Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии
.pdfШифрование в телефонии
16, причем обычно длительность каждого сегмента составляет от 20 до 60 мс.
Помимо выбора длин кадров и сегментов важным пара метром является перестановка. Очевидно, что одни переста новки лучше других, и необходимо определить, как их следу ет выбирать и как управлять их выбором. Как и для преобра зований инвертирования и частотных перестановок, имеется несколько вариантов использования базовой системы. Можно выбрать одну фиксированную перестановку для преобразова ния каждого кадра. Другой вариант связан с выбором (при помощи ключа) нескольких перестановок и периодическим их использованием. Лучшим способом является использование псевдослучайного генератора для выбора перестановки, при меняемой для преобразования каждого кадра в отдельности. Для такого варианта актуален вопрос о длине периода соот ветствующей последовательности перестановок, так как по вторное использование одной и той же перестановки нежела тельно. В свою очередь, с этим связан выбор числа сегментов в кадре. Например, если это число равно 8 и каждый сегмент имеет длительность в 40 мс, то через 3,6 час. непрерывной работы перестановки начнут повторяться.
Как мы уже отмечали, далеко не все перестановки явля ются “хорошими” с точки зрения надежности шифрования. Например, если прослушать сигнал после применения каждой из двух подстановок
12345678^) 12345678^1
(1)
13245768, .36258471,
то мы нашли бы в первом случае значительно более высокую остаточную разборчивость, чем во втором.
Замечание. В (1) рассматриваемые перестановки являют ся нижними строками подстановок, в которых верхние строки
301
Глава Ю
представляют собой исходные порядки сегментов, а ниж ние — порядки сегментов после перестановки.
Причина указанного различия перестановок ( I) состоит в том, что в первой из них символы I, 4, 5, 8 остаются непод вижными, а остальные смещаются лишь на соседние позиции, тогда как во второй происходит лучшее перемешивание.
Рассмотренный пример приводит к естественной количе ственной мере “качества” перестановки. Пусть для произ вольной подстановки а символ а (0 обозначает позицию, на
которую а перемещает / -й сегмент. Тогда смещение симво
ла I после перестановки равно |/ - а(/)|, а среднее смещение
после перестановки характеризуется величиной
Для первой подстановки из (1) среднее смещение $(а)
равно 0,5, для второй — 2,5. Величина 5(ог) называется
сдвиговым фактором подстановки а . Замечено, что переста новки, приводящие к выходному сигналу с низкой остаточной разборчивостью, имеют большой сдвиговый фактор, хотя об ратное может быть неверным. В качестве примера приведем подстановку а восьми элементов со сдвиговым фактором 4, которая плохо выдерживает “тесты на слух”:
^12345678^
,57683241
(2)
Помимо своего низкого сдвигового фактора первая под становка в (1) имеет и другие нежелательные свойства. Рас смотрим, например, соседние сегменты 4 и 5. В скремблированном кадре они расположены в том же порядке, что и в ис ходном. Если сегменты имеют длительность в 40 мс, то рас сматриваемая пара сегментов составляет около 80 мс. Как мы
302
Шифрование в телефонии
уже отмечали, большинство фонем могут быть узнаваемы в таком интервале времени. В той же подстановке, а также в подстановке (2), сегменты 6 и 8 являются соседними. Это также нежелательно. Дело в том, что вообще при прослуши вании в скремблированном сигнале пары соседних сегментов типа /, / + 2 человеческий мозг в состоянии, как правило, вос
становить пропущенный сегмент / + 1 , то есть восстановить соответствующую часть сообщения. Нечто подобное имеет место и в других случаях.
Таким образом, в рассмотренных ситуациях также идет речь о некоторой остаточной разборчивости. Это свидетель ствует о сложности формализации определения “хороших” с точки зрения защиты перестановок, а следовательно, и слож ности их подсчета. Поэтому имеются существенные различия
вподсчете числа “хороших” перестановок, это может зависеть от субъективных предпочтений разработчика.
