Глава 12.

Энтропии шифртекстов и ключей

Ненадежности открытого текста и ключа. Шифр шифрования (М,К,Е,f) включает в себя два вероятностных выбора: выбор открытого сообщения хMХ и выбор ключа К. Тем самым определена вероятностная модель шифра шифрования. Количество информации, создаваемой при выборе открытого сообщения, измеряется величиной

Н(М)= –.

Аналогично, неопределенность, связанная с выбором ключа, дается выражением

Н(К)= –.

Неопределенность сообщения, так же как и неопределенность ключа могут изменяться, когда имеется возможность наблюдать криптограмму – шифрованный текст еЕ=f(MК)У (Е – образ MК при отображении f) . Эту условную неопределенность естественно измерять условной энтропией.

Н(М/Е)= –,

Н(К/Е)= –.

Введенные условные энтропии Шеннон назвал ненадежностью открытого сообщения и ключа. Эти ненадежности используются в качестве теоретической меры секретности. В качестве обоснования такого использования можно привести следующие рассуждения. Если ненадежность сообщения (ключа) равна нулю, то отсюда следует, что лишь одно сообщение (один ключ) имеет единичную апостериорную вероятность, а все другие – нулевую. Этот случай соответствует полной осведомленности дешифровальщика о сообщении (ключе). Действительно, пусть

Н(М/Е)= –=0.

Тогда при любых (m,е)МЕ

p(m,е)log₂p(m/е)=0.

Выберем такие (m,е) для которых существует ключ _(m,е)=К такой, что m=e. Для таких пар имеем р(m,е)>0, следовательно, из предыдущего равенства получаем log₂p(m/е)=0, то есть p(m/е)=1. Таким образом, по шифртексту m открытый текст e восстанавливается однозначно.

Приведем некоторые формулы для ненадежности ключа и открытых сообщений. Рассмотрим вероятностные схемы, определенные на М, К, Е и совместную энтропию Н(М,К,Е). По правилам сложения энтропий имеем

Н(М,К,Е)=Н(М,К)+Н(Е/М,К)=Н(Е,К)+Н(М/Е,К).

Но Н(Е/М,К)=0, так как условия полностью определяют событие Е. Кроме того, Н(М/Е,К)=0, так как в шифре выполняется свойство однозначного расшифрования. В связи с чем

Н(М,К,Е)=Н(М,К)=Н(Е,К).

Так как ключ и открытое сообщение в вероятностной модели шифра выбираются независимо, получаем

Н(М,К)=Н(М)+Н(К).

Кроме того,

Н(Е,К)= Н(Е)+Н(К/Е).

Отсюда получаем формулу для ненадежности ключа

Н(К/Е)=Н(М)+Н(К)-Н(Е).

Из этой формулы следует: если Н(М)=Н(Е), то Н(К/Е)=Н(К) и наоборот. Формула для ненадежности сообщения получается аналогичным образом. Именно, имеем

Н(М,Е)= Н(Е)+Н(М/Е)=Н(М)+Н(Е/М),

откуда

Н(М/Е)=Н(М)+Н(Е/М)-Н(Е).

Используя тот факт, что уменьшение объема известных сведений может лишь увеличить неопределенность, получаем соотношения

Н(М/E)Н(М,К/Е)=Н(К/Е)+Н(М/Е,К)=Н(К/Е)Н(К).

В последнем равенстве Н(М/Е,К)=0.

Ниже мы покажем, что для совершенных шифров, то есть шифров, для которых р(m/е)=р(m) при любых (m,e) выполняется равенство Н(М/E)=Н(М), и полученное выше неравенство говорит о том, что для них неопределенность секретного ключа всегда не меньше неопределенности шифруемого текста.

Учитывая связь Н(К) с возможностью кодировки множества ключей, заключаем, что для совершенных шифров средний «размер» секретного ключа не может быть меньше «размера» открытого текста. Следовательно, для таких шифров число ключей растет вместе с ростом длины передаваемых сообщений.

Напомним, что примером совершенного шифра является шифр гаммирования. При шифровании двоичного сообщения m=m₁,m₂,…,m_L при случайном и равновероятном выборе ключа – двоичной гаммы длины L имеем р(m/e)=2^-L при всех m,е.

ТЕОРЕМА. Шифр (М,К,Е,f), где Е=f(МК) является совершенным тогда и только тогда, когда Н(М/E)=Н(M).

ДОКАЗАТЕЛЬСТВО. Имеем

Н(М/E)-Н(M)= –

= –

= –

= –

=

==.

Если шифр совершенный, то р(m/е)=р(m) при всех парах (m,е). В частности, для пар (m,е), при которых р(m,e)0, выполняется равенство

.

Следовательно, Н(М/E)=Н(M).

Предположим теперь, что Н(М/E)=Н(M), то есть

=0.

Тогда р(m)=р(m/е) для пар (m,е): р(m,е)0. Для доказательства совершенности шифра достаточно показать, что р(m,е)0 при любой паре (m,е)МЕ. Докажем это. Для любого mМ найдется е=е(m) с условием р(m,е)0. Имеем

,

так как р(m)=р(m/е) для пар (m,е): р(m,е)0. Откуда получаем: . Это равенство возможно лишь при суммировании по всем еЕ, так как, по условию теоремы: Е=f(МК), и поэтому р(е)0 при любом еЕ. Следовательно, р(m,е)0 при всех еЕ, а так как m выбиралось произвольным, то р(m,е)0 при любой паре (m,е)МЕ, что и оставалось нам показать для завершения доказательства необходимости условий теоремы.