 году, анализирует повторения в шифртексте. Этот же метод независимо от Казиского был разработан советским криптографом Соколовым. Метод основан на том, что если гамма локально периодическая, то две одинаковые m-граммы открытого текста, отстоящие друг от друга на расстояние, кратное периоду гаммы, будут одинаково зашифрованы в некоторые одинаковые m-граммы, находящиеся на том же расстоянии друг от друга. Появление же одинаковых m-грамм в шифрованном тексте по другим причинам маловероятно (при некоторых разумных ограничениях на величину m и на длину шифртекста N). Следовательно, большинство расстояний между одинаковыми m-граммами шифртекста делится на минимальный период. Поэтому на практике в качестве предполагаемого периода гаммы рассматривают наибольший общий делитель длин большинства расстояний между повторениями m-грамм. Эксперименты показали хорошую надежность этого метода, если в шифртексте имеются повторения триграмм и m-грамм при m, большим трех.

Первый метод W. Фридмана. Первый метод W. Фридмана состоит в том, что для данного шифртекста B вычисляют индекс совпадения IC(B) и сравнивают его с величинами

+,d=1, 2, 3, …

При достаточной близости IC(B) к одной из этих величин при некотором d, предполагают, что период равен этому d. Согласно открытым публикациям см., например, [John C. King. 1994. An Algorithm for the Complete Automated Criptanalysis of Periodic Polyalphabetic Substitution Ciphers. Cryptologia. 18 (4), 332–355] данный метод удовлетворительно работает при использовании для зашифрования локально-периодических последовательностей периода не более 5. С точки зрения обоснованности применения данного метода лучше сравнивать IC(B) c более точным выражением

ЕU(IC(B))= РУ(bj=bj`)=

=+(1–),

полученным ранее для N=kd+r и представленным в начале формулировки следствии 2 теоремы 1.

Слабая эффективность этого метода объясняется, тем обстоятельством, что значение

+

математического ожидания индекса совпадения шифрованного текста для класса U периодических гамм фиксированного периода d совпадает со значением целого ряда различных классов гамм. Это следует из теоремы 1, где доказано, что это среднее значение

ЕU(IC(B))= РУ(bj=bj`)=+.

определено разбиением R=(N1,N2,…,Nc) множества . В частности, из этого факта следует, что значение ЕU(IC(B))= РУ(bj=bj) для класса гамм периода d остается инвариантным относительно одновременной перестановки знаков во всех периодических гаммах – ключах.

Второй метод W. Фридмана. Второй метод W. Фридмана также основан на вычислении индекса совпадения. Он состоит в опробовании возможных периодов по следующей схеме. Для предполагаемого периода d выписываются d подпоследовательностей

b1,b1+d,b1+2d,…

b2,b2+d,b2+2d,…

……………….

bd,bd+d,bd+2d,…

Для каждой подпоследовательности подсчитывается ее индекс совпадения. Если все индексы совпадения в среднем близки к значению

,

то есть к среднему значению индекса совпадения случайных шифртекстов, полученных с помощью гамм периода 1 (см. следствие 2 теоремы1), то принимают величину d за истинный период, в противном случае опробуют следующую величину периода. Приведенный способ нахождения периода гаммы по шифрованному тексту удовлетворительно работает для периодов, не превышающих 30.

Метод БШ. Предлагаемый метод определения периода гаммы в шифре гаммирования по известному шифртексту В= b1,b2,…,bN состоит в следующем.

Выписываются все пары номеров j, j`, для которых bj = bj`. Пусть П(В,=) – множество таких пар. Очевидно, |П(В,=)|=, гдеFi – частота встречаемости буквы i в шифртексте В.

Каждой паре (j, j`) из П(В,=) ставится в соответствие расстояние (j,j`), равное абсолютной величине разности между j и j`. Ищется максимальное по мощности подмножество П(В,d,=) пар в П(В,=) такое, что их расстояния (j,j`) имеют некоторый общий наибольший делитель d, отличный от 1. Подсчитывается величина

и сравнивается с величиной

ЕU(ИБШ(B,d))= ,

где k, r определены равенством N=kd+r. Если эти величины близки, принимается гипотеза о том, что шифрование проводилось гаммой периода d. В противном случае, эта гипотеза отвергается.

