- •Часть 1. Основы криптографии
- •Глава 1.
- •1.2. Примеры моделей шифров
- •Ту же подстановку относительно своих контактов
- •1.3. Свойства шифров
- •1.4. Вероятностная модель шифра
- •1.5. Совершенные шифры
- •1.6. Способы представления реализаций шифров
- •1.7. Основные понятия теории автоматов
- •Глава 2.
- •2.1. Блочный шифр des
- •Матрица начальной перестановки p
- •Матрица обратной перестановки p–1
- •Связь элементов матриц
- •Функция расширения e
- •Функции преобразования s1, s2, ..., s8
- •Функция h завершающей обработки ключа.
- •2.2. Основные режимы работы алгоритма des
- •2.3. Области применения алгоритма des
- •2.4. Алгоритм шифрования данных idea
- •Подключи шифрования и расшифрования алгоритма idea
- •2.5. Отечественный стандарт шифрования данных
- •Режим простой замены. Для реализации алгоритма шифрования данных в режиме простой замены используется только часть блоков общей криптосистемы (рис.3.11). Обозначения на схеме:
- •32, 31, ... 2, 1 Номер разряда n1
- •32, 31, ... 2, 1 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •32, 31, ..., 2, 1 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •32, 31, ..., 2, 1 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •64, 63, ..., 34, 33 Номер разряда n2
- •32, 31, ..., 2, 1 Номер разряда n1
- •32, 31, ..., 2, 1 Номер разряда n2
- •Глава 3.
- •Узел выработки Канал
- •3.1. Шифры гаммирования
- •3.2. Поточный шифр гаммирования rc4
- •Глава 4.
- •Классическая модель криптографической системы (модель Шеннона)
- •4.1. Модель системы связи с открытым ключом
- •Модель системы с открытым ключом
- •4.2. Принципы построения криптосистем с открытым ключом
- •4.3. Схема цифровой подписи с использованием однонаправленной функции
- •4.4. Открытое распределение ключей Диффи-Хеллмана
- •Глава 5.
- •Классическая модель криптографической системы.
- •Глава 6.
- •6.1. Дешифрование шифра перестановки
- •6.2. Дешифрование шифра гаммирования при некачественной гамме
- •6.3. О дешифровании фототелеграфных изображений
- •6.4. Дешифрование шифра гаммирования при перекрытиях
- •Глава 7.
- •7.1. Задача определения периода гаммы в шифре гаммирования по заданному шифртексту
- •7.2. Возможности переноса изложенных результатов на шифры поточной замены (пз)
- •Где принадлежит множеству к подстановок на I (p-1(j) – вероятность j-той буквы, для ее расчета исходя из набора (p1,p2,…,p|I|) необходимо найти --1(j) – образ буквы j при подстановке --1).
- •Глава 8.
- •Глава 9.
- •9.1. Вероятностные источники сообщений.
- •9.2. О числе осмысленных текстов получаемых в стационарном источнике независимых символов алфавита
- •9.3. Критерии на осмысленные сообщения Важнейшей задачей криптографии является задача распознавания открытых текстов. Имеется некоторая последовательность знаков, записанная в алфавите I:
- •9.4. Частотные характеристики осмысленных сообщений Ниже используется следующий алфавит русского текста
- •Глава 10.
- •1) Для любой al(al)
- •Глава 11.
- •Глава 12.
- •Глава 13.
- •13.1. Расстояния единственности для открытого текста и ключа
- •13.2. Расстояние единственности шифра гаммирования с неравновероятной гаммой
- •Глава 14.
- •Глава 15.
13.2. Расстояние единственности шифра гаммирования с неравновероятной гаммой
Использован материал книги [Грушо А.А., Применко Э.А., Тимонина Е.Е. Анализ и синтез криптоалгоритмов. Курс лекций, Москва, 2000]. Пусть алфавит открытых текстов I= Z/m =(0,1,…,m-1) и X= (Z/m)n – множество открытых текстов (тестов подлежащих шифрованию) шифра гаммирования с множеством ключей K таких, что каждый знак гаммы может принимать значения из фиксированного подмножества С множества Z/m мощности r. Таким образом, множество содержательных открытых текстов Mn и шифрованных текстов Y погружены в пространство (Z/m)n всех последовательностей длины n в алфавите Z/m. Следуя Шеннону, операцию дешифрования можно представить графически в виде ряда линий, идущих от каждого шифртекста yY к различным x(Z/m)n. В сделанных выше предположениях каждый y Y связан ровно с k = r различными x V. Обозначим их . Среди них имеется открытый содержательный текстх. Если мы знаем признаки открытого содержательного текста (например, читаемость) и среди ровно один текстх удовлетворяет этим признакам, то тем самым процедура дешифрования завершена. Однако возможна ситуация, когда несколько текстов среди удовлетворяют признакам содержательного открытого текста. Тогда цель дешифрования – получение достоверной информации недостигнута. Ясно, что на возможный исход дешифрования влияетr. Если r = 1, то от y ведет всего одна линия к х и, по условию, этот текст и есть содержательный. Проблемы неоднозначности здесь нет. Если r = m, то от у ведет m различных линий ко всем элементам V. Значит, любой текст из Mn является возможным открытым содержательным текстом, что не дает нам возможности достигнуть цели дешифрования и этот случай обязательно порождает неоднозначность прочтения криптограммы. Для того, чтобы понять при каких r возможно однозначное дешифрование, а при каких r невозможно, рассмотрим следующую модель. На множестве ключей задана равномерная мера, т.е. любая допустимая гамма появляется с вероятностью 1/K. Мы также предположим, что для любого заданного шифртекста у, полученного из открытого текста х, все линии, связывающие у с , кроме (у, х), получены случайным и равновероятным выбором с возвращением из (m – 1) возможностей.
