Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Самарский национальный исследовательский университет им. ак. С.П. Королёва (бывш. СГАУ, СамГУ)

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Бабаш А.В., Шанкин Г.П. Криптография (распознано не всё)

.pdf

Скачиваний:

735

Добавлен:

28.03.2016

Размер:

11.75 Mб

Скачать

☆

<<< < Предыдущая 27 28 29 30 31 32 33 34 35 36 37 3839 / 5239 40 41 42 43 44 45 46 47 48 49 50 51 > Следующая >>>

381

Возможные действия противника сформулируем в виде предположений оего возможностях: -

-он знает действующий шифр;

-он имеет доступ к каналу связи ;

-он может считывать из канала любое сообщение;

-он может формировать и вставлять в канал связи любое сообщение;

-он может заменять передаваемое сообщение на любое другое сообщение;

-все указанные действия он может совершать «мгновенно» (располагая соот ветствующими техническими средствами);

-он не знает действующего ключа шифра.

Ниже используется обобщенная модель шифра, введенная ранее в главе 1. Именно, пусть (У,К,Х',Х,Ф) - шифр расшифрования, X - множество содер жательных открытых текстов, Хс=Х\ Уравнение расшифрования уеУ при ключе х^К будет записываться в виде х’*У=х>хеХ'.

Имитация при пустом канале. Пусть канал связи «пуст» и противник

вставляет в канал связи некоторое шифрованное сообщение - элемент уеУ. При действующем ключе х абонент В расшифрует у.

Априори возможны два исхода:

1)он получит х 'уёХ, то есть абонент В не прочтет сообщение и сочтет его за ложное сообщение (напомним, что в качестве X выступает множество всех содержательных текстов);

2)х*'уе Х. В этом случае В получит открытое ложное сообщение х=х 'у

идействуя в соответсвии с этим сообщением может нанести себе ущерб. Заметим, что при таком «навязывании» ложной информации противник

незнает какое именно сообщение хеХ (во втором случае) он «навязал» або ненту В. Такое навязывание ложной информации можно назвать навязыванием «наугад». При случайно выбираемом ключе х событие: х_1уеХ имеет свою вероятность

Р н ( у ) = Р ( х 'у е Х ) ,

называемую вероятностью навязывания криптограммы у. Считается естествен ным, что противник выберет навязываемый уеУ так, чтобы максимизировать вероятность Р„(у). Защищающаяся сторона, в свою очередь, зная о возможных действиях противника, будет выбирать такой шифр, в котором максимальное

значение вероятностей навязывания Рн= т а х Р (х 'у еХ ) минимально.

уеУ

Величина 1/Р„ можно назвать коэффициентом имитозащиты в пустом канале. При навязывании противником «наилучших» криптограмм у': Р„(у')= Р„ величина 1/Рн характеризует среднее число попыток противника до навязы

382,

вания ложной информации (предполагается случайный выбор ключей при ка ждой попытке).

Противник может ужесточить свои действия: пусть х(0)€Х - сообщение, которое наносит максимальный ущерб абоненту В; противник может попы таться навязывать такое сообщение уеУ, при котором вероятность РОс'у^СО)) максимальна. Такой способ навязывания можно назвать целевым (прицель ным).

Имитация при передаваемом сообщении. Аналогичные ситуации возни

кают и при навязывании путем подмены передаваемого сообщения уеУ на

у'еУ ,у*у\ Имитация при знании открытого текста. Противник может обладать и

дополнительной информацией (не отраженной выше в перечне его возможнос тей). Например, может знать открытый текст хеХ, который скрывается за кри птограммой у в канале связи. В этой ситуации аналогично вводится величина шах Р ( х ~ 1у ' е XI Х> х = У) ’ хаРактеРизУЮ1цая стремление противника макси-

У* € У, у' Ф у

мизировать условную вероятность навязывания, а защищающаяся сторона стремится минимизировать этот максимум.

Общая задача защищающийся стороны состоит в выборе такого шифра, который минимизирует ущерб от имитационных действий противника во всех реально возможных ситуациях.