Обоснование метода БШ. Для шифрованного текста В= b1,b2,…,bN величина

равна вероятности РВ(bj=bj`, d) того, что при случайном и равновероятном выборе различных позиций j и j` с расстоянием, кратным d элементы bj и bj` совпадут. Действительно, по определению множества П(В,d,=), ему принадлежат те и только те пары (j, j`), при которых d|(j,j`) и bj = bj` , а N(N-1) – число всех пар различных позиций в последовательности В= b1,b2,…,bN .

Обозначим через множество всех локально-периодических последовательностей периодаd.

ТЕОРЕМА 3. Пусть шифртекст B=B(N)=b1,b2,…,bN получается шифрованием случайного текста А(N) (выборки из распределения Ро) c помощью равновероятного выбора ключа G(N) из . Тогда вероятностьРУ(bj=bj,d) того, что при случайном и равновероятном выборе различных позиций j и j` с расстоянием, кратным d, элементы bj и bj` случайного шифртекста В совпадут (имеется в виду вероятность совместного события: равенство букв на местах j, j` и кратность расстояния между ними величине d), равна величине

.

При указанной вероятностной модели получения шифртекста данная вероятность совпадает с математическим ожиданием E(ИБШ(В,d)) случайной величины ИБШ(В,d).

ДОКАЗАТЕЛЬСТВО. Множеству =U соответствует разбиение R(d)=(N1, N2,…,Nd) множества {1,2,…,N}, где Nj={j,j+d,j+2d,…}, j{1,2,…,d}. Пусть П(d)=((d,=),П(d,()) – разбиение множества пар {1,2,…,N}х{1,2,…,N}, индуцированное разбиением R(d). Введем обозначение: П(d,=)= |{(j,j`}(d,=), jj`}|.

Положим, Р(П(d,=))=– вероятность случайного и равновероятного выбора пары индексов {j,j`}из множества П(d,=).

Ранее отмечалось, что величина ИБШ(B(N)) последовательности b1,b2,…,bN совпадает с вероятностью РВ(bj=bj`,d) совпадения шифрованных букв на случайно и равновероятно выбранных двух различных местах, расстояние между которыми кратно d. Поэтому

Е(ИБШ(B(N)) = РУ(bj=bj,d)= =

==

==

= Р(d|(j,j`))=

= Р(d|(j,j`))=

= Р(d|(j,j`))=

= P(d|(j,j`))=

= P(d|(j,j`))=

= P(d|(j,j`)) ==.

Теорема доказана.

Обозначим через R`=(N`1,N`2,…,N`k) – произвольное разбиение множества {1,2,…,N}, а через П(R`)=((R`,=),П(R`,)), разбиение множества пар {1,2,…,N}х{1,2,…,N}, индуцированное разбиением R` (данное понятие определено выше). Разбиению П(R`) поставим в соответствие подмножество U(П(R`)) множества ключей К=IN. Последовательность 1,2,…,N из IN принадлежит U(П(R`)) тогда и только тогда, когда j=j` для любой пары {j,j`}(R`,=). Рассмотрим пересечение R`R(d) разбиения R`=(N`1,N`2,…,N`k) и введенного при доказательстве теоремы 3 разбиения R(d)=(N1,N2,…,Nd) множества {1,2,…,N}, где Nj={j,j+d,j+2d,…}, j{1,2,…,d}. Разбиение R`R(d)=(n1,n2,…,nt) состоит из непустых блоков вида N`j`Nj, где j`{1,2,…,k}, j{1,2,…,d}. Этому разбиению соответствует разбиение П(R`R(d))=(П((R`R(d),=)),П((R`R(d),)) множества пар {1,2,…,N}х{1,2,…,N}\{(j,j):j}. Напомним, что разбиению R(d) соответствует П(d)=(П(d,=),П(d,()) – разбиение множества пар {1,2,…,N}х{1,2,…,N}\{(j,j):j}, индуцированное разбиением R(d).

Положим Р(П(d,=))==, – вероятность случайного и равновероятного выбора пары индексов {j,j`}из множества П(d,=), а .

Пусть шифртекст B=B(N) получается шифрованием случайного текста A=А(N) (выборки из распределения Ро) c помощью равновероятного выбора ключа G=G(N) из U(П(R`)). Подсчитаем вероятность РУ(bj=bj,d) совместного события: при случайном и равновероятном выборе различных позиций j и j` с расстоянием, кратным d, элементы bj и bj` случайного шифртекста В совпадут.

