- •Предисловие
- •Глава 1. Введение
- •Некоторые аспекты безопасности связи
- •Шифр Юлия Цезаря
- •Несколько основных определений
- •Коды и шифры
- •Оценка стойкости системы шифрования
- •Коды, обнаруживающие и исправляющие ошибки
- •Другие методы сокрытия содержания сообщений
- •Модульная арифметика
- •Модульное сложение и вычитание букв
- •Заключение
- •Глава 2. От Юлия Цезаря до простой замены
- •Шифры Юлия Цезаря и их вскрытие
- •Шифры простой замены
- •Вскрытие шифра простой замены
- •Частоты встречаемости букв в других языках, кроме английского
- •Сколько знаков необходимо для дешифрования простой замены?
- •Глава 3. Многоалфавитные системы
- •Усиление системы Юлия Цезаря: шифры Вижанэра
- •Вскрытие шифра Вижанэра
- •Индикаторы
- •Одноключевые сообщения
- •Распознавание одноключевых сообщений
- •Какой объем текста необходим для дешифрования шифра Вижанэра?
- •Цилиндр Джефферсона
- •Глава 4. Шифры-головоломки
- •Перестановки
- •Простая перестановка
- •Двойная перестановка
- •Другие виды перестановок
- •Регулярные перестановочные таблицы
- •Нерегулярные перестановочные таблицы
- •Оценка стойкости шифров перестановки
- •Общая концепция двойного шифрования
- •Глава 5. Двухбуквенные шифры
- •Замена "монограф-диграф"
- •МДПМ-шифры
- •Система "диграф-диграф"
- •Шифр Плейфера*)
- •Расшифрование в системе Плейфера
- •Криптоаналитические аспекты системы Плейфера
- •Двойной шифр Плейфера
- •Глава 6. Коды
- •Характеристики кодов
- •Одночастевые и двухчастевые коды
- •Код плюс аддитивное шифрование
- •Глава 7. Шифры для шпионов
- •Шифры-решетки
- •Книжные шифры
- •Использование книжного шифра
- •Частоты встречаемости букв в книжных шифрах
- •Вскрытие книжного шифра
- •Индикаторы
- •Катастрофические ошибки при использовании книжного шифра
- •Шифры "агента Гарбо"
- •Первый шифр "агента Гарбо"
- •Второй шифр "агента Гарбо"
- •Одноразовый блокнот
- •Глава 8. Получение случайных чисел и букв
- •Случайные последовательности
- •Получение случайных последовательностей
- •Бросание монеты
- •Бросание костей
- •Извлечение из урны (по типу лотереи)
- •Космические лучи
- •Шум от усилителей
- •Псевдослучайные последовательности
- •Линейные рекурренты
- •Использование последовательности двоичных знаков гаммы для шифрования
- •Двоичные линейные последовательности как генераторы гаммы
- •Криптоанализ линейной рекурренты
- •Повышение стойкости двоичной гаммы
- •Генераторы псевдослучайных чисел
- •Метод срединных квадратов
- •Линейные конгруэнтные генераторы
- •Глава 9. Шифрмашина "Энигма"
- •Историческая справка
- •Первая "Энигма"
- •Шифрование с использованием контактных колес
- •Шифрование в "Энигме"
- •Коммутатор "Энигмы"
- •Ахиллесова пята "Энигмы"
- •Цепочки индикаторов в "Энигме"
- •Выравнивание цепочек
- •Идентификация колеса R1 и его угловой установки
- •Двойное шифрование в "Энигме"
- •"Энигма" Абвера
- •Глава 10. Шифрмашина "Хагелин"
- •Историческая справка
- •Конструкция шифрмашины «Хагелин»
- •Шифрование при помощи шифрмашины "Хагелин"
- •Выбор установок барабана в шифрмашине "Хагелин"
- •Теоретический объем перебора для шифрмашины "Хагелин"
- •Вскрытие установок "Хагелина" по отрезку гаммы
- •Дополнительные возможности шифрмашины "Хагелин"
- •Смещение
- •Определение смещения по шифрованному тексту
- •Перекрытия
- •Вскрытие шифрмашины "Хагелин" только по шифрованному тексту
- •Глава 11. После "Энигмы"
- •SZ42 - предтеча электронных машин
- •Описание шифрмашины SZ42
- •Шифрование в машине SZ42
- •Вскрытие шифрмашины SZ42 и определение ее угловых установок
- •Модификации шифрмашины SZ42
- •Глава 12. Криптография с открытым ключом
- •Историческая справка
- •Вопросы безопасности
- •Защита программ и данных
- •Шифрование программ, данных и сообщений
- •Задача распределения ключей
- •Система ключевого обмена Диффи-Хеллмана
- •Стойкость системы Диффи-Хеллмана
- •Глава 13. Шифрование и Интернет
- •Обобщение шифра простой замены
- •Факторизация больших целых чисел
- •Стандартный метод факторизации
- •Малая теорема Ферма
- •Теорема Ферма-Эйлера (для случая системы RSA)
- •Ключи зашифрования и расшифрования в системе RSA
- •Процессы зашифрования и расшифрования в системе RSA
- •Каким образом хозяин ключей отвечает корреспондентам?
