Бабаш А.В., Шанкин Г.П. Криптография (распознано не всё)
.pdf431
Любое подмножество А' множества абонентов А с введенными прави лами функционирования сети называют подсетью СС. Говорят, что подсеть А' обладает конференц-связью (селекторной связью) если все абоненты подсети могут одновременно войти в связь. Очевидно, необходимым условием этого является наличие у всех абонентов аеА' общего ключа шифра.
Далее мы ограничимся рассмотрением так называемой двухсторонней сети связи, то есть сети, в которой каждая пара абонентов может войти в связь.
Обозначим через К(а) - множество ключей шифра абонента ае А. Мно жество К(С)={К(а), аеА} - назовем структурой сети С. Различают следую щие два способа ее формирования.
1.Прямое распределение ключей. В этом случае множества К(а), аеА созда
ются в центре организации сети засекреченной связи и рассылаются по закры тыми каналам абонентам сети, например, в виде ключевых блокнотов для связи
сабонентами.
2.Функциональное распределение ключей. В центре организации СС опре
деляют для каждого абонента аеА некоторую базисную информацию Ща)е11 (и={1Да),аеА} и передают ее абоненту «а» по закрытым каналам. Выбирают функцию Ф: АхИ-»К, удовлетворяющую условию: для любых а,Ъ из А, а*Ъ
Ф(Ъ,Ща))=Ф(а,ЩЪ)).
Для связи абонента «а» с абонентом «Ъ» формируют ключ х(а—»Ь)=Ф(Ъ,11(а)), абонент же Ь- ключ х(Ь—>а)=Ф(а,И(Ь))= Ф(Ь,11(а))=х(а->Ь). Положим Ф(а,11(Ъ))=Фа(Л(Ъ)).
Для описания общей схемы функционального распределения ключей введем дополнительные обозначения и понятия. Обозначим через \У некоторое конечное множество, которое назовем исходным множеством сети и введем функцию Г Ах\А^—>11, где 11конечное множество, которое назовем базисной информацией сети. Положим Да,\у)=:Га(\у).
В центре организации СС в соответствии с абонентами сети а€А фор мируется базисная информация абонентов П(а), а€А. Именно, для некоторого \уе\М и всех аеА вычисляют 1Да)=Г(а,\у). Таким образом, получение абонента ми ключей базируется на двух функциях Г, Ф, которым соответствуют два се мейства функций Га: \У—>11, аеА и Фа: II—»К, аеА. При анализе такой СС естес твенным представляется предположение: на исходном множестве сети XV за дано равномерное распределение вероятностей. Это распределение индуцирует с помощью функций Га, аеА вероятностные распределения на множестве бази сных множеств абонентов {Гь(\у)=11(Ь):ЬеА}, шеШ. Последние распределения, в свою очередь, индуцируют вероятностное распределение на множестве клю чей абонентов (х(а-»Ъ), а,ЪеА}. С точки зрения синтеза СС естественным тре
|
433 |
Обозначим а - число решений уравнения Га(\у)=и(Ъ); в нашем случае |
|
I т |
|с/| |
а= -^| при любом ЬеА. Аналогично, |
~ числ0 решений уравнения |
Фа(11(х))=х при любом уеК. Поскольку |П|=|1|Г, |К|=|1|Ь, то г=Ы-1о§шР.
В сети с функциональным распределением ключей при равновероят
ных функциях Фа, аеА имеем |Фа‘‘(х)|=|11|/|К| = |1|г'ь. Откуда г=Ы-1о§|ц|Фа''(х)|, (Фа'1(х) ~ прообраз у). Для расхода ключевой информации Кф(С) получаем
Кф(С)=г|А|.
При р=1, |К(а)|=1, аеА.имеем
Кф(С)=Ип(С)=Ь|А|,
причем в этом случае множество ключей шифра, вырабатываемых самим або нентом аеА, есть Ка={%(а—»Ъ), ЪёА, Ь^а}, то есть | Ка|=|А|-1.