Замечание. К имитации в широком смысле относятся и некоторые дру

гие действия противника . Во-первых, противник может переадресовать сооб щение у, идущее от А к В, другому абоненту С. Такая переадресация (со сры вом сообщения абоненту В или без срыва) может привести к негативным по следствиям для защищающейся стороны. Следовательно, абонент С, получив шифрованное сообщение уеУ, должен быть уверен в том, что это сообщение предназначено именно ему. Во-вторых, противник может изменить «подпись» абонента А, передающего «у» абоненту В (заменив каким-либо способом в от крытом тексте адрес отправителя сообщения А на адрес другого абонента А'). Поэтому абонент В, приняв сообщение, должен быть уверен, что это сообще ние передано ему именно абонентом А. В-третьих, противник, перехватив уеУ, может задержать это сообщение и вставить его в канал связи в другое время. Следовательно, абонент В, получая у, должен быть уверен в том, что сообще ние он получил вовремя.

Рассмотрим один из вопросов, связанных с возможностью подмены со общения, зашифрованного шифром поточной замены, при условии, что проти вник может заменять любую букву шифрованного сообщения по своему усмо трению. Пусть буквы открытого сообщения шифруются с помощью последова тельности подстановок, взятых из некоторого множества О. Пусть некоторая

383

буква «а» открытого текста переходит в букву «Ъ» шифрованного текста при действии подстановки §еО: §(а)=Ъ. Для того чтобы заменить букву «а» откры того сообщения на букву а'^а, противник должен заменить букву «Ъ» шифрте кстатакой буквой Ъ\ чтобы §(а')=Ъ'. Поскольку подстановка § противнику не известна (а все множество О известно), то неоднозначность выбора Ъ' можно охарактеризовать величиной 0с(а,Ъ,а’)=|{§(а'): §еО, §(а)=Ъ}|, а в качестве меры имитостойкости шифра использовать величину

5йо	5	-3---------	У е 0 (а,Ь ,а').
	\|1 \|2	(II1-1) .Л .'

Перейдем к математической постановке и решению задач крипто

графии, связанных с имитационными действиями противника в канале связи в узком смысле, то есть навязывания ложных сообщений.

Навязывание в пустом канале. При фиксированном уеУ и при слу

чайном и равновероятном выборе ключа у в шифре (Х,К,У,{) для зашифрова ния открытых сообщений

Рн(у)=Р(у’'у еХ)=|К(у,Х)|/|К|, где К(у,Х) ={%еК: у‘'уеХ}. Несложно доказывается следующая основная фор мула

Д К ( у , Х ) Н Х | | К | .

уеУ

I X II К I

Отсюда следует, что шах | К (у,Х ) |> ----------- , причем равенства достигается в

уеУ | У |

том и только в том случае, если для любого уеУ

|к№ ™ .

Наилучшая стратегия противника состоит в выборе для навязывания у'еУ, при котором вероятность навязывания Рн(у')=Р(х"1у'€ Х)=|К(у\Х)|/|К| максимальна. Наилучшая стратегия защиты состоит в минимизации по возмо жным шифрам максимальной вероятности . Шифр, при котором эта цель до стигается, можно назвать наилучшим по имитозащите в «пустом» канале. Из приведенных формул следует

УТВЕРЖДЕНИЕ. Шифр является наилучшим по имитозащите в пустом канале в том и только в том случае, если для любого уеУ

,№ ш .

	СЛЕДСТВИЕ. 1) Для наилучшего по имитозащите в пустом канале
шифра	г

384

Р.(У)= 1X1 , У|

при любом уеУ.

2) Для выполнения условия Рн(у)<е, о<е<1 достаточно, чтобы шифр был наи лучшим по имитозащите в пустом канале и удовлетворял условию

|Х|<8|У|.

3) Для наилучшего по имитозащите в пустом канале шифра из условия Р„(у)<е, о<е<1 вытекает |К|>1/е.

Утверждение пункта 3 следует из определения шифра (сюрьективность функции !), из которого следует неравенство |Х||К|^|У|.

