Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии
.pdf/юточные системы шифрования
у(Т) = к . Другими словами, через /0 тактов работы схемы
память будет заполнена только элементами последовательно сти и .
В дальнейших рассуждениях будем рассматривать работу схемы, начиная с такта /0+ 1 .
Теорема 6. Пусть т — период последовательности и , / — период последовательности V, причем (г,/) = 1 , (<т.
Тогда для значения периода Т выходной последовательно-
/ |
- |
сти у выполняется равенство Т=тз, где 5 = — |
и а < ее . |
с/ Д оказательство. Для />/0 определим параметры /, ра
венствами
= т т { / € ТУ :у(/-/)^Ч0 } •
Тогда у (г) = и{1- ). Несложно заметить, что для любых зна чений / и у выполняются соотношения
гО'+у‘0 = ^(/+у/) О'+У0 =**/) 0' +у'0 = «О'+ Л - 1 () •
Таким образом, каждая регулярная выборка с шагом I из последовательности у совпадает с некоторой регулярной вы боркой с шагом I из последовательности и . Отсюда и из ус ловия (г,/) = 1 следует, что г делит Т .
С другой стороны, для любого / справедливы равенства
у(1 + т() =^ 0+г()(/'+ г 0 = Я„(1) (/+ П ) = и(1 + т {- 1,) =
= м ( / - /,) = ( 0 = п о
следовательно, Т —Т 8 , где .V| /.
281
Гпава 9
Пользуясь условием периодичности и определением ве личин /,, для любого / > /0 получаем, что
7(г + 7Г5) = х (/) = м О '-/;),
г (1 + /Т з) = и(/ + уг 5 - /|+уг,) = и{1- /,+уг,).
Так как (г,/) = 1, то из условия |
и(г - /,) = и(г - /,+ ), 7 ^ 0 , |
следует, что для любых значений |
^ , /2, таких, что /, е 0,^ —1 , |
/2 е 0, г —1 , выполняется равенство
И(*‘2 -*»,) = И(*2 " Л + ^ ) - Отсюда, с учетом неравенства / < г, получаем, что
^1 ~ ^ \ +Р
для /, е 0, / - 1 .
Это означает, что все регулярные выборки с шагом я из последовательности V, начинающиеся с одного и того же
элемента с е 0,д - 1 , совпадают. Тогда период любой выборки
из последовательности |
V равен числу различных элементов |
|||||
из множества { 0,1,..., |
д - 1 }, встречающихся в ней. |
|||||
Будем говорить о выборке с шагом |
5 из последователь |
|||||
ности V , начинающейся с элемента у(г) |
как (/,5) -выборке. |
|||||
Обозначим |
подмножество |
элементов |
множества |
|||
{ 0, I,...,# - 1 |
} , |
встречающихся |
в фиксированной ( / » - |
|||
выборке, через |
5/7(7» , |
а его мощность через к,. Множество |
||||
5/7(7» назовем носителем (/,5*)-выборки. Заметим, что либо
5р(/,л1) = либо 5/7(7» п 5/7( у » = 0 , /,у е »
282
/юточные системы шифрования
Будем считать, что первые г выборок (г < л*) имеют раз личные носители, а любая из оставшихся 5- г выборок сов падает с одной из первых г выборок. Тогда
|
|
^ = к^ +к2 +... + кг Д > 1 ,/ е |
1, г . |
|
|
|||
Так |
как |
период |
/ последовательности |
V |
равен |
|||
5 • НСЩА^, к2 |
кг) , то для получения нижних оценок перио |
|||||||
да выходной последовательности |
у остается найти верхнюю |
|||||||
оценку величины с1 = Н ОК(^ Д 2,...ДЛ). |
|
|
|
|||||
Очевидно, что НОК (кх, к2 |
кг) < к{ |
-к2.-..якг9 откуда |
||||||
|
|
|
|
|
Г |
Г |
|
|
Таким |
образом, |
с/ < |
|
Максимум |
функции |
|||
/ |
\ |
|
\ |
г ; |
|
|
|
|
|
|
|
|
|
|
[1,я] |
||
/ ( х )= ~ |
действительного |
переменного на отрезке |
||||||
\ х ) |
|
|
|
|
|
|
|
|
достигается при х = — и максимальное значение й |
равно еч/е. |
|||||||
|
|
е |
|
|
|
|
|
|
Теорема доказана.
§ 9.7. Методы анализа поточных шифров
Рассмотрим некоторые методы анализа поточных шифрсистем на примере шифров гаммирования.
В первую очередь необходимо исследовать вероятност ные характеристики гаммы. Как мы уже знаем (см. гл. 6), имеются подходы к получению оценок вероятностей элементов неравновероятной гаммы по шифртексту, которые можно исполь зовать при бесключевом чтении.
283
I лава 9
Второй подход связан с попытками линеаризации уравнений гаммообразования, то есть сведения задачи нахождения ключей криптографических алгоритмов к решению некоторой системы линейных уравнений.