Следовательно, переход к косвенному распределению ключей в данном случае видимых преимуществ по расходу ключевой информации не дает. Более того, косвенное распределение ключей выглядит более громоздким, сложным.
Однако его преимущества проявляются при учете нового фактора - компроме тации абонентов сети связи. Предварительно отметим, что при |К(а)|=1 все або ненты сети связи с прямым распределением ключей должны иметь один и тот же ключ; при функциональном распределении ключевая информация абонен тов разная. Один уже этот факт защищает абонентов а,ЬеА от случайного по дслушивания со стороны других абонентов сети. При преднамеренном подс лушивании ситуация меняется.
Компрометация абонентов сети связи.
Предполагается, что априорными сведениями противника о СС являет ся знание им используемого в сети шифра, множеств: А и номеров абонентов И(а), аеА; исходного базисного множества сети XV; функций Г, Ф. Он имеет возможность перехвата сообщений абонентов’. С учетом указанных выше свойств функций С, Ф, априорные распределения вероятностей на XV, И и К для противника равновероятны.
Под компрометацией абонентов сети засекреченной связи понимается ситуация, при которой вся информация этих абонентов становится извест ной противнику. При компрометации абонента «с» противнику становится из вестен базисный элемент Щс) и, следовательно, и все ключи, связывающие «с» со всеми другими абонентами. Это дает возможность противнику перераспре делить вероятности ключей на не скомпрометированных линиях связи. Задача состоит в построении функций Г, Ф таким образом, чтобы априорные и апосте
434
риорные распределения вероятностей на ключах не скомпрометированных ли ний связи совпадали.
Методологически это требование совпадает с концептуальным требова нием К. Шеннона, выдвинутым им при определении совершенных (идеальных) шифров.
Пусть априорное вероятностное распределение на II равномерное: Р(11(Ь)=ги)=1/|Х1|, ие11. Найдем апостериорное распределение на II при условии, что 11(с)=и' (Р(11(а)=и/11(с)=и'), то есть при компрометации абонента «с». Имеем
Р(11(а)=и/11(с)=и')=Р(Г(а,ш)=и/ Г(с,\у)=и'). Обозначим через 4(1',а,с,и,и') число решений системы уравнений
Да,\у)=и
Г(с,ш)=и, а через 4(1!,с,и ) - число решений последнего уравнения. Тогда в силу равноме
рного вероятностного распределения на \У получаем ,, Р(11(а)=иД1(с)=и')=4(1',а,с,и,и')/4(Г,с,и').
Назовем функцию Г2-равновероятной, если число решений указанной выше системы двух уравнений при любом выборе а, с (а*с) не зависит от зна чений правой части системы (т.е. 4(Г,а,с,и,и')=|\У|/|11|2).
Утверждение (критерий устойчивости базисной информации). Ра
венство априорных и апостериорных вероятностей Р(11(а)=и/11(с)=и')=Р(11(а)=и)=1/|11|
при Любых 3, с (а*с), и, и' и равновероятных функциях Га, аеА выполняется в том и только в том случае, если функция I- 2-равновероятна.
ДОКАЗАТЕЛЬСТВО. Пусть Г 2-равновероятна. Тогда Р(Л(а)=и/и(с)=и>Р(11(а)=и,11(с)=и )/ Р(11(с)=и> (4(Г,а,с,и,и')/|Ш|) Р(П(с)=и>(1/|П|2)Р(11(с)==и').
Заметим, что Р(11(а)=и)= ^ Р(((7(а) = и,II(с) = и\ )=|11|/|11|2=1/|11|.
и\
Следовательно, Р(Ща)=ит(с)=и Н1/|11|2)Р(11(с)=и)=(1/|П|2)/( 1/|П|)=1/)П|, то есть функция Г 2-равновероятна. Докажем обратное утверждение. Пусть
функции. аеА равновероятны и Р(11(а)=и/11(с)=и')=Р(11(а)=и). Поэтому имеем Р(11(а)=и,0(с)=пГ)= Р(11(а)=и) Р(11(с)=и>1/|11|2= 4(Г,а,с,и,и')/|\У|.
