Глава 4. Псевдослучайные последовательности и методы генерации ключевых данных
4.1. Данные для формирования ключевой информации
Следует обратить внимание на то, что значительное число атак на криптосистемы базируется на особенностях конкретных ключевых данных.
В частности, совершенная стойкость шифра Вернама достигается за счет случайного равновероятного распределения знаков гаммовой последовательности. В тоже время, неравномерное распределение секретных параметров алгоритма, элементов ключа, наличие статистических зависимостей между ними создают предпосылки для проведения эффективных атак.
В
частности, стандарты цифровой подписи
ГОСТ 34.310 (Россия, Украина) и DSS (США)
используют схему Эль-Гамаля, для которой
вычисление цифровой подписи
производится по формулам
,
,
где
– хэш-код сообщения
.
Секретными
параметрами являются личный ключ
и случайный одноразовый ключ
,
который обычно называется рандомизатором.
Если
при формировании величины
не обеспечивается равномерное
распределение встречаемости различных
значений, то может стать реальной атака
на основе частичного перебора наиболее
вероятных значений
в
комбинации с последующим решением
приведенных уравнений относительно
секретного ключа.
Таким образом, возникает три тесно связанных между собой вопроса.
1. Что такое случайная равномерно распределенная последовательность, предназначенная для формирования ключевых данных?
2. Как за полиномиальное время получить последовательность символов из некоторого алфавита, имеющую определенный набор свойств, достаточный для того, чтобы ее можно было бы считать реализацией последовательности независимых случайных величин с равномерным распределением?
3. Как определить, что некоторая фиксированная последовательность удовлетворяет требованиям случайности и равномерности в смысле требований к ключевым данным?
Далее
рассмотрим последовательности случайных
величин
с дискретным распределением, где для
всех
случайные величины
.
В
соответствии с наиболее распространенным
определением [5,9], дискретная равномерно
распределенная случайная последовательность
(РРСП)
– это последовательность независимых
в совокупности случайных величин, для
которых
.
РРСП имеет следующие свойства [5]:
1)
,
;
2)
Для всех
любая
- мерная упорядоченная выборка (вектор
с компонентами
),
имеет равномерное распределение с
вероятностью
;
3)
Любая подпоследовательность
последовательности
также РРСП;
4)
Сумма по модулю
РРCП
и
любой независимой от нее последовательности
также является РРСП;
5)
РРСП не может быть предсказуема, т.е.
для любого натурального
количество информации по Шеннону,
содержащееся в отрезке
про элемент
,
равно нулю:
.
Устройство, реализующее РРСП, называется генератором РРСП.
Пусть
– двоичная последовательность, имеющая
некоторый период
.
Близкие по сути требования к исходным
данным для формирования ключей выдвигаются
в следующих постулатах Голомба.
1. Необходимо, чтобы количество единиц и количество нулей отличались на каждом (т.е., взятом с любого места) периоде не более, чем на единицу.
2. Во множестве всех серий (отрезков разной длины состоящих сплошь из нулей, либо единиц) ровно половина серий должна состоять из серий длины один, одна четверть (половина от оставшейся половины) должна состоять из серий длины два, серии длины три должны занимать одну восьмую всего множества серий, и т.д.
3.
Пусть две копии последовательности
периода
сдвинуты друг относительно друга на
величину
.
Пусть
и
– соответственно количество совпадений
и несовпадений битов в этих
последовательностях. Назовемфункцией
автокорреляции
выражение
.
Требуется,
чтобы для любых допустимых значениях
,
функция
принимала только два различных значения.
Последнее
правило формулирует необходимое условие
независимости знаков последовательности
.
Одновременно – это некоторая мера
различия последовательности
и ее копии, которая начинается в другой
точке цикла.
Последовательность, которая удовлетворяет постулатам Голомба, называется псевдошумовой последовательностью (ПШП).
Заметим, что линейные рекуррентные последовательности максимального периода по сути псевдошумовые. Это свидетельствует, что постулаты были сформулированы исходя из условия сохранения позитивных статистических свойств, характерных для линейных рекуррентных последовательностей максимального периода.
