7.2. Возможности переноса изложенных результатов на шифры поточной замены (пз)

В данном пункте, как и ранее, под открытым текстом мы будем понимать выборку из распределения P_o=(P₁,P₂,…,P_|I|), где P_j – вероятность буквы j (ее номера) в содержательном тексте.

Пусть K – некоторое множество подстановок на I. Рассмотрим шифр ПЗ (Х=I^N, К^N, У, f), где шифрованный текст B=(b₁,b₂,…,b_N)=f(A,) получается из открытого текста A=a₁,a₂,…,a_N с помощью ключа =₁,₂,…,_NК^N следующим образом:

b_j=_j(a_j), j{1,…,N}.

Пусть d – период последовательности =₁,₂,…,_N (см. определение 2), в случае ее локальной периодичности. Задача состоит в определении периода d последовательности  или же установления его отсутствия по известному шифрованному тексту B. Легко проверить, что значение индекса совпадения (IC) последовательности = i₁,i₂,…,i_N I^N .

IC()=,

(F_i – частота встречаемости буквы i в последовательности = i₁,i₂,…,i_N) совпадает с индексом совпадения последовательности ()=(i₁),(i₂),…,(i_N) при любой подстановке  на I. Предположим дополнительно, что |К|=|I| и нижние строки множества К подстановок образуют латинский квадрат, т.е. множества переходов любых двух различных подстановок не пересекаются (это условие обеспечивает несложное доказательство аналога леммы 4 для рассматриваемого здесь шифра). Тогда полученные ранее результаты по применению индекса совпадения для определения периода гаммы шифра гаммирования полностью переносятся и на рассматриваемый шифр поточной замены. Несложно проверяется и совпадение индекса БШ последовательности =i₁,i₂,…,i_N с индексом БШ последовательности ()=(i₁),(i₂),…,(i_N), откуда следует справедливость полученных ранее утверждений для индекса БШ и для шифра ПЗ. Трактуя уравнение a+=b как уравнение T^(a)=b, где Т – подстановка вида T(j)=j+1 (mod(|I|), заключаем, что шифр гаммирования является частным случаем шифра ПЗ с множеством ключей К^N, где К=(Т, Т²,…,Т^|I|), Т^|I| – тождественная подстановка на I.

Задача дешифрования шифра поточной замены при известном периоде ключевой последовательности. Рассмотрим шифр ПЗ (Х=I^N,К^N,У,f), где шифрованный текст B=(b₁,b₂,…,b_N)=f(A,) получается из открытого текста A=a₁,a₂,…,a_N с помощью ключа – последовательности =₁,₂,…,_N периода d. Мы будем предполагать, что нижние строки множества К подстановок образуют латинский квадрат |К|=|I|. Задача состоит в определении открытого текста А по известному шифрованному тексту B и известному периоду d ключа .

Метод протяжки вероятного слова. Пусть b₁,b₂,…,b_N – известный шифртекст, N=kd+r. Рассмотрим две его подпоследовательности.

b₁, b₂ … , b_j,… ,b_(k-1)d+r,.

b_1+d, b_2+d,…, b_j+d ,… , b_kd+r

Выберем так называемое «множество вероятных слов» – слова, которые по нашему мнению, могут быть началом искомого открытого текста. Для опробуемого такого слова a`<sub>1</sub>,a`₂,…,a`<sub>t</sub>, предполагая, что оно является началом искомого открытого текста, находим первые <sub>1</sub>,<sub>2</sub>,…,<sub>t</sub> подстановок ключа (пользуясь тем, что множество К известно и тем, что нижние строки этого множества образуют латинский квадрат. Действительно, уравнение (a)=b при известных a и b однозначно разрешимо относительно  из К. Правильность угадывания вероятного слова a`₁,a`<sub>2</sub>,…,a`_t проверяется теперь на «читаемости» расшифрованного текста

₁^-1(b_1+d), ₂^-1(b_2+d),…, _t^-1(b_t+d).

Если последовательность этих букв принимается как случайный (нечитаемый) текст, то опробуется следующее вероятное слово. В случае же «читаемости» этой последовательности полагают, что

₁(b_1+d), ₂(b_2+d),…, _t(b_t+d)= a_1+d, a_2+d,…, a_t+d , –

и стараются построить возможные продолжения a_t+d+1,…,a_t+d+c этого отрезка открытого текста по смыслу первых его t букв a_1+d, a_2+d,…, a_t+d. Затем опробовать каждое такое продолжение a_t+d+1,…,a_t+d+c, т. е. найти с помощью b_t+d+1,…,b_t+d+c и этого продолжения последовательность подстановок _t+1,…,_t+c, а затем для нее и расшифрованный отрезок текста

_t+1^-1(b_t+1), _t+2^-1(b_t+2),…, _t+c^-1(b_t+c) = a`<sub>t+1,</sub> a`_t+2,…, a`_t+c.