Теперь нужно решить вопрос о способе выбора переста новок с помощью ключа. Имеются два естественных способа такого выбора. Первый состоит в выборе произвольной пере становки данной степени с последующим ее тестированием. В зависимости от того, подходит она или нет, перестановка ис пользуется для преобразования кадра. Другой способ состоит
впредварительном отборе всех “хороших” перестановок в ЯОМ (памяти лишь для чтения), имеющейся в самом обору довании, и их выбором для использования с помощью псевдо случайной последовательности. Рассмотрим оба способа.
Наиболее неблагоприятным для первого способа является фактор времени. В конце промежутка времени, равного дли тельности кадра, мы должны выбрать следующую подходя щую перестановку. При этом нежелательно повторение той же перестановки, что в принципе возможно даже для случай ной управляющей последовательности. Поэтому необходим контроль, устраняющий появление неподходящих перестано вок. Ожидание подходящей перестановки требует дополни тельных временных затрат, что нежелательно.
303
I лава Ю
Второй метод использует лишь те перестановки, которые записаны в КОМ. Если их запас не слишком велик, то это улучшает шансы противника. В случае когда кадр состоит из не слишком большого числа сегментов, скажем 8, и имеется возможность хранить все “хорошие” перестановки, второй метод предпочтителен. Чтобы понять еще одно преимущество второго метода, необходимо рассмотреть вопрос о возможно стях перехватчика, обладающего той же аппаратурой и пол ным набором “хороших” перестановок.
Предположим, что одной из перестановок, хранящихся в КОМ, является вторая перестановка из (1), и мы ее использо вали для перемешивания кадра. Перехватчик, желая опреде лить используемую перестановку, может перебирать переста новки, обратные к хранимому запасу перестановок. Если на ша память содержит также нижнюю строку подстановки
( 12345678"!
(3)
^36258417)
то перехватчик может опробовать и ее (вместо использован ной). Результатом последовательного применения исходной подстановки и обратной к подстановке (3) является подста новка
^12345678^
Ч 2345687) '
Она так близка к тождественной подстановке, что прак тически всегда дает возможность противнику восстановить исходный кадр. Помимо (3) есть и другие перестановки, “близкие” к истинной. В случае когда кадр состоит из 8 сег ментов, таких пар “близких” перестановок имеется достаточ но много и ситуация достаточно опасна (с точки зрения защи ты). Дело в том, что мы должны скорректировать определение “хорошей” перестановки и тем самым уменьшить их число в памяти. Надо избегать записывать в память пары перестано
304
Шифрование в телефонии
вок, соответствующих подстановкам а и /?, для которых
произведение а • /Г 1 или /? • а~х близко к тождественной под
становке. Если ЯОМ заполняется с учетом сделанной коррек ции и число хранимых перестановок достаточно велико, то второй метод их выбора для перемешивания кадров становит ся более предпочтительным.
§ 10.5. Стойкость систем временных перестановок
Рассмотрим сначала вопрос о возможности восстановле ния информации, содержащейся в скремблированном сигнале, путем непосредственного прослушивания. С точки зрения разработчика необходимо найти баланс между минимальной остаточной разборчивостью и минимальной временной за держкой.
Для уменьшения остаточной разборчивости имеется ряд способов. Один из них состоит в простом реверсировании по рядка следования сегментов. Наблюдения показывают, что при использовании такого способа уровень успешного про слушивания уменьшается почти на 10%. Другой метод также имеет отношение к частотной области. Здесь имеется в виду совместное использование частотного и временного переме шивания в одной двумерной системе. Хотя такой метод уменьшает уровень успешного прослушивания почти на 20%, он более дорог в реализации. Отметим при этом, что любые изменения сигнала уменьшают качество воспроизведения и что частотные искажения, в частности, сильно зависят от шу мов и нелинейности при передаче.
Используя подобные методы или их комбинацию, можно уменьшить остаточную разборчивость до такого уровня, что будет невозможно воспринимать на слух никакое сообщение. Теперь рассмотрим вопрос о стойкости системы против более изощренных атак.
