Лекція 6 кореляційна імунність та стабільність
Криптосхеми потокових шифрів, що основані на регістрах зсуву, дуже часто можна розглядати як комбінацію вузлів, кожний з яких відповідає перетворенню послідовності векторних аргументів у псевдовипадкову послідовність. При відновленні відкритого тексту або секретних параметрів природньо виникає обернена задача щодо відновлення частини бітів аргументів, виходячи з послідовності, отриманої на виході вузла. Досить часто така неповна інформація, з використанням додаткового перебору, дозволяє повністю розв’язати обернену задачу.
Загальний підхід для послаблення криптосхеми полягає в тому, щоб використати можливу корреляцію (взаємозалежність, нечіткий взаємозв’язок) між входом та виходом криптовузла.
Ідея полягає в тому, що початкове (істинне) перетворення заміняється на інше, яке хоч і послаблює детермінований зв’язок між аргументами і значеннями істинного перетворення, але у такий спосіб, що частину вхідної послідовності аргументів, можна відновіти статистичними методами.
Відновлена інформація, у свою чергу, використовується для відновлення частини аргументів іншого криптовузла і так далі. Такий підхід, залежно від стійкості криптосхеми, дозволяє, у принципі, піднятися по ланцюжку до початкових заповнень регістрів зсуву та відновити ключі.
Таким чином, з точки зору синтезу потокових шифрів, вузли криптосхем мають протидіяти кореляційним атакам, тобто необхідно сформулювати критерії щодо властивостей відповідних булевих функцій.
6.1 Кореляційно імунні булеві функції
З
критеріями розповсюдження ми вже
знайомі. Поняття кореляційної імунності
порядку
,
відображає відсутність статистичної
залежності між значеннями функції
та підмножинами потужності
змінних, що входять до складу повного
аргументу
.
Це поняття трансформується у відповідні
вимоги до підфункцій функції
.
Нехай
значення
є випадковою величиною з розподілом
ймовірностей
,
.
Визначення.
Булева
функція називається кореляційно імунною
порядка
,
,
якщо для будь-якої сукупності номерів
змінних
випадкові величини
та
є незалежними.
Визначення
(критерій 1).
Функція
є кореляційно імунною порядка порядка
,
тоді і тільки тоді, коли для будь-якої
сукупності
номерів
змінних
і для будь-яких наборів
виконується рівність
.
Розглянемо,
чи можливий випадок
.
Таблиця, що визначає кожну підфункцію,
складається, в даному випадку, з одного
рядка.
Вільних
змінних немає, елемент вектора значень
може дорівнювати нулю або одиниці. Таким
чином, підфункція
,
а
.
Якщо
критерій виконується, то
,
тобто функція
постійна.
Виявляється,
що тільки дві функції:
і
досягають максимального кореляційного
імунітету степеня
.
Вони є афінними, тобто криптографічно
слабкими.
Таким
чином, є сенс розглядати порядок
кореляційної імунності
лише у діапазоні
.
Зауважимо,
що для кожної пари
таблиця, що визначає підфункцію
,
складається з
рядків, кількість змінних підфункції
дорівнює
.
Дійсно,
у фіксованих
стовбчиках списку аргументів булевої
функції розташовані блоки що містять
всі двійкові
-вимірні
комбінації, причому кількість таких
блоків дорівнює
.
Всередені блоку всі комбінації різні,
тобто заданий вектор
входить до блоку тільки один раз. Тому
у всій таблиці знайдется
рядків, де на фіксованих місцях розташовані
бітів вектора
і в кожному такому рядку кількість
вільних змінних дорівнює
.
Якщо
функція
рівноймовірна, то
.
У цьому випадку критерій кореляційної
імунності набуває вигляду
,
тобто
- рівноймовірна незалежно від
,
.
Визначення кореляційної імунності еквівалентно наступному визначенню в імовірнісних термінах.