Имеем

Е(ИБШ(B(N)) = РУ(bj=bj,d) =,

где PB(bj,bj`,d) – вероятность совпадения шифрованных букв bj,bj` в шифртексте B=b1,b2,…,bN, на случайно и равновероятно выбранных двух различных местах j,j`, расстояние между которыми кратно d. Шифртекст B получен из открытого текста А с помощью гаммы G.

Последние равенства можно продолжить:

=

=+

+=

+

Напомним, что bj=aj+j, bj`=aj`+j` и при выполнении условия (j,j`)П(R`,=) все ключи – гаммы из U(П(R`)) таковы, что j=j`. Следовательно, первую сумму предыдущего выражения можно преобразовать так:

=

===.

Для случайно и равновероятно выбранной гамме из U(П(R`)) вероятность события (j=i, `j`=i`) равна P(j=i)P(j`=i`) для любых i,i`, причем P(j=i)= для любого iI (см. лемму 4). Поэтому вторую сумму рассматриваемого выражения можно привести к виду

.

Кроме того,

=

=.

Получаем промежуточный результат:

Е(ИБШ(B(N)) = РУ(bj=bj,d)= +

+ .

Продолжим выкладки:

=))=

=.

Для подсчета вероятности переобозначим разбиениеR`R(d)= (n1,n2,…,nt), состоящее из непустых блоков вида N`j`Nj, где j`{1,2,…,k}, j{1,2,…,d}. Именно, пусть () – семейство непустых блоковnm, из системы (n1,n2,…,nt) входящие в блок Nj, j{1,2,…,d}. Тогда

=P((j,j`)П(R(d),=), (j,j`)П(R`,))=

=.

Окончательно получаем

Е(ИБШ(B(N)) = РУ(bj=bj,d)= +

+=

=+ +.

Таким образом, доказана

ТЕОРЕМА 4. Пусть шифртекст B=B(N) получается шифрованием случайного текста A=А(N) (выборки из распределения Ро) c помощью равновероятного выбора ключа G=G(N) из U(П(R`)). Тогда вероятность РУ(bj=bj,d) того, что при случайном и равновероятном выборе различных позиций j и j` у них расстояние будет кратно d и элементы bj и bj` случайного шифртекста В совпадут, равна величине

+ .

При указанной вероятностной модели получения шифртекста данная вероятность совпадает с математическим ожиданием E(ИБШ(В,d)) случайной величины ИБШ(В,d).

Из полученного выражения для вероятности РУ(bj=bj,d) следует, что она зависит не только от мощностей блоков разбиения R` (как это имело место для вероятности РУ(bj=bj)), но и от мощностей блоков пересечения разбиений R` и R(d). Поэтому такая большая многозначность определения периода в шифре гаммирования по шифртексту, как в первом методе Вольфа Фридмана, в предлагаемом методе БШ отсутствует.

В случае R`=R(d) имеем k=d=t, N`j=Nj=nj, tj=1. Формула для РУ(bj=bj,d) принимает вид

РУ(bj=bj,d) ===

=,

где N=kd+r. Ранее эта формула была получена в теореме 3.

Возможности использования m-грамм шифрованного текста. Основная идея одного из направлений повышения надежности представленных методов определения периода гаммы в шифре гаммирования состоит в представлении последовательностей алфавита I в виде последовательностей m-грамм алфавита I.

Через Ро(m) обозначим вероятностное распределение на Im, определенное вероятностями Р(i1,i2,…,im) появления m-грамм i1,i2,…,im =M в содержательных открытых текстах; через А(N,m)=M1,M2,…,MN будем обозначать реализацию случайной выборки объема N из распределения Ро(m). Последовательность m-грамм M1,M2,…,MN при необходимости мы будем рассматривать и как последовательность A(Nm)=M1M2…MN=a1,a2,…,aNm символов алфавита I длины Nm (MjMj+1 – конкатенация слов Mj и Mj+1). Пусть

B(N)=B(А(N),G(N))=b1,b2,…,bNm,

где bjj +j (mod |I|), j{1,2,…,Nm}.

Последовательность B(N) будем трактовать как шифрованный текст, полученный зашифрованием текста А(N) на ключе-гамме G(N) в шифре гаммирования (Х=INm,К= U,У= INm, f),

f(а12,…,аNm; 1,2,…,Nm)=b1,b2,…,bNm.