Неравенство Рн(у)<Е, о<е<1 говорит об уровне имитозащиты в пустом канале при наилучшем шифре.

Для наилучшего шифра по имитозащите в пустом канале коэффициент

\| У	I
эмитозащиты 1/Р„ равен	. Он совпадает со среднем числом попыток про-

|Х | тивника «наугад» (случайно и равновероятно) навязывания уеУ до получения

«успеха» - навязывания ложной информации (предполагается, что при каждой попытке ключ наилучшего по имитозащите в пустом канале шифра выбирается случайно и равновероятно).

ЗАМЕЧАНИЕ. Пусть задано некоторое вероятностное распределение на множестве ключей К шифра (Х,К,У,Г). Обозначим через ДУД) - взаимную ин формацию между У и К, то есть 1(У,К)=Н(У)-Н(У/К). Имеет место достижимая оценка

1оё (шах Рн(у))>-1(У,К).

уеУ

Имитация при передаваемом сообщении (имитация путем подме ны). Пусть по каналу связи передается уеУ. Противник заменяет его на у',

У*У-

Положим К(у,у')=К(у,Х) п К(у',Х)={%еК: х"*У> X У еХ }. Заметим, что 2 К(У .У ')= |К (у ,Х )|(|Х |-1 ).

у'еУ,у'*у
*
Отсюда следует, что
т и [ \|к ( У, у - ) ^ Ш ь 2 Ш М Ь й ,
у' 1 ку, у Л	\| У \| -1

причем равенство достигается в том и только в том случае, если для любого

У'еУ, у'*у

">4 г*^

385

| К ( У У ) , - М ™ .

При фиксированном уеУ и при случайном и равновероятном выборе ключей в шифре (Х,К,У,{) для зашифрования открытых сообщений под вероятностью Р„(у\у) навязывания ложного открытого текста путем замены у на у' понимают вероятность

Р (х У еХ/хх=у, х € Х)=|К(у,у')|/|К(у,Х)|.

Наилучшая стратегия противника состоит в выборе для навязывания у'еУ, при котором вероятность навязывания Рн(у,у')= |К(у,у'|/|К| максимальна. Наилучшая стратегия защиты С09ТОИТ в минимизации по возможным шифрам

максимальной вероятности при каждом уеУ. Шифр, при котором эта цель до стигается можно называть наилучшим по имитозащите путем подмены. Из приведенных формул следует

УТВЕРЖДЕНИЕ. Шифр является наилучшим по имитозащите путем подмены в том и только в том случае, если для любых у,у'еУ

1X1—1 В этом случае Рн( у \ у ) = -.

СЛЕДСТВИЕ. Шифр одновременно обеспечивает наилучшую имитозащиту в пустом канале и наилучшую имитозащиту путем подмены в том и только в том случае, если для любых у,у' еУ

|К(У,Х)|='Х " К '

\|к(у,у, н	к 1 м	м
	IУ I (IУ I	е1) .
Для шифра Ш(2), обеспечивающего наилучшую имитозащиту путем
подмены, имеем
\|К(у,у)\|>1,
откуда I К I ^ ^ ——> 1, \|К \|> Ш ^ 1 ——. Для шифра Ш(1), обеспечи-
\| У \| О У I-1)	\| X \| (\| X \| -1)

вающего наилучшую имитозащиту в пустом канале (как и для любого шифра)

I УI

имеем |К|^----- . Если ключи в шифре задаются множеством Г и |К |»1 (|К| I X |

13 Зак. 5

386

много больше 1), то длина ключа шифра Ш(2) почти, вдвое больше длины клю ча шифра Ш(2).

Имитация при наличии открытого и шифрованного текстов. Пред

положим, что противник знает открытый текст хеХ, соответствующий пере хваченной криптограмме уеУ. Он навязывает в канал у', заменяя у. Положим, К(У,*МхеК:хх=у}, К(у,у',х)={хеК(у,х):х'у'еХ}. Вероятностью Р„(у',у,х) навязывания путем замены при наличии открытого текста можно назвать вели чину

|К (у ,х )|

Заметим, что

^|К (у,у',х)=(|Х |-1)||К (у,х)|. у',у'*у

Таким образом, максимальная (по у') вероятность навязывания минимальна в том и только в том случае, если для шифра выполняется условие

|К(у,у\х)|=(|Х|-1)|К(у,х)|/(|У|—1).