- •Американский Стандарт Шифрования Данных (DES)*)
- •Общие сведения
- •Процедура зашифрования
- •Процедура расшифрования
- •Стойкость DES-алгоритма
- •Зацепление
- •Реализации DES-алгоритма
- •Совместное использование алгоритмов RSA и DES
- •Полезное замечание
- •После DES-алгоритма
- •Проверка подлинности сообщения и удостоверение подлинности подписи
- •Криптография эллиптической кривой
- •Приложение. Математические вопросы
- •Глава 2
- •М1. Совпадения знаков в алфавитах замены
- •М2. Снижение стойкости при использовании взаимно-обратных алфавитов
- •M3. Парадокс дней рождения
- •Глава 3
- •М4. Евклидово доказательство бесконечности множества простых чисел
- •Глава 6
- •М5. Последовательность чисел Фибоначчи
- •Глава 7
- •М6. Частота встречаемости букв для книжного шифра
- •М7. Одноразовый блокнот дешифровать невозможно
- •Глава 8
- •М8. Частота появления случайных чисел на странице
- •М9. Комбинирование двух последовательностей двоичных знаков гаммы, имеющих отклонения
- •М10. Последовательность типа Фибоначчи
- •М11. Двоичные линейные рекурренты
- •M12. Восстановление двоичной линейной рекурренты по отрезку гаммы
- •М13. Получение псевдослучайных чисел
- •Глава 9
- •М14. Распайка колёс шифрмашины "Энигма"
- •М15. Число возможных отражателей шифрмашины "Энигма"
- •М16. Вероятность одноключевых сообщений для "Энигмы"
- •М17. Среднее число индикаторов, необходимое для построения полных цепочек
- •Глава 10
- •М18. Число возможных барабанов шифрмашины "Хагелин"
- •М19. Максимальная кратность значения зацепления, которая может встретиться при вычислении разности гаммы шифрмашины "Хагелин"
- •M20. Определение смещения шифрмашины "Хагелин" с помощью коэффициента корреляции
- •Глава 13
- •M21. (Порядок роста количества простых чисел)
- •M22. Вычисление остатка с использованием модульной арифметики
- •М23. Доказательство теоремы Ферма-Эйлера
- •М24. Нахождение чисел, "предположительно" являющихся простыми
- •M25. Алгоритм Евклида
- •М26. Эффективность возведения в степень методом последовательного возведения в квадрат
- •М27. Число ложных ответов при дешифровании DES-алгоритма методом "встречного поиска "
- •М28. Криптография эллиптической кривой
- •Решения задач
- •Глава 2
- •Глава 3
- •Глава 4
- •Глава 5
- •Глава 6
- •Глава 7
- •Глава 8
- •Глава 9
- •Глава 10
- •Глава 11
- •Глава 13
- •Литература
116
Шум от усилителей
Шум в электрических цепях обычно считается помехой, но ему также можно найти хорошее применение в криптографии. Он может быть преобразован в сигнал, который используется для запирания и отпирания электрического вентиля, а это, в свою очередь, трактуется как 0 и 1. Если параметры схемы подобраны правильно, то получаемая таким образом двоичная последовательность и в самом деле будет случайной. Если схема имеет остаточное отклонение, так что вероятности появления нуля и единицы слегка отличаются от 0.5, то отклонение может быть значительно уменьшено путем суммирования (по модулю 2) двух или более подобных последовательностей чисел. Например, из двух независимых последовательностей, каждая из которых имеет отклонение 0.51 : 0.49 в пользу нуля, в результате сложения получится поток с отклонением всего лишь 0.5002 : 0.4998 (см. приложение M9).
Псевдослучайные последовательности
В главе 6 мы уже встречались с последовательностью чисел Фибоначчи. Это бесконечная последовательность целых чисел, получаемая с помощью простого правила: каждый ее элемент является суммой двух предыдущих. Традиционно эта последовательность начинается с двух первых элементов, равных 0 и 1. К сожалению, последовательность чисел Фибоначчи, как уже упоминалось выше, имеет ряд арифметических свойств, делающих ее совсем не подходящей в качестве источника псевдослучайных чисел. Однако допустим, что мы изменили правило получения чисел на другое, например, такое: каждый элемент равен удвоенному предыдущему элементу, сложенному с элементом, стоящим перед ним. Будет ли такая последовательность лучше подходить для наших целей? Если начать с 0 и 1 в качестве двух первых элементов, то первые 10 элементов последовательности выглядят так:
0,1,2,5,12,29,70,169,408,985.
Несложно заметить, что элементы этой последовательности четные и нечетные попеременно, и это уже само по себе является достаточным основанием не рассматривать ее в качестве источника псевдослучайных чисел. Конечно, вовсе не обязательно начинать с 0 и 1, в качестве первых двух элементов можно выбрать любые числа, но данный недостаток является существенным, поэтому любая последовательность, полученная таким образом, нам не годится. После знакомства с массой свойств последовательности чисел Фибоначчи логично ожидать, что данная
117
последовательность также обладает целым рядом математических свойств: например, каждый третий ее элемент делится на 5, а отношение соседних элементов довольно быстро приближается к фиксированному числу:
2,41421356...
