Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Материалы что дал Мухачев / Материалы что дал Мухачев / Конспекти_лекцій / Lect_21.doc
Скачиваний:
49
Добавлен:
19.02.2016
Размер:
417.79 Кб
Скачать
►Содержание►

21.3 Метод «зустричі посередені»

У наведених вище підходах до відновлення ключів, очевидно, критичним параметром є час обробки даних. У подібній ситуації кажуть, що відповіддні алгоритми мають ту, чи іншу, часову складність.

Можливі ситуації, коли задачу з високою часовою складністю можна роз’язати за рахунок використання значного, але реального обсягу пам’яті, наприклад, за рахунок таблиць, або сортування масивів. Подібні алгоритми називають алгоритмами з просторовою складністю.

У загальному випадку складність алгоритмів оцінюється за часовою та просторовою складністю.

Метод «зустричі посередені» використовує значну пам’ять для сортування і полягає в наступному.

Нехай шифрсистема побудована як комбінація з двох більш простих шифрів: , , , , , тобто за допомогою перешифрування.

Розшифрування, очевидно, проводиться у вигляді .

Нехай пара , а кількість елементі у множинах відповідно дорівнює і .

Покажемо, як трудомісткість повного перебору ключа можна скоротити за рахунок пам’яті.

Оскільки , то .

Для всіх , , побудуємо таблицю

.

Це вимагатиме операцій шифрування.

Далі, для всіх , , побудуємо таблицю

.

Це вимагатиме операцій розшифрування.

Об’єднаємо обидві таблиці та проведемо сортування (ключ сортування - ліві частини рівнянь у таблицях, атрибути - значення .

При деяких Пара визначає ключ .

Перегляд таблиці потребує операцій. Сортування таблиці - порядку операцій. Таким чином, замість , кількість операцій становить , що , наприклад, при це дає оцінку , але вимагає обсягу елементів пам’яті відповідного розміру.

21.4 Поняття кореляційної атаки на поточні шифри

Атаки подібного типу полягають у заміні частини криптосхеми на інше, більш просте шифрперетворення, таке, що залишається зв’язок між частиною бітів ключа (або відритого тексту і ключа) та шифротекстом, що є результатом істинного перетворення.

Цей зв’язок (кореляція) зазвичай виявляється за рахунок відхілень статистичних ефектів на деяких місцях в бітових послідовностях від тих, що очикуються для зміненої криптосхеми. Оцінка цих відхілень дозволяє виявити тип викривлень і відновити істинні значення частини бітів, що цікавлять криптоаналітика.

Фактично, знаходится частина вектору розв’язку деякої системи рівнянь з вмкривленою правою частиною.

Ми вже згадували, що найбільш ефективні методики розроблени для знаходження початкового заповнення викривленої двійкової рекурентної послідовності, при відомому рекурентному законі, за умови, що ймовірністі нуля та одиниці не співпадають.

Ми будемо вважати, що алгоритм відновлення початкового заповнення викривленої двійкової рекурентної послідовності при нам відомий і за цієї умови розглянемо приклад дешифрування криптосхеми потокового шифра, що побудована на регистрах зсуву з керованим рухом.

21.5. Дешифрування генератора Бета-Пайпера

Генератор псевдовипадкової послідовності Бета-Пайпера оснований на комбінації двійкових РЗЛЗЗ з керованим рухом.

Регістр – це сукупність послідовних комірок. Деяки з них мають відводи і традиційно називаються точками знімання інформації.

Нагадаємо, що двійковий РЗЛЗЗ (регістр зсуву з лінійним зворотнім зв’язком) характеризується довжиною , номерами точок знімання зворотного зв’язку , номером точки знімання гами (як правило, ) і початковим станом (заповненням) .

На кожному такті роботи регістр змінює стан , де новий біт (біт гами) є фіксованою лінійною комбінацією бітів попереднього стану з номерами . Таким чином виникає так звана двійкова лінійна рекурентна послідовність , для якої ймовірності нуля і одиниці практично рівні: .

При керованому русі гама знімається не у кожному такті, а тільки у дозволений момент. Такі моменти можуть визначатися тактами, в яких з’являєтся одиниця на виході допоміжного регістру, тощо. Таким чином, застосовуєтся керуюча послідовність. Вона називається гамою керування.

Комбінування регістрів в даному такті – це формування суми за модулем 2 бітів гами підмножини регістрів (функції можуть бути суттево більш складними).

В генераторі Бета-Пайпера задіяні три РЗЛЗЗ , початкові стани яких є ключами.

Точки знімання зворотного зв’язку для , відомі. Відносно відомо також, що кількість точок зворотного зв’язку є парним числом (тобто непарне). Необхідно знайти та точки знімання регістра . У генераторі регістри рухаються рівномірно.

Регістр керує рухом : якщо вихід (гама) з дорівнює 1, то просувається на одиницю, інакше, начальний стан залишається незмінним.

У кінці такту , після закінчення формування станів, з регістрів , знімаються біти гами. Їхня сума за модулем 2 є результатом роботи у такті : .

Рис 21.1 Генератор

Виходячи з достатньо довгої послідовності , що є результатом роботи , побудуємо послідовність , що є викривленою рекурентою .

Дійсно, співвідношення викону-ється, якщо .

Останнє виконуються завжди, якщо гама керування , або виконується випадково, якщо .

Оскільки ймовірність того, що дорівнює , то випадкове співпадіння і буде мати місце у частині всіх тактів роботи генератора. Решта співпадінь, тобто при , будуть мати місце у половині всіх тактів роботи генератора.

Таким чином, імовірність співпадіння дорівнює , і ми знаходимося в умовах задачі про викривлену лінійну рекуренту. За припущенням, ми можемо її роз’язати та знайти початковий стан і всю послідовність .

Далі. Позначимо і розглянемо два варіанти: , .

При отримаємо , , а при виходить , , тобто ми знаходимо два варіанти послідовності виду та .

Нехай регістру відповідає рекурентне співвідношення , тобто . Оскільки непарне, то кількість доданків в останньому співвідношенні непарна.

Нехай - істинна рекурента, тоді для неї ліва частина рекурентного співвідношення даватиме нуль, а для послідовності - одиницю.

Таким чином, ми можемо визначити і, виходячи з , знайти .

Аналогічно побудуємо послідовність .

Ми знаємо, що початкове заповненя регістра не змінюєтся, коли з знімається гама, що дорівнює нулю, тобто в таких випадках .

Очевидно, рівність може виконуватися і випадково.

Але якщо , то обов’язково рухався, тому при можна стверджувати, що на виході була одиниця.

Таким чином, якщо , то , а якщо , то біт з ймовірністю . Це означає, що коли , то , з ймовірністю .

Иншими словами з ймовірністю , і ми знову знаходимося в умовах задачі про викривлену лінійну рекуренту.

Таким чином, послідовність - відома. Це дає нам можливість знати номери тактів, коли регістр простоював, тому ми можему викреслити по одному біту у відповідних подвоєнях бітів з послідовності , після чого вона стане рекурентою.

Далі необхідно знайти точки знімання зворотного зв’язку. Ця задача вирішується за допомогою, так званого, алгоритму Берлекемпа-Мессі, який знаходить рекурентне співвідношення з мінімальною довжиною регістру, якому задовільняє відрізок конкретної послідовності.

Соседние файлы в папке Конспекти_лекцій
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности