Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
2. Часть 1.doc
Скачиваний:
101
Добавлен:
02.06.2015
Размер:
5.54 Mб
Скачать

1.4. Вероятностная модель шифра

Одно из важнейших предположений К. Шеннона при исследовании секретных систем состояло в том, что каждому возможному передаваемому сообщению (открытому тексту) соответствует априорная вероятность, определяемая вероятностным процессом получения сообщения. Аналогично, имеется и априорные вероятности использования различных ключей шифра. Эти вероятностные распределения на множестве открытых текстов и множестве ключей характеризуют априорные знания криптоаналитика противника относительно используемого шифра. При этом К. Шеннон предполагал, что сам шифр известен противнику.

ОПРЕДЕЛЕНИЕ. Вероятностной моделью шифра называется его алгебраическая модель с заданными дискретными, независимыми вероятностными распределениями Р(Х)=(р(х), хХ), Р(К)=(р(), К) на множествах Х и К .

Естественно, вероятностные распределения на Х и К индуцируют вероятностное распределение Р(У)=(р(у),уУ) на У, совместные распределения Р(Х,К), Р(Х,У), Р(У,К) и условные распределения Р(Х/у)=(р(х/у), хХ) и Р(К/у)=(р(/у),К).

Вероятностной модели шифра соответствует так называемая матрица (р(у/х)) размера |Х||У| переходных вероятностей шифра, составленная из условных вероятностей р(у/х) – вероятности зашифрования открытого текста х в криптограмму у при случайном выборе ключа К в соответствии с Р(К).

1.5. Совершенные шифры

При определении теоретической стойкости шифра используют вероятностную модель шифра и следующие рассуждения.

Зная шифр и априорные вероятности открытых текстов и ключей, обладая перехватом шифртекста уУ противник может вычислить условные вероятности р(х/у) при всех хХ. Если при этом окажется, что один из элементов х(0) их Х имеет значительную вероятность р(х(0)/у)=1-, а все остальные элементы их Х, вместе взятые, имеют вероятность , то это означает, что с надежностью 1- найдено истинное открытое сообщение. В этом смысле говорят, что дешифрование сводится к вычислению апостериорных вероятностей р(х/у) при всех хХ. Напротив, если окажется, что при любом хХ выполняется равенство р(х/у)=р(х), то перехваченная криптограмма у не несет никакой информации об открытом сообщении. Если это равенство выполняется дополнительно и при любом уУ, то это свидетельствует о высокой способности шифра противостоять попыткам дешифрования, то есть о высокой криптостойкости шифра. Последние шифры К. Шеннон назвал «совершенными» шифрами.

ОПРЕДЕЛЕНИЕ. Шифр (Х,К,У,f) с вероятностными распределениями Р(Х)=(р(х), хХ), Р(К)=(р(), К) называется совершенным (при нападении на хХ по перехвату уУ), если при любых хХ и уУ

р(х/у)=р(х).

Используя формулу условных вероятностей

р(х,у)=р(у/х)р(х)=р(х/у)р(у),

легко показывается, что совершенство шифра равносильно условию

р(у/х)=р(у)

при любых хХ, уУ.

Несложно доказывается, что свойство совершенности шифра (Х,К,У,f), у которого |Х|=|К|=|У|, равносильно двум условиям:

1) р()=,К;

2) уравнение f(х,)=у однозначно разрешимо относительно К при любых хХ и уУ.

Одним из примеров совершенных шифров является шифр гаммирования Х=У=К=IL с равновероятным выбором ключа – гаммы. В качестве совершенных шифров выступают следующие шифры простой замены с множеством ключей К=S(I) (S(I) – симметрическая группа подстановок на I) с равновероятным выбором ключа: 1) Х=I – алфавит текста; 2) X – множество всех слов алфавита I длины L не содержащих одинаковых букв.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]