Глава 13.
Расстояния единственности шифра
13.1. Расстояния единственности для открытого текста и ключа
Ниже в данном разделе будут рассматриваться лишь поточные шифры (М,К,Е,f) с заданными вероятностными распределениями на М и К. Напомним, что поточный шифр определен опорным шифром и соответствием между ключами и ключевыми последовательностями. Будем предполагать, что М=IN, где I – алфавит открытого текста, а f : МКЕ – сюрьективное отображение, ЕOL, где O – алфавит шифрованного текста. Наряду с текстом mМ длины N и шифрованным текстом еЕ длины N мы будем рассматривать их начальные отрезки mL и еL длины LN. Будем считать, что вероятностное распределение на множестве М индуцирует вероятностное распределения на начальных отрезках mLML сообщений m из М. Последнее распределение и вероятностное распределение на ключах К индуцируют вероятностные распределения на начальных отрезках еLЕL криптограмм е из Е и другие совместные и условные распределения. При изучении свойств рассматриваемого шифра будем считать, что N всегда больше рассматриваемых нами значений L. В связи со сказанным выше корректно введение и соответствующих энтропий:
Н(МL/ЕL)=
–
,
Н(К/ЕL)=
–
.
Эти энтропии также трактуются как ненадежности части сообщения и ключа. Отметим, что в поточном шифре множество ключей не зависит от длины L сообщения.
Теорема Шеннона.
1. Ненадежность ключа Н(К/ЕL) есть невозрастающая функция от L, то есть при любом L`>L
Н(К/ЕL) Н(К/ЕL`).
2. Ненадежность первых k букв сообщения является невозрастающей
функцией от L, то есть при L`>L
Н(Мk/ЕL) Н(Мk/ЕL`).
3. При любом L
Н(К/ЕL)Н(МL/ЕL).
Справедливость утверждений теоремы вытекает из свойств условных энтропий.
На качественном уровне, под расстоянием единственности шифра по открытому тексту понимают минимальное натуральное число L, при котором по известному шифртексту eL длины L однозначно восстанавливается соответствующее ему открытое сообщение mL. Аналогично, под расстоянием единственности шифра по ключу понимают минимальное L, при котором по известному шифртексту длины L однозначно восстанавливается использованный ключ. Такие качественные понятия не вполне точны. Действительно, видимо минимальное L, о котором идет речь (если оно существует), зависит от конкретного шифртекста е, L=L(е). Следовательно, видимо речь должна идти о среднем значении таких минимальных L(е). С другой стороны, для каждого еL можно определить все множество сообщений mL, которые могут быть зашифрованы шифром в криптограмму еL. Расстояние единственности шифра по открытому тексту можно определить теперь как минимальное L, при котором среднее значение мощностей этих множеств равно единице.
Первое определение Шеннона расстояний единственности шифра. Ранее было показано, что энтропия характеризует некоторый источник информации, в частности, вероятностные модели получения открытых (содержательных) текстов. Число открытых текстов и их вероятности оцениваются по фундаментальным теоремам теории информации, теоремам Шеннона, Хинчина, Макмиллана.
Аналогичную роль играет и условная энтропия Н(МL/ЕL) – ненадежность части сообщения в вероятностной модели шифра. Она характеризует среднее число текстов длины L, которые могут соответствовать известному отрезку еL шифрованного текста. Именно, Шеннон полагал, что среднее число текстов mL, которые могут быть зашифрованы в заданный шифртекст, равно
R(L)=2 Н(МL/ЕL),
где 2 – основание логарифма в выражении энтропии.
Аналогично 2Н(К/ЕL) – среднее число (по всем еL) ключей, при которых получается отрезок шифрованного текста (при подходящих выборах mL из М).
Согласно, пункту 1 теоремы Шеннона второе из этих значений с ростом L не возрастает и, в случае существования минимального L, при котором это значение становится равным единице, такое L называют расстоянием единственности шифра по ключу. Аналогично определяют расстояние единственности шифра по открытому тексту, именно, как минимальный корень уравнения R(L)=2 Н(МL/ЕL)=1, Таким образом, расстояния единственности шифра это минимальные корни уравнений
R(L)=2 Н(МL/ЕL)=1,
2Н(К/ЕL)=1
относительно L (если такие корни существуют).