Откуда 4(&цс,и,и')=|\У|/|11|2, то есть функция Г 2-равноверооятна.
Данное утверждение составляет критерий устойчивости базисной информации абонентов сети к компрометации одного абонента сети.
Назовем функцию Г (—равновероятной, если для любого подмножества {а1, а2,...,аС}мощности Г<1 множества А число решений системы уравнений
435
Р(а1,\у)=и1
Да2,\у)=и2
ДаС,\у)=и1:' не зависит от выбора значений правой части. Аналогично доказательству при
веденного выше утверждения доказывается, что СС устойчива к компромета ции I абонентов сети тогда и только тогда, если функция Г 1+1-равновероятна.
Заметим, что при равновероятной функции Ф равновероятность базис ной ключевой информации 1Да), ае А, обеспечивает равновероятность ключей у всех абонентов сети. Однако из ключевой равновероятности сети в общем случае не следует равновероятность базисной ключевой информации. Поэтому представляет интерес вопрос о ключевой равновероятности сети связи.
Пусть априорное вероятностное распределение на К равномерное, Р(х(а,Ь)=х)=1/|К| для любых а^в. Найдем апостериорное распределение
(Р(х(а,Ъ)=х/х(а>с)=Х ) на К, при условии, что х(а>с)=Х >т0 есть ПРИ компромета ции абонента «с» (напомним, что х(а,с)=х(с,а). Рассмотрим систему уравнений
Ф (Ъ, 11(а)) = х ( а,Ъ )= Х
Ф(с,1Да))= х ( а,с ) = х ' Обозначим через Ч(Ф,а,с,Ь х > Х ) число решений этой системы уравне
ний, а через Ч(Ф,с,а,и') - число решений последнего уравнения. Тогда в силу равномерного вероятностного распределения на И получаем
Р(х(а,Ь)=Х/х(а,с)=х' )=Ч(Ф,а,с,Ь,х,х')/Ч(Ф,с,а,х')• Аналогично доказательству критерия устойчивости базисной ключе
вой информации доказывается Утверждение (критерий устойчивости ключей).
Равенство априорных и апостериорных вероятностей
Р(х(а,Ь)=х/х(а>с)=х')=(Р(х(а,Ь)=Х)=1/|К| при любых а, с, Ь (а^с1, Ь^с), х>Х и равновероятных функциях Фа, аеА выпол
няется в том и только в том случае, если функция Ф 2-равновероятна (то есть при любых различных а,с,Ъ число решений Ч(Ф,а,с,Ь %,%') не зависит от выбора правой части х,Х рассматриваемой системы уравнений).
В случае К= Д, 11=Г и устойчивости ключей к компрометации одного абонента сети, полагая г)=Ч(Ф,а,с,Ь,х,х )> получаем
\Ц=ц\Щ2,
откуда следует
г= 2 Ы -1 о§|1| г|.
Следовательно, расход ключевой информации в нашем случае есть &ф(С)= |А|(2Ы1о§|,|Г|). (*)
437
Параграф 7.7 Перекрытия в сетях засекреченной связи
В процессе образования ключей для связи абонентов сети друг с дру гом может возникнуть ситуация, когда ими получены одинаковые ключи, на которых шифруются открытые тексты. Такая ситуация является частным слу чаем так называемого «перекрытия ключей». В связи с этим рассмотрим вопрос о выборе периодов исходных гамм шифраторов, обеспечивающих заданную вероятность неперекрытия. Будем моделировать датчик исходных гамм авто номным полноцикловым автоматом (граф переходов автомата состоит из одно го цикла длины Т). Предположим, что ключами шифратора являются началь ные состояния автомата А, выбираемые для каждого сообщения случайно и равновероятно. Условимся говорить, что два сообщения длин Ц1), Ц2) имеют перекрытие, если последовательности состояний Ам(з), Ам( 0 длин Ц1), Ц2) автомата А, отвечающие ключам шифрования к, §', имеют хотя бы одно общее состояние.