При таком подходе определяющую роль играет линейная сложность исследуемых последовательностей. Значение линей ной сложности определяет размеры системы линейных уравне ний, которую надо решить для определения ключа по известной шифрующей гамме. Поэтому линейная сложность определяет эффективность криптоатаки на основе известного открытого тек ста для шифров гаммирования в классе методов линеаризации. Это обусловливает актуальность разработки методов построения псевдослучайных последовательное гей с высокой линейной сложностью.
К вопросу о статистических зависимостях в шифрующей гамме примыкают методы анализа, основанные на наличии у функции усложнения хороших приближений в классе линейных функций. Примером отображений, не имеющих линейных стати стических аналогов хорошего качества, является класс бентфункций.
В случае наличия у функции усложнения линейного прибли жения криптоаналитик может заменить исследуемую схему схе мой с линейной функцией усложнения. Если усложнению под вергалась линейная рекуррентная последовательность, то при та кой замене результирующая гамма является суммой линейной рекурренты и некоторой случайной последовательности с “завы шенной” вероятностью появления нуля. Тем самым задача сво дится фактически к возможности определения ключа по “иска женному” выходу линейного регистра сдвига. Если число иска жений невелико, то их появление не оказывает существенного влияния на сложность определения ключа.
Отметим, что функция усложнения может обеспечивать вы сокий уровень линейной сложности и хорошие статистические качества результирующей гаммы (например, равновероятность появления ее элементов), но при этом она может иметь прибли
284
/юточные системы шифрования
жение в классе линейных функций с большой вероятностью сов падения значений, что сводит на нет перечисленные положитель ные качества.
При оценке криптографических качеств поточных шифров, помимо алгебраических и статистических свойств шифрующей гаммы, необходимо учитывать также наличие между знаками гаммы зависимостей комбинаторного характера. Например, при использовании в качестве гаммы линейной рекуррентной после довательности с малым числом ненулевых коэффициентов в за коне рекурсии может иметь место ситуация, когда значительное число знаков гаммы зависит лишь от небольшого числа знаков ключа. Если такая ситуация имеет место, то криптоаналитик по лучает возможность проверки гипотез о значениях части ключа, основываясь на статистических свойствах открытых сообщений, что является несомненной слабостью соответствующего алгорит ма шифрования.
Таким образом, при создании криптографически стойких по точных шифрсистем необходимо учитывать возможности приме нения криптоаналитиком всей совокупности статистических, ана литических и комбинаторных свойств используемых преобразо ваний. При этом дополнительные трудности создают постоянно возрастающие возможности вычислительной техники, позво ляющие провести экспериментальные исследования тех характе ристик поточных шифров, которые не удается изучить теоретиче ски. В связи с этим необходимо подчеркнуть, что приведенные в данной книге требования к поточным шифрам являются необхо димыми, но далеко не достаточными для создания стойких шиф ров. Вывод о криптографической стойкости конкретного шифра может быть сделан только на основе его комплексных исследова ний, проведенных с привлечением квалифицированных специа- листов-криптографов.
285
\лава 9
Контрольные вопросы
1.В чем заключаются достоинства и недостатки систем поточ ного шифрования по сравнению с блочными шифрами?
2.Почему возникает проблема синхронизации поточных шиф ров?
3.Что с точки зрения криптографического алгоритма определя ет управляющий блок?
4.Какой необходимый минимум функциональных возможно стей должен быть заложен в шифрующем блоке?
5.За счет чего можно обеспечить стойкость алгоритма шифро
вания при повторном использовании ключей?
6. Какие причины обусловили широкое использование линей ных регистров сдвига в качестве управляющих блоков поточ ных шифрсистем?
7.Какой период имеет ненулевая линейная рекуррентная после довательность над полем СР(2) с характеристическим много
членом х5+х2+\? Какова частота появления триграммы (0,1,1) на периоде этой последовательности?
8. Какова длина отрезка, необходимого для восстанавления ми нимального многочлена заданной линейной рекуррентной по следовательности с помощью алгоритма Берлекемпа— Месси?
9.Для каких целей применяются усложнения линейных рекур рентных последовательностей?
10.Какую минимальную степень нелинейности должна иметь булева функция от т переменных в фильтрующем генерато ре, чтобы после ее применения к знакам линейной рекуррент ной последовательности над полем СР{2) с примитивным ха рактеристическим многочленом Р(х) степени т линейная сложность выходной последовательности была бы больше /и3?
11.Какие существуют типы генераторов Макларена—Мар- сальи?
286
Глава 10 Шифрование в аналоговой телефонии
Существуют два класса систем связи: цифровые и анало говые. Все наши предыдущие исследования были связаны с цифровыми сигналами, то есть сигналами, имеющими конеч ное число дискретных уровней. Аналоговые сигналы являются непрерывными. Типичным примером такого сигнала является речевой сигнал, передаваемый по обычному телефону. Ин формацию, передаваемую аналоговыми сигналами, также не обходимо защищать, в том числе и криптографическими ме тодами.