то есть
(1+ 2).
(Подробнее об этом см. приложением M10).
Линейные рекурренты
Рассмотренные выше последовательности являются примерами последовательностей, полученных с помощью так называемых линейных рекуррентных соотношений. Поскольку получение очередного элемента данных последовательностей связано со сложением величин, кратных значениям двух предыдущих элементов, то они, точнее говоря, являются
линейными рекуррентными последовательностями степени 2. И вообще, в линейной рекуррентной последовательности k-й степени каждый следующий элемент является суммой чисел, кратных k предыдущим элементам. Так, например, если через Un обозначить n-й элемент последовательности, то соотношение
Un = U(n-1) + 2 U(n-2) - U(n-3)
является линейным рекуррентным соотношением степени 3, а
Un = U(n-3) + U(n-5)
является линейным рекуррентным соотношением степени 5. То, что во втором случае некоторые из пяти предыдущих элементов в соотношение не входят, значения не имеет: для вычисления элемента последовательности требуется пять предыдущих элементов, но три из них, U(n-1), U(n-2) и U(n-4) входят в соотношение с коэффициентом 0. Однако, если бы элемент U(n-5) не входил в соотношение, то оно уже не было бы соотношением 5-й степени. В нашем случае все коэффициенты - целые числа, они могут быть и положительными, и отрицательными, и нулевыми. Предполагается, что в линейном рекуррентном соотношении степени k элемент U(n-k) всегда присутствует с положительным или отрицательным, но только не нулевым коэффициентом.
118
Порядок элементов линейных рекуррентных последовательностей, как правило, растет очень быстро, и хотя у них есть интересные арифметические свойства, использовать их для криптографических целей можно только после замены значений элементов на остатки от их деления по модулю 2. То есть, элемент заменяется на 0, если значение четное, и на 1, если оно нечетное. Таким образом, получается двоичная последовательность. Вычислять элементы линейной рекурренты по модулю 2 особенно просто. Совсем не нужно сначала вычислять действительное значение элементов, а затем уже заменять их нулем или единицей. Каждое слагаемое просто заменяется на 0 или 1 в момент вычисления; затем остается только сложить несколько нулей и единиц, что гораздо проще, нежели суммировать постоянно растущие целые числа. В результате получается та же самая двоичная последовательность, как если бы мы вычисляли значение каждого элемента, а уже затем заменяли его на 0 или на 1. Так, например, линейная рекуррента степени 2
Un = 3U(n-1) -2 U(n-2)
с начальными значениями U0=0, U1=1 выглядит так:
0, 1, 3, 7, 15, 31, 63, 127, 255, 511,....
Если в момент вычисления заменить каждый элемент его остатком по модулю 2, получится двоичный эквивалент этой последовательности:
0, 1, 1, 1 ,1 ,1 ,1 ,1 ,1 ,1,....
что, без сомнения, справедливо, так как
Un = 2n-1,
и поэтому все элементы последовательности, кроме U0, нечетные.
Ясно, что эта конкретная последовательность для криптографии бесполезна в силу своей исключительной неравновероятности. Допустим, однако, что какие-то линейные двоичные последовательности нам подходят. Как их можно было бы использовать? Сначала рассмотрим практическую задачу использования последовательности двоичных знаков гаммы для шифрования.
Использование последовательности двоичных знаков гаммы для шифрования
Криптографу вначале необходимо преобразовать текст сообщения из
119
алфавитно-цифрового к двоичному виду. В начале компьютерной эры для записи наиболее употребительных символов использовалось пятиили шестиразрядное представление. Поскольку в этих случаях общее число символов было ограничено соответственно, числами 32 и 64, что накладывало ограничения на набор используемых символов, то в конце концов перешли к восьмиразрядному представлению, называемому байтом. Стало возможно использовать 256 символов, что вполне достаточно для записи не только строчных и прописных букв, чисел и знаков препинания, но и многих других символов, таких как скобки различного вида и разнообразные диакритические знаки. Сегодня восьмибитовое представление является стандартным. Так, например,
A=65=01000001,
B=66=01000010
и т.д., и
a=97=01100001,
b=98=01100010,
а символ
$=36=00100100
и
e=136=10001000.
При зашифровании символы текста, преобразованные в восьмиразрядные байты, обычно складывают с двоичной гаммой поразрядно (по модулю 2), то есть суммируются отдельные биты, без "переноса". Пусть, например, в сообщении стоит буква E, а соответствующий знак гаммы равен $, то есть
E = 01000101 $ = 00100100.
Складывая их по модулю 2, получаем
01100001=97=a,
и таким образом, буква шифрованного текста равна a.
Кроме данного линейного ("побитового") способа сложения, существуют и другие методы. Например, в главе 13 описана очень важная и стойкая система под названием DES (Data Encryption Standard - Стандарт шифрования данных США), в которой часть битов преобразуется нелинейным образом.