Некоторые шифры устроены так, что их количество ключей растет с ростом длины L сообщений, например, шифр гаммирования. В этом случае возможна ситуация, когда R(L) с ростом L. Такие шифры называют асимптотически стойкими. Для таких шифров при достаточно большом L величина R(L) становится большой и среди R(L) возможных текстов выбрать текст, который был действительно зашифрован в заданную криптограмму, становится невозможным.
Второе определение Шеннона расстояний единственности шифра (модель случайного шифра). Прямой подсчет расстояний единственности шифра (по открытому тексту и ключу), как правило, затруднителен. В связи с чем, для их подсчета используют модель «случайного шифра». Пусть (Е,К,Х,F) – шифр расшифрования для шифра зашифрования, МХ, где М – все множество содержательных открытых текстов длины N в алфавите I (|I|>2).
Предполагается (в этом и заключается случайность модели шифра), что при случайном и равновероятном выборе ключа К и расшифровании на нем криптограммы еL (LN) вероятность получить содержательный текст равна
,
где Н – энтропия на букву содержательного текста в алфавите I, 2 – основание логарифма в выражении энтропии. Это число «почти» совпадает с вероятностью выбора содержательного открытого текста длины L при случайном и равновероятном выборе последовательности длины L букв алфавита (2НL – приближенное значение количества содержательных открытых текстов). Тогда при расшифровании шифртекста длины L на всех ключах из К мы получим в среднем
|К|
=r(L)
открытых текстов. Так как Н<log2|I|, то отсюда следует, что r(L)0 с ростом L. Решая теперь уравнение
|К|
=1
относительно L, получаем решение
Lo=
,
где
D=1–
– избыточность открытого текста.
ЗАМЕЧАНИЕ.
Величина |К|
=r(L)
может стремится к бесконечности с ростом
L
лишь в случае, когда число ключей |К|
растет вместе с L,
например, для случайного шифра гаммирования
(К=IL).
Расстояние
единственности для ключа.
Аналогично вычисляется расстояние
единственности для ключа. Множество
ключей, при которых может быть получен
шифртекст еL,
при условии, что мы шифровали лишь
открытые сообщения (М – множество
открытых текстов), совпадает с множеством
ключей, расшифровывающих еL
в открытый текст, вероятность такого
расшифрования и, следовательно,
вероятность получения нужного ключа
при опробовании, как было замечено
ранее, равна
.
Следовательно, величина
r(L)=|К|
одновременно является и средним числом ключей, соответствующих криптограмме длины L. Решение этого уравнения c правой частью r(L)=1 относительно L называется расстоянием единственности шифра по ключу.
Так
как введенные расстояния единственности
шифра по открытому тексту и по ключу
совпадают, то величину Lo=
называютрасстоянием
единственности шифра.
Отметим определенную некорректность во введении понятия расстояния единственности во втором определении Шеннона. Число содержательных открытых текстов приблизительно равно 2НL, это число получено в предположении, что рассматривается достаточно больше число L. В связи с этим предыдущие равенства следует рассматривать как приближенные. Некорректность же заключается в том, что одновременно при нахождении расстояния единственности (корня уравнения) ищется по существу минимальное L (оно, возможно, будет и небольшим), и тогда нельзя пользоваться приближенной формулой 2HL для числа открытых текстов.
Второе сомнение в корректности такой формализации понятия расстояния единственности шифра может возникнуть из следующих соображений. По логике рассматриваемого подхода «случайного шифра» расшифрованию подлежит криптограмма, полученная при некотором открытом тексте и некотором истинном ключе o. Следовательно, предположение о случайном расшифровании можно относить к ключам из множества К\{o}, и тогда, имея в виду, что уже имеется один истинный ключ, заведомо дающий открытый текст, для среднего значения числа открытых текстов получаем выражение
r`(L)
1+|К-1|
.
Следовательно, r`(L) 1 при
|К-1|
0.
Если |К|2, то это приближенное равенство справедливо лишь для достаточно больших L (чем лучше приближение, тем больше Lo). Тем не менее, расчеты показывают, что значения корней уравнений r(L)=1, r`(L) 1 приблизительно равны.
Приведем
пример.