Предположим, что передается г сообщений длин Ц1.), Ц2),...,Цг). Пе рекрытие отсутствует, если все пары сообщений не имеют перекрытий.
Теорема. Вероятность неперекрытия г сообщений длин Ц1), . Ц2),...,Цг),
Г
Е д л = Ь при цикле длины Т автомата А равна
7=1
(г -1)!С г- 1т- ь.,-1
у г-1
ДОКАЗАТЕЛЬСТВО. Положение каждого отрезка на цикле автомата определяется"его начальным состоянием, поэтому общее число расположений г отрезков на цикле длины Т равно Тг.
Найдем число раположений, при которых никакая пара отрезков не имеет общих состояний. Формула для числа возможных таких расположений приведена в работе (Носов В.А. Специальные главы дискретной математики. Учебное пособие. М., 1990, теорема 6, стр. 116). Ее доказательство, сообщен ное авторам Носовым В.А., приводится ниже.
Каждому расположению отрезков поставим в соответствие следующий набор из трех параметров: начало первого отрезка (Т вариантов начал), поря док, в котором следуют отрезки после первого отрезка ((г-1.)! порядков), длины промежутков между отрезками х(1),х(2),...,х(г), х(])>0,)е{1,...,г}. Введенные числа удовлетворяют равенству
439
ЛИТЕРАТУРА
Основная литература
1./Шен/ -Шеннон К. Работы по теории информации и кибернетике. - М., ИЛ, 1963. - 830 с. (Раздел - Теория связи в секретных системах.)
2./Соб/ - Соболева Т. Тайнопись в истории России. М., 1994, 380с.
3./Про/ - Проскурин Г.В. Принципы и методы защиты информации. (Учебное пособие) Московский государственный институт электроники и математики. 1977.
4./Фом/- Фомичев В.М. Симметричные криптосхемы. Краткий обзор криптологии для шифрсистем с секретным ключом: Учебное пособие: М., МИФИ, 1995. -44с.
5./Три/ -. Тришин А.Е. Криптографические системы с открытым ключом (курс лекций) М., 2000, 122с.
6.Бабаш А.В., Глухов М.М., Шанкин Т.П. О преобразованиях множества слов в конеч ном алфавите, не размножающих искажений. Дискретная математика. Т. 9, вып. 3, 1977, С.3-19.
7.Варфоломеев А.А., Пеленицын М.Б. Методы криптографии и их применение в бан ковских технологиях. М.,МИФИ, 1995, 116 с.
8.Варфоломеев А.А., Домнина О.С., Пеленицын М.Б. Управление ключами в системах криптографической защиты банковской информации. М., МИФИ, 1996.
9.А.А. Варфоломеев, А.Е. Жуков, М.А. Пудовкина. Поточные криптосхемы. Основ ные свойства и методы анализа стойкости. МГИФИ, 2000, 243 стр.
10.Ведение в криптографию. Под общей редакцией Ященко В.В.// М., МЦНМО -ЧеРо, 1998, 271с.
11.Глухов М.М., Елизаров В.П., Нечаев А.А. Алгебра. Часть 2. М..1991, 475с.
12.Грушо А.А., Тимониной Е.Е., Применко Э.А. Анализ и синтез криптоалгоритмов, 2000, 108 стр.
13.Диффи У., Хеллман М. Защищенность и имитостойкость. Введение в криптогра фию. ТИИИЭР, т.64, N3, 1979, с 71-109*
14.Дориченко С.А., Ященко В.В. 25 этюдов о шифрах. М.,Теис, 1994, 64с.
15.Зубков А.М., Клыкова Н.В. Построение баз данных с ограниченным временем по иска. Симпозиум по прикладной и промышленой математике. Тезисы доклада. 2001г. стр. 185-186.
16.Кнут. Д. Искусство программирования для ЭВМ. Т.2, М.: Мир, 1977.