На практике одной из важнейших является следующая задача. Исходя из выше перечисленных и других свойств РРСП, необходимо определить, является ли конкретная последовательность реализацией РРСП.
В дальнейшем, для краткости изложения, реализацию РРСП будем называть просто случайной последовательностью. Для решения этой задачи, прежде всего, необходимо дать практически применимое определение РРСП.
Существует несколько определений случайной последовательности, но по разным причинам использовать на практике можно лишь некоторые из них.
Один из подходов к определению случайной последовательности, базирующийся на теории информации, сформулирован К.Шенноном. Последовательность называется случайной по Шеннону, если содержание информации в ней максимально.
Иначе это можно сформулировать так: в последовательности отсутствует избыточность; энтропия последовательности максимальна. Отметим, что случайность здесь характеризуется как свойство генератора.
Если взять за основу это определение, то достаточно часто используемые на практике генераторы случайных чисел, построенные на основе любого алгебраического закона преобразования некоторого начального случайного числа (генераторы псевдослучайных чисел – ГПСЧ), являются некачественными. Действительно, поскольку они получены из относительно короткого вектора – начального заполнения, то они обязательно избыточны, а энтропия всей последовательности равна энтропии начального вектора.
Другой
подход предложен А. Н. Колмогоровым, он
базируется на алго-ритмической сложности
вычислений. Последовательность длины
называется случайной по Колмогорову,
а ее колмогоровская сложность равна
,
если ее нельзя получить в результате
работы какого-либо алгоритма, двоичная
запись кратчайшей программы для
реализации которого содержит менее
битов.
Например,
колмогоровская сложность последовательности
из
единиц равна
,
так как ее можно задать с помощью
алгоритма “напечатать
единиц”, длина входа которого – порядка
,
потому, что столько занимает двоичная
запись числа
(счетчик цикла печати символа).
Сама
программа печати символа имеет
фиксированную длину, независимо от
.
Подобно шенноновскому определению, случайная по Колмогорову последовательность не может быть сгенерирована полиномиальным алгоритмом из короткого начального состояния.
Еще один подход к определению случайной последовательности предложили Блюм, Голдвассер, Микалли и Яо.
В соответствующем определении последовательность называется случайной, если не существует полиномиального (вероятностного) алгоритма, который сможет отличить ее от чисто случайной.
Такая последовательность называется полиномиально неразличимой от случайной или псевдослучайной.
Данный подход позволяет использовать для формирования псевдослучайных последовательностей (ПСП) детерминированные алгоритмы, реализуемые конечными автоматами. Хотя с математической точки зрения такие последовательности не случайны, так как они полностью определяются начальным заполнением, тем не менее, их практическое использование не дает никаких преимуществ криптоаналитику благодаря «неразличимости» от случайных. Поскольку этот подход представляется более конструктивным, остановимся на нем детальнее.
Случайные последовательности в смысле последнего определения также называют «случайными для всех практических применений».
Генераторы таких последовательностей, называют криптографически сильными, криптографически стойкими (cryptographically strong) или криптографически надежными (cryptographically secure). Надежность, в данном случае, есть не только свойство последовательности (или генератора), но и свойство наблюдателя, а точнее, его вычислительных возможностей.
Для ПСП доказаны два важных утверждения.
1. Последовательность является псевдослучайной тогда и только тогда, когда она непредсказуема, т.е. выдерживает тестирование очередным битом.
Это означает, что если даже известна часть последовательности любой длины, то при неизвестных начальном заполнении генератора и параметрах алгоритма генерации для получения очередного бита нельзя предложить алгоритм, существенно лучший простого угадывания или подбрасывания монеты.
2. Криптографически сильные генераторы существуют в том и только в том случае, если существуют легко вычислимые функции, но вычислительно сложно обратимые (односторонние функции – one-way functions). В этом случае каждому генератору ПСП можно поставить во взаимнооднозначное соответствие некоторую одностороннюю функцию, которая зависит от определенных параметров.