Если текст a`<sub>1</sub>,a`₂,…,a`<sub>t</sub>, a`_t+1, a`<sub>t+2</sub>,…, a`_t+c «нечитаемый» (он может быть таким за счет его окончания a`<sub>t+1,</sub> a`_t+2,…, a`<sub>t+c.</sub>), то продолжение a<sub>t+d+1</sub>,…,a<sub>t+d+c</sub> отбрасывается. Если же текст a`₁,a`<sub>2</sub>,…,a`_t, a`<sub>t+1,</sub> a`_t+2,…, a`_t+c «читаемый», то ищут его возможные продолжения и т. д. Очевидно, поиск продолжений заканчивается по прочтению первых d букв открытого текста. Так как в этом случае найден отрезок ключа на d первых знаков и, следовательно, определен весь ключ. Оставшаяся часть не найденного открытого текста читается расшифрованием на найденном ключе.

Мы привели последовательность действий в методе протяжки вероятного слова исходя из предположения, что выбранные нами наиболее вероятные слова являются началом открытого текста. Обычно подбирают наиболее вероятные слова и для других позиций открытого текста. В этом случае начинают опробовать эти вероятные слова, естественно, не сначала текста, а привязываясь к их возможному месторасположению. При этом, конечно, видоизменяется и приведенный алгоритм «протяжки вероятного слова».

Метод чтения по колонкам. Пусть b₁,b₂,…,b_N – известный шифр­текст, d – период ключевой последовательности. Рассмотрим две его подпоследовательности.

b₁, b₂ … , b_j,… ,b_(k-1)d+r, N=kd+r.

b_1+d, b_2+d,…, b_j+d ,… , b_kd+r

Для изложения «метода чтения по колонкам» введем предварительно необходимые обозначения. Будем предполагать, что открытыми текстами, подлежащими шифрованию, являются содержательные тексты с вероятностями P₁,P₂,…,P_|I| букв алфавита I, P_j – вероятность буквы с номером j в содержательных текстах. Пусть на множестве ключей К^N задано равномерное распределение (ключом является реализация выборки объема N из равномерного распределения на К). Тогда вероятность P(a_j=i, a_j+d=i`/<sub>j</sub>(a<sub>j</sub>)=b<sub>j</sub>, <sub>j</sub>(a<sub>j+d</sub>)=b<sub>j+d)</sub>) того, что j-тая и j+d-тая буквы открытого текста были равны, соответственно, i и i` при условии, что j-тая и j+d-тая буквы шифрованного текста равны b_j и b_j+d выражается формулой

P(a_j=i,a_j+d=i`/_j(a_j)=b_j,_j(a_j+d)=b_j+d)=

=.

Напомним, что мы рассматриваем шифр, множество ключей которого задано латинским квадратом, следовательно, используемый ключ  однозначно определен любым переходом в этой подстановке. Поэтому если числитель последнего выражения не равен нулю, то

=

=.

Для рассматриваемых букв шифрованного текста b_j и b_j+d упорядочим в соответствии с невозрастанием полученных значений условных вероятностей и запишем в вертикальную колонку пары букв открытого текста , при этом верхние пары будут иметь большую условную вероятность, чем нижние. Построив такие колонки для каждого j{1,…,N} и расположив их по порядку слева направо, можно утверждать, что пары

, ,,,……

букв искомого читаемого содержательного текста будут находиться, соответственно, в первой, второй, и т. д. колонках, и наша задача состоит в подборе пар букв в каждой колонке так, чтобы получить читаемые тексты как по первым позициям пар, так и по вторым. При этом большинство истинных пар будет находиться ближе к верхнему краю колонок. Конечно, не исключен случай и получения нескольких начальных читаемых пар текстов на небольшой длине.

Метод дешифрования с использованием взаимного индекса совпадения. Пусть =i₁,i₂,…,i_N; `=i`₁,i`<sub>2</sub>,…,i`<sub>N`</sub> – последовательности длины, соответственно, N и N` букв алфавита I.

ОПРЕДЕЛЕНИЕ. Взаимным индексом совпадения последовательностей , ` называется величина

MI_C(, `)=,

где F_i (F`<sub>i</sub>) – частота встречаемости буквы i в последовательности  (`). Данная величина совпадает с вероятностью совпадения букв в последовательностях , ` при случайном независимом и равновероятном выборе позиций этих букв последовательностях , `.

Пусть  – случайная выборка объема N из некоторого распределения Р=(P_i)_iI, а ` – случайная выборка объема N`=N из распределения Р`=(P`_i)_iI. Тогда, очевидно, величина

MI_c(P,P`)=

совпадает с вероятностью Р(i_j=i`<sub>j`</sub>) события (i_j=i`<sub>j`</sub>) при случайном и равновероятном выборе выборе j и j` в случайных последовательностях , `.

Очевидно, для реализаций выборок , ` длины N=N` из распределений Р, Р` справедлив предельный переход по вероятности

MI_C(, `)=п.в.= MI<sub>c</sub>(P,P`)

при N . Поэтому при достаточно большом N пользуются с некоторой надежностью приближением

MI_C(, `)= = MI<sub>c</sub>(P,P`). (,)

Пусть, как и ранее, Р=(P₁,P₂,…,P_|I|) вероятностное распределение букв содержательных текстов, а Р`=(P`₁,P`<sub>2</sub>,…,P`_|I|) – неизвестное распределение на I, принадлежащее множеству Р_(К) распределений вида:

Р(^-1)=(P_^-1₍₁₎,P_^-1₍₂₎,…,P_^-1_(|I|)),