13.2. Расстояние единственности шифра гаммирования с неравновероятной гаммой
Использован
материал книги [Грушо А.А., Применко
Э.А., Тимонина Е.Е. Анализ и синтез
криптоалгоритмов. Курс лекций, Москва,
2000]. Пусть алфавит открытых текстов I=
Z/m
=(0,1,…,m-1)
и X=
(Z/m)n
– множество открытых текстов (тестов
подлежащих шифрованию) шифра гаммирования
с множеством ключей K
таких, что каждый знак гаммы может
принимать значения из фиксированного
подмножества С множества Z/m
мощности r.
Таким образом, множество содержательных
открытых текстов Mn
и шифрованных текстов Y
погружены в пространство (Z/m)n
всех
последовательностей длины n
в алфавите Z/m.
Следуя Шеннону, операцию дешифрования
можно представить графически в виде
ряда линий, идущих от каждого шифртекста
yY
к различным x(Z/m)n.
В сделанных выше предположениях каждый
y
Y
связан ровно с k
= r
различными x
V
.
Обозначим их
.
Среди них имеется открытый содержательный
текстх
.
Если мы знаем признаки открытого
содержательного текста (например,
читаемость) и среди
ровно один текстх
удовлетворяет этим признакам, то тем
самым процедура дешифрования завершена.
Однако возможна ситуация, когда несколько
текстов среди
удовлетворяют признакам содержательного
открытого текста. Тогда цель дешифрования
– получение достоверной информации
недостигнута. Ясно, что на возможный
исход дешифрования влияетr.
Если r
= 1, то от y
ведет всего одна линия к х
и, по условию, этот текст и есть
содержательный. Проблемы неоднозначности
здесь нет. Если r
= m,
то от у
ведет m
различных линий ко всем элементам V
.
Значит, любой текст из Mn
является возможным открытым содержательным
текстом, что не дает нам возможности
достигнуть цели дешифрования и этот
случай обязательно порождает
неоднозначность прочтения криптограммы.
Для того, чтобы понять при каких r
возможно однозначное
дешифрование, а при каких r
невозможно, рассмотрим следующую модель.
На множестве ключей задана равномерная
мера, т.е. любая допустимая гамма
появляется с вероятностью 1/K.
Мы также предположим, что для любого
заданного шифртекста у,
полученного из открытого текста х
,
все линии, связывающие у
с
,
кроме (у,
х
),
получены случайным и равновероятным
выбором с возвращением из (m
– 1) возможностей.
Обозначим
случайную величину, равную 1, если
х
является
открытым текстом, и 0 в противном случае.
Тогда число открытых текстов
без х
среди
равно
=
-1.
Тогда
Е
=
Е
-1. Для всех х
,
которые не равны х
,
Е
=
.
В случаех
=
х
,
Е
= 1. Тогда
Е
= (k-1)
.
Если соотношение параметров таково, что Е <<1, то по оценке Маркова
P( 1) Е <<1.
Это
означает, что появление ложных открытых
текстов маловероятно или что х
выделяется однозначно с большой
вероятностью. Для изучения соотношений
между параметрами необходимо оценить
Mn.
Четвертый подход к оценке расстояний единственности шифра. Вернемся к началу раздела, посвященному расстояниям единственности шифра по открытому тексту и ключу. Там отмечалось, что расстояния единственности шифра – это, соответственно, целочисленные минимальные корни уравнений
2H(ML/EL)=1,
2H(К/EL)=1,
то есть корни уравнений Н(МL/EL)=0 и Н(К/EL)=0, если они существуют. В разделе «Второе определение Шеннона …» говорилось о том, что прямой подсчет расстояний единственности шифра, как правило, затруднителен, в связи с чем выше были рассмотрены и другие формализации понятий расстояний единственности по открытому тексту и ключу.
Ниже даются верхние приближенные оценки указанных корней на основе результатов работ:
Ю.С. Харин, В.И. Берник, Г.В. Матвеев. Математические основы криптологии, Минск, БГУ, 1999;
C.M. Meyer, S.M. Matyas. Cryptography: A New Dimension in Computer Data Security. John Wiley & Sons, 1982.
Пусть L0 – минимальное натуральное число, при котором Н(МL/EL)=0. Имеем
Н(ЕL,МL,К)=Н(ЕL)+Н( ML/ ЕL)+Н(К/МL,ЕL),
Н(ЕL,К,МL)=Н(ЕL)+Н(К/ ЕL)+Н(МL/К,ЕL).
Так как при известном шифрованном тексте и известном ключе открытый текст восстанавливается расшифрованием однозначно, то Н(МL/К,ЕL)=0. С учетом этого из данных уравнений находим
Н( ML/ЕL)=Н(К/ЕL)-Н(К/МL,ЕL)
и заключаем, что
Н(ML/ЕL)Н(К/ЕL).
Следовательно, любая верхняя оценка минимального корня уравнения Н(К/ЕL)=0 (расстояния единственности по ключу) будет верхней оценкой и для L0 – расстояния единственности по открытому тексту. Для получения такой оценки используем формулу для ненадежности ключа:
Н(К/ЕL)=Н(ML)+Н(К)–Н(ЕL).
Найдем одно из натуральных чисел L, при котором
Н(К/ЕL)=Н(ML)+Н(К)–Н(ЕL)=0.
Имеем Н(ML)log2|ML| (энтропию измеряем в битах) и Н(К)=log2|К| при равновероятном распределении на множестве ключей К. При рассматриваемых условиях справедливо неравенство
Н(ML)+Н(К)–Н(ЕL) log2|ML|+log2|К|–Н(ЕL).
Искомую верхнюю оценку величины L0 теперь можно получить, если решить уравнение
log2|ML|+log2|К|–Н(ЕL)=0
относительно L.
Введем дополнительные предположения относительно рассматриваемого шифра. Предположим, что
Значение L достаточно велико, именно – оно таково, что мощность |ML| множества открытых текстов приблизительно равна 2НL и они все равновероятны (см. теоремы Шеннона, Н – энтропия на букву).
Вероятностные распределения на ML и К индуцируют равномерное распределение на множестве ЕLOL (O – алфавит шифрованных текстов.
Из предположения 1) вытекает, что log2|ML|LН, а из 2) получаем
Н(ЕL)=log2|EL|.
Уравнение
log2|ML|+log2|К|-Н(ЕL)=0
теперь можно переписать в виде
LH+log2|К|-log2|EL|0.
Представим |EL| в виде |EL|=VL, где V зависит от L, V=V(L). Тогда уравнение принимает вид
LH+log2|К|-Llog2V0.
Откуда получаем искомую верхнюю приблизительную оценку расстояний единственности шифра
L`
,V=V(L).
В случае Н(ML)=LН, Н(К)=log2|К|, Н(ЕL)=L log2|V| имеем L0=L`.
При отказе от предположения 2) для вычисления L` используют в ряде публикаций неравенство
LH+log2|К|–Н(ЕL)LH+log2|К|–Llog2V
с последующим определением L` как корня уравнения LH+log2|К|–Llog2V=0, который, вообще говоря, не обязан быть в случае строгого неравенства оценкой искомого корня L0 уравнения LH+log2|К|-Н(ЕL)=0.
В заключение отметим, что мы рассматриваем поточные шифры, для которых существуют расстояния единственности. Очевидно, например, для шифров с эквивалентными ключами расстояние единственности по ключу отсутствует.