Аналогично предыдущим случаям вводится понятие наилучшего шиф ра по эмитозащите путем навязывания с известным открытым текстом. Из приведенных формул вытекает

УТВЕРЖДЕНИЕ. Шифр обеспечивает наилучшую имитозащиту путем навязывания с известным открытым текстом в том и только в том случае, если для любых хеХ, у,у' еУ, уУу выполняется равенство

|К(у,у\х)|=(|Х|-1)|К(у,х)|/(|У|-1).

В этом случае для любого у' еУ, у'Фу вероятность навязывания Р„(у,у'х) есть Рн(у,у'х)=(|Х|-1)/(|У|-1).

Покажем, что для шифра, обеспечивающего наилучшую имитозащиту путем навязывания с известным открытым текстом выполняется неравенство

|К|>|У|(|У|-1)/(|Х|-1). Действительно, из неравенства К(у,у', х)>1 следует

|К(у,х)| >(|У|-1)/(|Х|-1),

Поскольку

XI К(у,х) |=|1С|,

то |К|>|У|(|У|-1)/(|Х|-1), То есть длина ключа возрастает по сравнению с клю чами шифра Ш(2).

УТВЕРЖДЕНИЕ. Шифр Ш(3), обеспечивающий наилучшую имитоза щиту путем навязывания с известным открытым текстом, является шифром, обеспечивающим наилучшую имитозащиту путем замены.

387

Действительно, имеем

]Г|К (у,у',х)|=|К (у,у')|,

хеХ

Для шифра Ш(3) по условию имеем |К(у,у',х)|=(|Х|-1)|К(у,х)|/(|У|-1) (см. пред ыдущее утверждение). Следовательно,

2 1	к(у»у »х)1 = \| ^ \| _ \| 2 1	К (у , х) I= \|	1К(у, X) =\|К(уУ)\|.
хеХ	I У I 1 хеХ	I у I	1

Из последнего равенства и приведенного выше критерия о шифре с наилучшей имитозащитой по замене и следует данное утверждение.

Целевая имитация в пустом канале. Пусть противник стремится на вязать конкретный открытый текст хеХ. Он вставляет в пустой канал сообще ние у€У.

Используем введенные ранее обозначения: К(у,х)= {у е К:ух=у}. Веро ятность целевого навязывания х€Х в пустом канале можно определить вели чиной

Рнц(х/у)= |К(у,х)|/|К|.

Напомним, что

2 |К ( у , х ) Н к |.

Тогда минимальное значение вероятности целевого навязываний достигается в том и только в том случае, когда для любых хеХ и уеУ

|К(у,х)|=|К|/|У|.

В этом случае она равна 1/|У|.

УТВЕРЖДЕНИЕ. Шифр обеспечивает наилучшую имитозащиту от це левого навязывания в пустом канале в том и только в том случае, если для лю бых хеХ и уеУ выполняются условия

|К(у,х)МК|/|У|.

В этом случае для любых хеХ и уеУ

Рнц(х/у)=1/|У|,

а |К|>|У|.

Из условия |К(у,х)| >1 вытекает СЛЕДСТВИЕ. Наилучший по указанной имитозащите шифр по необхо

димости является транзитивным (см. параграф 1.3).

Из равенства	К (у ,х ) \|=\|К\| и предыдущего УТВЕРЖДЕНИЯ полу-
чаем	у
чаем

13*

388

СЛЕДСТВИЕ. Если шифр является наилучшим по имитозащите при це левом навязывании в пустом канале, то он является наилучшим и при общем навязывании в пустом канале.

