- •Часть 1. Основы криптографии
- •Глава 1.
- •1.2. Примеры моделей шифров
- •Ту же подстановку относительно своих контактов
- •1.3. Свойства шифров
- •1.4. Вероятностная модель шифра
- •1.5. Совершенные шифры
- •1.6. Способы представления реализаций шифров
- •1.7. Основные понятия теории автоматов
- •Глава 2.
- •2.1. Блочный шифр des
- •Матрица начальной перестановки p
- •Матрица обратной перестановки p–1
- •Связь элементов матриц
- •Функция расширения e
- •Функции преобразования s1, s2, ..., s8
- •Функция h завершающей обработки ключа.
- •2.2. Основные режимы работы алгоритма des
- •2.3. Области применения алгоритма des
- •2.4. Алгоритм шифрования данных idea
- •Подключи шифрования и расшифрования алгоритма idea
- •2.5. Отечественный стандарт шифрования данных
- •Режим простой замены. Для реализации алгоритма шифрования данных в режиме простой замены используется только часть блоков общей криптосистемы (рис.3.11). Обозначения на схеме:
- •32, 31, ... 2, 1 Номер разряда n1
- •32, 31, ... 2, 1 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •32, 31, ..., 2, 1 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •32, 31, ..., 2, 1 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •64, 63, ..., 34, 33 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •32, 31, ..., 2, 1 Номер разряда n2
- •Глава 3.
- •Узел выработки Канал
- •3.1. Шифры гаммирования
- •3.2. Поточный шифр гаммирования rc4
- •Глава 4.
- •Классическая модель криптографической системы (модель Шеннона)
- •4.1. Модель системы связи с открытым ключом
- •Модель системы с открытым ключом
- •4.2. Принципы построения криптосистем с открытым ключом
- •4.3. Схема цифровой подписи с использованием однонаправленной функции
- •4.4. Открытое распределение ключей Диффи-Хеллмана
- •Глава 5.
- •Классическая модель криптографической системы.
- •Глава 6.
- •6.1. Дешифрование шифра перестановки
- •6.2. Дешифрование шифра гаммирования при некачественной гамме
- •6.3. О дешифровании фототелеграфных изображений
- •6.4. Дешифрование шифра гаммирования при перекрытиях
- •Глава 7.
- •7.1. Задача определения периода гаммы в шифре гаммирования по заданному шифртексту
- •7.2. Возможности переноса изложенных результатов на шифры поточной замены (пз)
- •Где принадлежит множеству к подстановок на I (p-1(j) – вероятность j-той буквы, для ее расчета исходя из набора (p1,p2,…,p|I|) необходимо найти --1(j) – образ буквы j при подстановке --1).
- •Глава 8.
- •Глава 9.
- •9.1. Вероятностные источники сообщений.
- •9.2. О числе осмысленных текстов получаемых в стационарном источнике независимых символов алфавита
- •9.3. Критерии на осмысленные сообщения Важнейшей задачей криптографии является задача распознавания открытых текстов. Имеется некоторая последовательность знаков, записанная в алфавите I:
- •9.4. Частотные характеристики осмысленных сообщений Ниже используется следующий алфавит русского текста
- •Глава 10.
- •1) Для любой al(al)
- •Глава 11.
- •Глава 12.
- •Глава 13.
- •13.1. Расстояния единственности для открытого текста и ключа
- •13.2. Расстояние единственности шифра гаммирования с неравновероятной гаммой
- •Глава 14.
- •Глава 15.
Глава 12.
Энтропии шифртекстов и ключей
Ненадежности открытого текста и ключа. Шифр шифрования (М,К,Е,f) включает в себя два вероятностных выбора: выбор открытого сообщения хMХ и выбор ключа К. Тем самым определена вероятностная модель шифра шифрования. Количество информации, создаваемой при выборе открытого сообщения, измеряется величиной
Н(М)= –.
Аналогично, неопределенность, связанная с выбором ключа, дается выражением
Н(К)= –.
Неопределенность сообщения, так же как и неопределенность ключа могут изменяться, когда имеется возможность наблюдать криптограмму – шифрованный текст еЕ=f(MК)У (Е – образ MК при отображении f) . Эту условную неопределенность естественно измерять условной энтропией.
Н(М/Е)= –,
Н(К/Е)= –.