305
I лава Ю
Одна из них состоит в попытках переупорядочить речевой сигнал кадр за кадром. Эта задача решается с использованием прибора, называемого сонографом. Этот прибор воспроизводит сонограмму каждого кадра. Сонограмма — это трехмерный график в системе координат время (по горизонтали), частота (по вертикали), амплитуда (по третьей координате), исполь зующий “серую шкалу”. В этой шкале черный цвет представ ляет максимальную амплитуду и белый цвет — минимальную. Изменения амплитуды представляются изменениями оттенков серого цвета. Светлее оттенок, соответствующий меньшей ам плитуде. Таким образом, хотя сонограмма имеет три измере ния, она обычно представляется в двумерном виде.
Дескремблирование некоторого числа кадров путем опро бования содержания КОМ может позволить определить часть псевдослучайной последовательности, достаточной для опре деления ключа. Для противодействия этому необходим соот ветствующий генератор псевдослучайной последовательности, стойкий к подобной угрозе.
Предположим, что наша система стойка к описанному под ходу. Это означает, что единственный путь, при котором криптоаналитик может получить сообщение, состоит в дескремблировании каждого кадра. Но тогда, очевидно, время, не обходимое для восстановления сообщения, прямо пропорцио нально числу кадров. Криптоаналитик может автоматизировать процесс перебора перестановок, содержащихся в КОМ, для проверки критерия того, что полученный сигнал является рече вым сигналом (это можно сделать, например, по сонограмме). Для защиты от этой возможности вновь встает вопрос об уве личении числа “хороших” перестановок, что требует увеличе ния длительности кадра и временной задержки при передаче.
Как мы убедились ранее, временная задержка при передаче преобразованного кадра может быть в два раза больше дли тельности самого кадра. Это является следствием того, что для некоторых перестановок сегмент мог быть задержан на полную длительность кадра. С целью уменьшения подобной задержки
306
Шифрование в телефонии
можно еще более ограничить множество используемых пере становок, добиваясь того, чтобы каждый сегмент задерживался “не слишком долго”. Это достигается при использовании пере становок с относительно небольшими смещениями для каждо го символа.
Подытожим рассмотрение скремблеров.
Скремблеры характеризуются аналоговым выходом, ле жащим в том же диапазоне, что и исходный сигнал. Кроме то го, они обычно имеют характерные спектральные характери стики и выходной сигнал, представляющий собой последова тельность фонем открытой речи (с измененным порядком сле дования). Их стойкость зависит как от типа скремблирования, так и от способа его реализации. В частности, использование зависящего от ключа псевдослучайного генератора для скремблирования может значительно увеличить уровень стой кости. Надежность любого выбранного метода скремблирова ния зависит в значительной степени от типа и качества канала связи. Скремблеры варьируются от простейших инверторов до сложных частотно-временных систем относительно высокой стойкости. Обычно они применяются как системы шифрования временной стойкости.
§ 10.6. Системы цифровой телефонии
Для преобразования речевого сигнала в цифровую форму берутся отсчеты, то есть значения сигнала через равные про межутки времени г . Интервал т должен быть настолько мал, чтобы сигнал не успевал намного измениться между отсчетами. Этот интервал часто называют временным шагом или интерва лом Найквиста. Минимальную частоту взятия отсчетов, то есть величину, обратную временному шагу дискретизации, оп ределяет теорема В.А.Котельникова, согласно которой частота отсчетов должна быть вдвое больше максимальной частоты звукового спектра. В телефонии такая частота ограничивается 3,4 кГц. Поэтому частота отсчетов должна быть не менее 6800
307
I лава 10
в секунду, или 6,8 кГц. Процесс взятия отсчетов называют дис кретизацией по времени.
Для цифровой оценки отсчетов используется процесс дис кретизации по уровню. Каждый отсчет можно представить числом, соответствующим значению отсчета звукового напря жения. Например, если звуковое напряжение измерять в мил ливольтах, то число целых милливольт и будет отсчетом, а 1 мВ — шагом дискретизации по уровню. Отношение макси мальной амплитуды звукового напряжения к шагу квантования дает максимальное число, которое нужно получить при отсче тах. Оно определяет динамический диапазон передаваемого сигнала. Для передачи речи с удовлетворительным качеством достаточен динамический диапазон 30-С?5 дб, что соответству ет числу шагов квантования 30 при отсчетах. Для передачи одного отсчета двоичным кодом в этом случае доста точно 1о§2 30«5 разрядов. Для качественной передачи музыки число квантований должно быть не менее 10000, что соответствует динамическому диапазону 80 дб. В этом случае для передачи одного отсчета потребуется 1о§210000 «14 раз рядов.