17.Н.А. Молдовян. Скоростные блочные шифры. - СПб, СПбГУ, 1998. - 230 с.
18.Н.А. Молдовян. Проблематика и методы криптографии. - СПб, СПбГУ, 1998. -
212 с.
19.Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. Защита информации в компьютер ных системах и сетях. Радио и связь, М., 1999, 328 стр.
20.Саломаа А. Криптография с открытым ключом. М., 1997, 324с.
21.Сачков В.Н., Солодовников В.И., Федюкин М.В. Дискретные функции, используе мые в криптографии. М., 1998.
22.Труды по дискретной математике. Том 1, «ТВП», 1997г.
23. Труды по дискретной математике. Том 2, «ТВП», 1998г.
24. Труды по дискретной математике. Том 3, ФИЗМАТЛИТ, 2000.,
440
25.Ю. С. Харин, В.И. Берник, Г.В. Матвеев, Математические основы криптологии. Минск, БГУ, 1999, стр 319.
26.Хоффман Л. Современные методы защиты информации. Пер. с англ. - М. Сов. ра дио. 1980.-264 с.
27.А.Л. Чмора Современная прикладная криптография. М., Гелиус АРВ, 2001,244с.
28.Шнайер Б. Прикладная криптография. 2-е издание. Протоколы, алгоритмы и ис ходные тексты на языке С.
29.БреесЬ апс1 Расзетйе зсгатЫт§ апс! Оесос1т§. А сгур1о§гарЫс зепез, у.31,1981. Ае-
§еап Рагк Ргезз.
30.Егоров Б.А., Прокофьев И.В. Исследование возможности построения шифров с рас стоянием единственности, существенно большим, чем для случайных шифров. Безо пасность информационных технологий. N 1, 1995, стр 24-25.
31.Введение в криптографию. Под общей редакцией В.В. Ященко. М., ЧеРо, 1998,271 стр.
32.Б.В. Рязанов, Г.П. Шанкин. Критерий равномерности распределения суммы цезависимых случайных величин на примарной циклической группе. Дискретная математика. Т. 9, вып. 1, 1997, стр. 95-102.
33.Бабаш А.В. О периодичности последовательности состояний автомата, отвечающей его начальному состоянию и входной периодической последовательности. Передана для опубликования в журнал «Дискретная математика», 2001.
34.Бабаш А.В. О некоторых инвариантах конечного автомата. Обозрение прикладной и промышленной математики. Пятая Международная Петрозаводская конференция. Те зисы докладов. Т.7, вып.1, М.:ТВП, 2000, стр.86-87.
35.А.А. Молдовян, Н.А. Молдовян, Б.Я. Советов. Криптография, Санкт-Петербург,
2000,218 стр.
36.Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х книгах, М., Энергоатомиздат, 1994. 576 стр.
ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алго ритм криптографического преобразования, М. Госстандарт СССР.
37.Андреев Н.Н. О некоторых направлениях исследований в области защиты инфор мации. Международная конференция «Безопасность информации». Москва, 14-18 ап реля 1997. Сборник материалов. М., 1997. стр. 94-97.
38.Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкйн А.В. Основы криптографии: Учебное пособие. М., Гелиос АРВ, 2001, 480 стр.
39.Александр Бабаш, Генрих Шанкин. Под небом нет ничего, что может скрыться (криптография). Разведчики и шпионы. Серия «Секретные службы». М., XXI ВЕКСОГЛАСИЕ, 2000, стр.270-285.
40.Генрих Шанкин. Тысяча и одна ночь в криптографии. Тайные страницы истории. Серия «Профессиональные секреты спецслужб», М., «ЛГ Информэйшн» АСТ, 2000, стр. 99-106.
40.Носов В.А. Специальные главы дискретной математики. Учебное пособие. М., 1990,
156стр.
41.Гантмахер Ф.Р. Теория матриц. М., 1954.
42.Романовский В.Ц. Дискретные цепи Маркова. Ленинград, 1949 г.