Представляя гамму G(Nm)= 1,2,…,Nm как последовательность m-грамм Г12,…,ГN, а шифртекст b1,b2,…,bNm как последовательность m-грамм B1,B2,…,BN, можно говорить теперь о том, что мы зашифровали выборку M1,M2,…,MN на ключе Г12,…,ГN, получив шифрованный текст – последовательность m-грамм B1,B2,…,BN. Задача определения периода последовательности m-грамм Г=Г12,…,ГN может решаться теперь полностью аналогично рассмотренной ранее задаче определения периода гаммы при m=1. При этом надо иметь в виду, что если период последовательности Г равен D, то период d последовательности G(Nm) является делителем числа mD.

Очевидно, модель получения содержательных текстов в виде выборки m-гамм является значительным уточнением начальной модели получения содержательных текстов. Но надо иметь в виду, что, имея текст длины N (выборку объема N) в алфавите I, при переходе к m-граммам нам приходится работать с длиной текста N/m (объем выборки уменьшается в m-раз) и, следовательно, уменьшается степень приближения значения индекса совпадения (индекса БШ) шифртекста к значениям теоретических расчетов (аналогично тому как уменьшается точность приближения относительной частоты встречаемости буквы в содержательном тексте к ее вероятности с уменьшением длины текста).

Определенным выходом из этой ситуации является рассмотрение всех m-грамм ij,ij+1,…,ij+(m-1) последовательности i1,i2,…,iN длины N в алфавите I (таких m-грамм всего N-(m-1). При этом нам ниже придется проводить расчеты в предположении, что эти m-граммы получены независимо друг от друга, что не соответствует действительности (например, очевидно, что m=граммы ij,ij+1,…,ij+(m-1) и ij+1,…,ij+(m-1),ij+m зависимы). Тем не менее, такая неразумность объяснима тем, что при большом N и небольшом m большинство пар m-грамм состоит из независимых m-грамм. И остается надежда, что такой слабой зависимостью можно пренебречь. Проверка же применимости получаемых при этом предположении теоретических результатов осуществляется в таких случаях экспериментальным путем.

Обозначим через множество всех локально периодических последовательностей периодаd.

ТЕОРЕМА 3’. Пусть шифртекст B=B(m,N) получается шифрованием случайного текста A=А(N)=a1,a2,…,aN, m-граммы которого являлись выборкой из распределения Ро(m), c помощью равновероятного выбора ключа G=G(N) из . Причем,dm. Тогда вероятность РУ(bjbj+1,…,bj+m=bj`bj`+1,…,bj`+m;d) того, что при случайном и равновероятном выборе различных позиций j и j` с расстоянием кратным d m-граммы bjbj+1,…,bj+m; bj`bj`+1,…,bj`+m случайного шифртекста В совпадут, равна величине

.

При указанной вероятностной модели получения шифртекста данная вероятность совпадает с математическим ожиданием E(ИБШ(В(m,N)) случайной величины ИБШ(В(m,N).

ДОКАЗАТЕЛЬСТВО. Множеству =U соответствует разбиение R(d)=(N1, N2,…,Nd) множества {1,2,…,N}, где Nj={j,j+d,j+2d,…}, j{1,2,…,d}. Пусть П(d)=(П(d,=),П(d,()) – разбиение множества пар {1,2,…,N}х{1,2,…,N}\ {(j,j), j}, индуцированное разбиением R(d).

Положим, Р(П(d,=))=– вероятность случайного и равновероятного выбора пары индексов {j,j`} из множества П(d,=).

Ранее отмечалось, что индекс БШ(B(m,N)) последовательности b1,b2,…,bN совпадает с вероятностью РВ(bjbj+1,…,bj+m=bj`bj`+1,…,bj`+m;d) совпадения шифрованных букв на случайно и равновероятно выбранных двух различных местах, расстояние между которыми кратно d. Поэтому

Е(ИБШ(B(m,N)) = РУ(bjbj+1,…,bj+(m-1)=bj`bj`+1,…,bj`+(m-1);d) =

=,

где PB(bjbj+1,…,bj+m = bj`bj`+1,…,bj`+m ,d) – вероятность совпадения шифрованных m-грамм в шифртексте B=b1,b2,…,bN на случайно и равновероятно выбранных двух различных местах j,j`, расстояние между которыми кратно d. Шифр­текст B получен из открытого текста А на ключе – гамме GU=.

Последние равенства можно продолжить:

=

=

=

.

Так как по условию dm то при случайном выборе m-грамм

=

Следовательно,

РУ(bjbj+1,…,bj+(m-1)=bj`bj`+1,…,bj`+(m-1);d)= ===

=.

Доказательство теоремы 3` закончено.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]