Переход на цифровую передачу существенно улучшает ка чество связи. Но не даром. Оценим поток информации при те лефонном разговоре.
Полагая полосу звуковых частот равной, как и выше, 3,4 кГц и частоту взятия отсчетов 6,8 кГц, получаем 6800 от счетов в секунду. При 30 шагах квантования по уровню каж дый отсчет занимает 5 разрядов. Следовательно, в секунду пе редается 34000 двоичных разрядов, или бит информации. Ско рость передачи информации, измеренную в бит/с, можно выра зить формулой С = 2Р 1о § 2N , где Р — максимальная частота звукового спектра, N — число уровней квантования. Чтобы передать цифровой сигнал со скоростью 34 Кбит/с, нужна по лоса частот, пропускаемых каналом связи, не менее 34 кГц.
308
Шифрование в телефонии
Таким образом, при переходе к цифровому сигналу про изошел как бы обмен полосы частот на отношение сигнал/шум, но обмен достаточно выгодный. Расширяя полосу частот в 10 раз при переходе к цифровой передаче, мы намного снижаем допустимое отношение сигнал/шум или сигнал!помеха в канале связи, и это при общем существенном улучшении качества пе редачи.
В заключение сделаем одно замечание. Для аналогово цифровых преобразователей входной сигнал отсчитывается через регулярные интервалы времени и затем передается циф ровая “аппроксимация”. Имеется и другой способ передачи информации. Если, например, входным сигналом является си нусоида с частотой / , то вместо того, чтобы посылать цифро вую аппроксимацию, мы могли бы просто сообщить получате лю о параметрах синусоиды и предложить ему самому постро ить такой сигнал. Этот принцип заложен в основе аппаратов, называемых соответственно вокодерами и липредорами. С по мощью таких аппаратов синтезируются цифровые речевые сис темы с низкоскоростным выходом (1,2 -г 4,8 Кбит/с).
Контрольные вопросы
1.Какие два разных способа шифрования аналоговых сигна лов Вы знаете?
2.Какие преобразования используются при скремблировании аналоговых сигналов?
3.В чем (с точки зрения надежности защиты) состоят слабо сти преобразований сигналов в частотной области, во вре менной области?
4.Какая фундаментальная теорема лежит в основе цифровой обработки сигналов?
5.Какой метод шифрования аналоговых сигналов обеспечи вает гарантированную стойкость?
309
Г лава 11
Системы шифрования с открытыми ключами
Системы шифрования с открытыми ключами называют также асимметричными системами. Они следующим обра зом используются для организации конфиденциальной связи в сети пользователей.
Каждый из корреспондентов системы обладает ключом
к = (к3, кр) , состоящим из открытого ключа къ и секретно
го ключа кр. Открытый ключ определяет правило зашифро вания Ек, а секретный ключ — правило расшифрования Ок
(см. гл. 2). Эти правила связаны соотношением (Еь (М)) = С для любого открытого текста М и любого
шифрованного текста С. Знание открытого ключа не позволя ет за приемлемое время (или с приемлемой сложностью) оп ределить секретный ключ.
Для удобства записи обозначим правила зашифрования и расшифрования (на выбранном ключе к ) произвольного кор респондента А символами Е А и О а соответственно.
Корреспондент В, желая послать конфиденциальное со общение М корреспонденту А, получает копию Е д , вычисля
ет шифртекст С ~ Е Л{ М ), который направляет по каналу связи корреспонденту А. Получив сообщение С, корреспон дент А применяет к нему преобразование Оа , получая откры тый текст М.
Открытый ключ не требуется сохранять в тайне. Необхо димо лишь обеспечить его аутентичность, что, как правило,
310