Параграф 7.2 Примеры имитации и способы имитозащиты

Обозначим через А множество информационных сообщений, передава емых по каналу связи от передающего устройства к приемному устройству. Предполагается, что противник «контролирует» канал связи и может заменить передаваемое сообщение ае А (истинное сообщение) на сообщение а' е А (лож ное сообщение). Под обеспечением имитостойкости приемного устройства

понимается его защита от навязывания информации, поступающей в результате воздействия противника на передаваемую по каналу связи информацию, а так же и на «пустой канал». Ложная информация считается навязанной, если она принята приемным устройством к исполнению (то есть принята также как при нимается истинное сообщение). Воздействие помех в канале связи на передава емую информацию также трактуется как попытка навязывания ложной инфор мации.

Для узнавания факта навязывания информации и предусмотрена имитозащита. Существуют много способов имитозащиты, позволяющих устано вить приемному устройству вмешательство противника (или помех) в процесс передачи по каналу связи истинного сообщения аеА. Как правило, такие спо собы имитозащиты основаны на использовании шифров и не обеспечивают стопроцентную гарантию защиты от навязывания ложной информации, (см. предыдущий параграф).

Рассмотрим некоторые варианты навязывания информации и способы имитозащиты от них.

1. Пусть А=У и передаются шифрованные сообщения уеУ. Противник пере хватывает передаваемое сообщение «у» и через определенный промежуток времени посылает его в канал связи. Если за этот промежуток времени не ме нялся ключ на приемном и передающем устройстве, то приемное устройство повторно воспримет ранее переданную информацию. Для защиты от таких действий противника используют метки времени (проставляя время отправле ния в открытом сообщении хеХ). В случае, когда отмеченное время отличается от времени принятия сообщения у на величину, превышающую некоторый до пустимый предел, приемное устройство делает вывод о принятии ложного соо бщения. В некоторых случаях используют секретный алгоритм изменения

389

ключа шифра через короткие промежутки времени. Если задержка в приеме превышает величину этого промежутка, то приемник не расшифрует навязыва емое сообщение.

2. Пусть множество возможных сообщений А является множеством Р2 дво

ичных наборов длины к. Противник посылает сообщение а' в канал связи и приемное устройство принимает его. Для обеспечения защиты от навязывания

сообщения а' применяют кодирование векторов Р2 двоичными векторами

длины п>к. В этом случае множеством передаваемых сообщений становится некоторое неизвестное противнику подмножество М мощности 2Квекторов из

Ру. При случайном и равновероятном выборе противником вектора а' из Р }

иего передачи по каналу связи вероятность принятия ложного сообщения а'

2К

совпадает с вероятностью Р события: а' еМ, очевидно, Р=—— = 2К".

3. Противник знает передаваемое сообщение «а» и может заменить его на а' еА.

Для обеспечения имитостойкости в этом случае используют имитовставки. Предполагается, что приемное и передающее устройства снабжены ши фром зашифрования, позволяющим им на ключах шифра вырабатывать одина ковые гаммы . Через Г обозначим множество всех возможных гамм шифра. На АхГ определяется функция Р: АхГ—>2, где 2 - некоторое множество называе мое множеством проверочных символов (кодов имитозащиты). Для передачи сообщения аеА (на передающем устройстве) вырабатывают гамму Т€Г и по каналу связи передают пару (а,г), где г=Р(а,Т). На приемном устройстве с по мощью шифра вырабатывается та же самая гамма Т и проверяется для приня той из канала пары (а',г') совпадение значения Р(а',Т) со значением 2 . При

совпадении значений делается вывод о приеме истинного сообщения. В проти вном случае, делается вывод о приеме ложного сообщения. Предполагается, что на приемное устройство противник может послать произвольную пару (а',г') из Ах2, для которой а*а\ В предположении, что выбор гамм Те Г про водится случайно и равновероятно, из Г вероятность Р((а',г'),(а,2)) навязывания приемному устройству сообщения а' совпадает с вероятностью Р(2'=Р(а',Т), 2=Р(а, Т)) события:

2'=Р(а',Т),2=Р(а,Т).