Введенные условные энтропии Шеннон назвал ненадежностью открытого сообщения и ключа. Эти ненадежности используются в качестве теоретической меры секретности. В качестве обоснования такого использования можно привести следующие рассуждения. Если ненадежность сообщения (ключа) равна нулю, то отсюда следует, что лишь одно сообщение (один ключ) имеет единичную апостериорную вероятность, а все другие – нулевую. Этот случай соответствует полной осведомленности дешифровальщика о сообщении (ключе). Действительно, пусть
Н(М/Е)= –=0.
Тогда при любых (m,е)МЕ
p(m,е)log2p(m/е)=0.
Выберем такие (m,е) для которых существует ключ (m,е)=К такой, что m=e. Для таких пар имеем р(m,е)>0, следовательно, из предыдущего равенства получаем log2p(m/е)=0, то есть p(m/е)=1. Таким образом, по шифртексту m открытый текст e восстанавливается однозначно.
Приведем некоторые формулы для ненадежности ключа и открытых сообщений. Рассмотрим вероятностные схемы, определенные на М, К, Е и совместную энтропию Н(М,К,Е). По правилам сложения энтропий имеем
Н(М,К,Е)=Н(М,К)+Н(Е/М,К)=Н(Е,К)+Н(М/Е,К).
Но Н(Е/М,К)=0, так как условия полностью определяют событие Е. Кроме того, Н(М/Е,К)=0, так как в шифре выполняется свойство однозначного расшифрования. В связи с чем
Н(М,К,Е)=Н(М,К)=Н(Е,К).
Так как ключ и открытое сообщение в вероятностной модели шифра выбираются независимо, получаем
Н(М,К)=Н(М)+Н(К).
Кроме того,
Н(Е,К)= Н(Е)+Н(К/Е).
Отсюда получаем формулу для ненадежности ключа
Н(К/Е)=Н(М)+Н(К)-Н(Е).
Из этой формулы следует: если Н(М)=Н(Е), то Н(К/Е)=Н(К) и наоборот. Формула для ненадежности сообщения получается аналогичным образом. Именно, имеем
Н(М,Е)= Н(Е)+Н(М/Е)=Н(М)+Н(Е/М),
откуда
Н(М/Е)=Н(М)+Н(Е/М)-Н(Е).
Используя тот факт, что уменьшение объема известных сведений может лишь увеличить неопределенность, получаем соотношения
Н(М/E)Н(М,К/Е)=Н(К/Е)+Н(М/Е,К)=Н(К/Е)Н(К).
В последнем равенстве Н(М/Е,К)=0.
Ниже мы покажем, что для совершенных шифров, то есть шифров, для которых р(m/е)=р(m) при любых (m,e) выполняется равенство Н(М/E)=Н(М), и полученное выше неравенство говорит о том, что для них неопределенность секретного ключа всегда не меньше неопределенности шифруемого текста.
Учитывая связь Н(К) с возможностью кодировки множества ключей, заключаем, что для совершенных шифров средний «размер» секретного ключа не может быть меньше «размера» открытого текста. Следовательно, для таких шифров число ключей растет вместе с ростом длины передаваемых сообщений.
Напомним, что примером совершенного шифра является шифр гаммирования. При шифровании двоичного сообщения m=m1,m2,…,mL при случайном и равновероятном выборе ключа – двоичной гаммы длины L имеем р(m/e)=2-L при всех m,е.
ТЕОРЕМА. Шифр (М,К,Е,f), где Е=f(МК) является совершенным тогда и только тогда, когда Н(М/E)=Н(M).
ДОКАЗАТЕЛЬСТВО. Имеем
Н(М/E)-Н(M)= –
= –
= –
= –
=
==.
Если шифр совершенный, то р(m/е)=р(m) при всех парах (m,е). В частности, для пар (m,е), при которых р(m,e)0, выполняется равенство
.
Следовательно, Н(М/E)=Н(M).
Предположим теперь, что Н(М/E)=Н(M), то есть
=0.
Тогда р(m)=р(m/е) для пар (m,е): р(m,е)0. Для доказательства совершенности шифра достаточно показать, что р(m,е)0 при любой паре (m,е)МЕ. Докажем это. Для любого mМ найдется е=е(m) с условием р(m,е)0. Имеем
,
так как р(m)=р(m/е) для пар (m,е): р(m,е)0. Откуда получаем: . Это равенство возможно лишь при суммировании по всем еЕ, так как, по условию теоремы: Е=f(МК), и поэтому р(е)0 при любом еЕ. Следовательно, р(m,е)0 при всех еЕ, а так как m выбиралось произвольным, то р(m,е)0 при любой паре (m,е)МЕ, что и оставалось нам показать для завершения доказательства необходимости условий теоремы.