Пусть |К|= 2100,
|I|=32,
Н=1 бит. Тогда r(L)=1
при Lo=25.
Если |К|=2104,
то r(L)=1
при Lo=26.
Откуда следует, что для 2100|К|2104
величина Lo
будет находится в пределах 25Lo26.
В частности, в этих границах будет
находится и Lo
для |К|=2100+1.
Рассчитаем теперь для этого |К| величину
L`o(t),
при которой r`(L)=
,
то есть решим уравнение
|К-1|
=
.
Имеем
2100
2-4L=
,
откуда
t=4L-100.
Окончательно получаем L`o(t)=
.
Приt=4
получаем L`o(4)=26.
Следовательно, для |К|=2100+1
имеем L`o(4)26.
При t=20
получаем L`o(20)=30.
Уже есть повод задуматься и предложить
другие подходы к подсчету расстояний
единственности шифра.
Третий подход к формализации понятий расстояний единственности шифра. Рассмотрим уравнение шифрования поточного шифра (М,К,Е,f), МХ, Е=f(MК)
f(mL,)=еL.
Пусть I – алфавит открытого текста, O – алфавит шифрованного текста, mL, еL – начальные отрезки шифруемого текста m и шифрованного текста е, соответственно. Множество всех возможных отрезков mL обозначим через МL, а множество всех возможных отрезков еL обозначим через ЕL. В случае |ОL|<|МL||К| всегда найдется еL, при котором число решений уравнения шифрования относительно неизвестной пары (mL,) больше единицы. За расстояние единственности шифра примем минимальное L, если оно существует, при котором |ОL||МL||К| (имеется в виду приближенное равенство). Рассмотрим
Пример. Пусть М – множество содержательных открытых текстов, |К|=2100, |I|=|O|=32, Н=1, тогда |МL|2НL и решение уравнения |ОL|=|МL||К| относительно L дает: 25L2L2100, 5LL+100, то есть L25. Сравните с приведенным выше примером.
Одна трактовка второго определения Шеннона расстояний единственности шифра. Попытаемся уточнить использованное Шенноном предположение о случайности расшифрования криптограммы. Предположим, что шифр (М,К,Е,f), Е=f(MК), ЕУ выбирается случайно и равновероятно из множества всех шифров такого вида. То есть при фиксированных множествах М – сообщений, У– шифробозначений, из множества всех биекций М в У случайно и равновероятно выбираются (с возвращением) |К| инъекций {f :МУ, К}. Тем самым случайно выбран шифр А=(М,К,Е,f).
Для произвольного шифробозначения уУ и шифра А обозначим через F(А,y) множество всех сообщений mМ, для которых существует , при котором, f(m,)=у. При фиксированном уУ заданное вероятностное распределение на шифрах индуцирует вероятностную меру на множестве мощностей |F(А,y)|.
УТВЕРЖДЕНИЕ. Среднее значение случайное величины |F(А,y)| равно
.
ДОКАЗАТЕЛЬСТВО.
Докажем сначала очевидное на интуитивном
уровне вспомогательное утверждение:
при случайном и равновероятном выборе
инъективного отображения f:МУ
вероятность того, что элемент у будет
принадлежать образу отображения f,
равна
.
Действительно,
число возможных различных образов (Об)
инъективного отображения: МУ
равно
,
каждый из таких образов равновероятен.
Число образов Об(у), содержащих элементу,
равно
.Следовательно,
Р(уf(М))=
=
=
=
,
так как вероятность Р(уf(М)/ f(М)=Об) равна либо единице либо нулю.
Раскроем последнее выражение
=
=
.
Среднее
значение случайной величины |F(А,y)|
определяется числом испытаний |К| и
вероятностью «успеха» Р(уf(М))=
.
Среднее значение |F(А,y)|
равно
.
Беря в качестве М – множество содержательных открытых текстов и полагая |М|=2НL , а в качестве У беря OL, получаем, что среднее значение случайной величины |F(A,y)| – числа прообразов шифртекста у равно
|К|
.
Из уравнения
|К|
=1
находим «новое» расстояние единственности шифра по открытому тексту.
Напомним, что по второму определению Шеннона расстояния единственности шифра по открытому тексту для числа открытых текстов мы имели выражение
|К|
=r(L).