Численное значение имитостойкости в рассматриваемом случае можно охарак теризовать величиной:

Р(имит)= шах Р((а',ъ ),(а,2))=шах Р(г'=Р(а' ,х), 2=Р(а,х)),

где максимум берется по всем наборам (а' ,ъ , а,г), а^а'.

390

Величину Р(имит) можно преобразовать к виду

Р(имит)=шах Р(2'=Р(а',Т), 2=Р(а, Т))=тах т а х Р(г'=Р(а',Т), 2=Р(а, Т)),

а,а г,г

откуда вытекает, что минимально возможное значение величины Р(имит) равно |Г|/|2|2|Г|=1/|2|2, причем оно достигается для тех и только тех функций, для ко торых при любых а, а', а*а' число решений Ч(Р, а^а',2,2') (относительно Т) си

стемы уравнений

Р(а',Т)=2' Р(а, Т)=2

не зависит от выбора значений (2',2) правой части уравнений, то есть Ч(Р,а*а' ,2,2')=|Г|/|2|2. Действительно,

Р(2'=Р(а',Т),2=Р(а,Т))=Ч(Р,а^а',2,2')/|Г|.

Далее,

^Ч(Р,а^а',2,2')=|Г|,

г ,г '

откуда вытекает, что величина тахР (2'=Р(а',Т),2=Р(а,Т)) минимальна при

2,2

Ч(Р,а^а',2,2')=|Г|/|2 |2. Этот вывод справедлив для любых пар (а,а').

4. Предположим, что канал связи используется для передачи шифрованных со общений с использованием шифра гаммирования. Противник знает передавае мое открытое сообщение хеХ, знает шифртекст уеУ и, узнав по этим данным гамму наложения, может заменить открытое сообщение х на другое х' еХ пу тем наложения гаммы на сообщение х'.

Для борьбы с таким навязыванием информации используют узлы имитозащиты, функционирование которых описывается конечными автоматами А= (1x0,8,1,8Д) с входным алфавитом 1x0 , где1 - алфавит открытого текста, О -

алфавит гаммы. Выходные последовательности таких автоматов при заданных входной последовательности и начальном состоянии ее 8 являются крипто

граммами. Основное свойство автоматов состоит в возможности «снять имитозащиту», то есть в возможности легко определить открытый текст по извест

ным шифртексту, начальному состоянию, и гамме.		>
	Приведем несколько примеров узлов имитозащиты. Положим 1=0= Рг -
поле из двух элементов, 8=Р \ , Р: Р " —» Рг - двоичная функция. При
8 = (х 1 ,х 2 ,...,х п ), 1 б1 , § € 0
1)	8(1,8, 8М х 2,...,х п ,1+ Г (8 )+ 8 ),
	Ц 1,8, з)= 1+Дз).
2)	8 ( 1,8 , 3)= ( х 2 ,...,х п ,1+ Г(8) + 8 ),

А.( 1 ,8 , 5)= 1 +Р(з)+8 -

<<< < Предыдущая 27 28 29 30 31 32 33 34 35 36 37 3839 / 5239 40 41 42 43 44 45 46 47 48 49 50 51 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
16.03.2015122.37 Кб30асу.doc
#
16.03.201553.8 Кб28аудит качества_заочники.docx
#
16.03.201532.68 Кб45аэродинамика.docx
#
06.12.201819.78 Mб27аэродинамические теплогенераторы.doc
#
01.03.202552.17 Mб5Б.М.Силаев ДМиОК.doc
#
28.03.201611.75 Mб735Бабаш А.В., Шанкин Г.П. Криптография (распознано не всё).pdf
#
07.06.2015964.91 Кб45Базы_данных.pdf
#
07.06.2015850.75 Кб23Балакин Василий. Генрих IV - royallib.ru.doc
#
28.03.20165.58 Mб256Балыхина Т.М. Бизнесмены всего мира говорят по русски.pdf
#
01.05.2025279.55 Кб14Банки и банковское дело -Сборник тестов.doc
#
04.09.2019904.7 Кб25Банковское дело.doc