Обозначим случайную величину, равную 1, если хявляется открытым текстом, и 0 в противном случае. Тогда число открытых текстов без х среди равно
= -1.
Тогда Е = Е -1. Для всех х, которые не равны х, Е = . В случаех= х, Е = 1. Тогда
Е = (k-1) .
Если соотношение параметров таково, что Е <<1, то по оценке Маркова
P( 1) Е <<1.
Это означает, что появление ложных открытых текстов маловероятно или что х выделяется однозначно с большой вероятностью. Для изучения соотношений между параметрами необходимо оценить Mn.
Четвертый подход к оценке расстояний единственности шифра. Вернемся к началу раздела, посвященному расстояниям единственности шифра по открытому тексту и ключу. Там отмечалось, что расстояния единственности шифра – это, соответственно, целочисленные минимальные корни уравнений
2H(ML/EL)=1,
2H(К/EL)=1,
то есть корни уравнений Н(МL/EL)=0 и Н(К/EL)=0, если они существуют. В разделе «Второе определение Шеннона …» говорилось о том, что прямой подсчет расстояний единственности шифра, как правило, затруднителен, в связи с чем выше были рассмотрены и другие формализации понятий расстояний единственности по открытому тексту и ключу.
Ниже даются верхние приближенные оценки указанных корней на основе результатов работ:
Ю.С. Харин, В.И. Берник, Г.В. Матвеев. Математические основы криптологии, Минск, БГУ, 1999;
C.M. Meyer, S.M. Matyas. Cryptography: A New Dimension in Computer Data Security. John Wiley & Sons, 1982.
Пусть L0 – минимальное натуральное число, при котором Н(МL/EL)=0. Имеем
Н(ЕL,МL,К)=Н(ЕL)+Н( ML/ ЕL)+Н(К/МL,ЕL),
Н(ЕL,К,МL)=Н(ЕL)+Н(К/ ЕL)+Н(МL/К,ЕL).
Так как при известном шифрованном тексте и известном ключе открытый текст восстанавливается расшифрованием однозначно, то Н(МL/К,ЕL)=0. С учетом этого из данных уравнений находим
Н( ML/ЕL)=Н(К/ЕL)-Н(К/МL,ЕL)
и заключаем, что
Н(ML/ЕL)Н(К/ЕL).
Следовательно, любая верхняя оценка минимального корня уравнения Н(К/ЕL)=0 (расстояния единственности по ключу) будет верхней оценкой и для L0 – расстояния единственности по открытому тексту. Для получения такой оценки используем формулу для ненадежности ключа:
Н(К/ЕL)=Н(ML)+Н(К)–Н(ЕL).
Найдем одно из натуральных чисел L, при котором
Н(К/ЕL)=Н(ML)+Н(К)–Н(ЕL)=0.
Имеем Н(ML)log2|ML| (энтропию измеряем в битах) и Н(К)=log2|К| при равновероятном распределении на множестве ключей К. При рассматриваемых условиях справедливо неравенство
Н(ML)+Н(К)–Н(ЕL) log2|ML|+log2|К|–Н(ЕL).
Искомую верхнюю оценку величины L0 теперь можно получить, если решить уравнение
log2|ML|+log2|К|–Н(ЕL)=0
относительно L.
Введем дополнительные предположения относительно рассматриваемого шифра. Предположим, что
Значение L достаточно велико, именно – оно таково, что мощность |ML| множества открытых текстов приблизительно равна 2НL и они все равновероятны (см. теоремы Шеннона, Н – энтропия на букву).
Вероятностные распределения на ML и К индуцируют равномерное распределение на множестве ЕLOL (O – алфавит шифрованных текстов.
Из предположения 1) вытекает, что log2|ML|LН, а из 2) получаем
Н(ЕL)=log2|EL|.
Уравнение
log2|ML|+log2|К|-Н(ЕL)=0
теперь можно переписать в виде
LH+log2|К|-log2|EL|0.
Представим |EL| в виде |EL|=VL, где V зависит от L, V=V(L). Тогда уравнение принимает вид
LH+log2|К|-Llog2V0.
Откуда получаем искомую верхнюю приблизительную оценку расстояний единственности шифра
L` ,V=V(L).
В случае Н(ML)=LН, Н(К)=log2|К|, Н(ЕL)=L log2|V| имеем L0=L`.
При отказе от предположения 2) для вычисления L` используют в ряде публикаций неравенство
LH+log2|К|–Н(ЕL)LH+log2|К|–Llog2V
с последующим определением L` как корня уравнения LH+log2|К|–Llog2V=0, который, вообще говоря, не обязан быть в случае строгого неравенства оценкой искомого корня L0 уравнения LH+log2|К|-Н(ЕL)=0.
В заключение отметим, что мы рассматриваем поточные шифры, для которых существуют расстояния единственности. Очевидно, например, для шифров с эквивалентными ключами расстояние единственности по ключу отсутствует.