Имеются два различных способа шифрования речевого сигнала. Первый состоит в перемешивании (скремблировании) сигнала некоторым образом. Это делается путем изменения соотношений между временем, амплитудой и частотой, не выводящих за пределы используемого диапазона. Второй спо соб состоит в преобразовании сигнала в цифровую форму, к которой применимы обычные методы дискретного шифрова ния. Зашифрованное сообщение далее передается по каналу с помощью модема. После расшифрования полученной крипто граммы вновь восстанавливается аналоговая форма сигнала.
Прежде чем перейти к деталям, необходимо остановиться на некоторых особенностях речевых сигналов.
§ 10.1. Особенности речевых сигналов
Непрерывные сигналы характеризуются своим спектром. Спектр сигнала — это эквивалентный ему набор синусои дальных составляющих (называемых также гармониками или
частотными составляющими). Спектр сигнала получается разложением функции, выражающей зависимость формы сиг
287
Iлава 10
нала от времени, в ряд Фурье. Спектр периодического сигна л а — линейчатый (дискретный), он состоит из гармоник с кратными частотами. Спектр непериодического сигнала — непрерывный. Типичный спектр речевого сигнала показан на рис. 41:
Частотные составляющие в диапазонах 3^4 кГц и менее 300 Гц быстро убывают. Таким образом, очень высокие час тотные компоненты имеют существенно меньший вклад в сигнал, чем частоты в диапазоне 50(Ь-3000 Гц.
Если ограничиться частотами, не превышающими 3 кГц, и использовать высокочувствительный анализатор, то спектр, производимый некоторыми звуками, имеет вид зубчатой кри вой приблизительно следующего вида (см. рис. 42)
288
Шифрование в телефонии
Мы видим несколько пиков графика, называемых форманта ми. Изменение этих частотных компонент во времени можно изобразить на трехмерном графике (при добавлении третьей координаты — времени).
Речевой сигнал является переносчиком смысловой ин формации. Эта информация при прослушивании речевого сигнала может быть записана в виде текста сообщения. Слу ховое восприятие речевого сигнала более богато и несет как основную текстовую информацию, так и дополнительную в виде ударений и интонаций. Элементарными единицами слу ховой информации являются элементарные звуки — фонемы, а смысловыми единицами — звучащие слоги, слова и фразы. Для каждого языка имеется свой набор фонем. Например, в русском и английском языках имеется около 40 фонем.
Множество фонем разбивается на три класса. Гласные образуют одно семейство, согласные и некоторые другие фо нетические звуки (для английского языка — это, например, звуки сИ, зК) образуют два класса, называемые взрывными звуками и фрикативными звуками. Гласные производятся движением голосовых связок под воздействием потоков воз духа. Проходя через гортань, они превращаются в серию виб раций. Затем воздушный поток проходит через некоторое число резонаторов, главными из которых являются нос, рот и горло, превращаясь в воспринимаемые человеческим ухом фонемы. Возникающие звуки зависят от формы и размеров этих резонаторов, но в значительной степени они характери зуются низкочастотными составляющими.
Гласные звуки производятся в течение длительного вре мени. Как правило, требуется около 100 мс для достижения его пиковой амплитуды. Взрывные звуки производятся путем “перекрытия” воздушного потока с последующим его выпус канием с взрывным эффектом. Блокирование воздушного по тока может осуществляться различными способами — язы ком, нёбом или губами. Например, звук “п” произносится при блокировании воздушного потока губами. Взрывные звуки
289
/лава 10
характеризуются их высокочастотными составляющими. До 90% их пиков амплитуды имеют длительность, не превы шающую 5 мсек. Фрикативные звуки производятся частич ным перекрытием воздушного потока, что дает звук, похожий на “белый шум”. Этот звук затем фильтруется резонаторами голосового тракта. Фрикативный звук обычно богат пиками амплитуды длительностью 20+50 мс и сконцентрирован по частоте от I до 3 кГц. Пример фрикатива — звук “ссс..
Другой важной характеристикой человеческой речи явля ется частота основного тона. Это — частота вибраций голо совых связок. Среднее значение этой частоты колеблется у разных людей, и у каждого говорящего имеется отклонение в пределах октавы выше или ниже этой центральной частоты. Обычно у мужчины частота основного тона колеблется около 1300 Гц, у женщины она выше.
Речевые сигналы не только передают информацию, но и дают сведения о голосовых характеристиках говорящего, что позволяет идентифицировать его по голосу. Можно использо вать высоту, форманты, временную диаграмму и другие ха рактеристики речевого сигнала, чтобы попытаться сформи ровать сигнал, схожий с оригиналом. Это воспроизведение может быть в некоторой степени неестественным и некоторые индивидуальные характеристики говорящего будут утеряны. Такие принципы репродукции лежат в основе вокодера, о ко тором будет сказано далее.
§ 10.2. Скремблирование
Рассмотрим сначала первый способ шифрования речевых сигналов в их аналоговой форме. При оценке стойкости шиф рования речевых сигналов в аналоговой форме необходимо, в первую очередь, учитывать возможности человеческого вос приятия при прослушивании результирующего сигнала и по пытке восстановить какую-либо информацию. Это воспри ятие очень субъективно: одни люди воспринимают на слух
290