190
Глава 13. Шифрование и Интернет
Обобщение шифра простой замены
В шифре простой замены буквы заменяются согласно некоторой перестановке алфавита. Мы ранее уже убедились в том, что при наличии всего 200 знаков шифрованного текста этот шифр легко вскрывается подсчетом частот знаков с использованием знаний о языке. Для шифрования таким способом требуется таблица длины 26 с переставленными буквами алфавита. И если, например, A заменяется на R, N на C, а T на H, то AN переходит в шифрованном тексте в RC, а AT - в RH. При этом знак R, образ буквы A, встречается в обоих случаях.
Поскольку в шифре простой замены отдельные буквы каждый раз заменяются на одни и те же, независимо от того, какая буква им предшествует и какая следует за ними, то метод подсчета частот в конце концов обязательно сработает. Противостоять этому могла бы система, в которой шифрование знака зависело бы от значения некоторых букв с какойнибудь стороны от него: например, AN могло бы при шифровании перейти в RC, а AT - в KW. В таком случае метод подсчета частот монографов не годится. В основе подобной системы может лежать таблица замены, в которой перечислены все 676 (=26 26) диграфов и их шифрованные эквиваленты. Фактически, мы получаем двухчастевую кодовую книгу: в первой части слева в алфавитном порядке перечислены все 676 диграфов открытого текста, а справа напротив них - их шифрованные эквиваленты. Во второй части слева в алфавитном порядке перечислены все 676 диграфов шифрованного текста, а их открытые эквиваленты - справа от них. Эта система, которую можно назвать шифром замены диграфов, является более стойкой, нежели простая замена, но пользоваться ею довольно утомительно. К тому же шифровальщику, если только он не обладает феноменальной памятью, необходимо постоянно иметь обе таблицы.
Если криптограф готов пойти на то, чтобы держать под рукой две таблицы, в которых перечисляются 17576 (=26 26 26) триграфов открытого и шифрованного текстов, то можно было бы использовать еще более стойкую систему - шифр замены триграфов.
Очевидно, таким образом можно строить все более и более стойкие системы, но на практике таблицы будут громоздкими, и даже система, основанная на замене строк из 4-х букв (т.е. тетраграфов), вряд ли практически осуществима.
Допустим, однако, что можно построить систему, работающую со строками фиксированной длины, которые каким-то образом автоматически преобразуются в другие строки; причем гарантируется, что изменение любой
191
буквы исходной строки даст нам в результате совершенно иную строку. Такая система уже не требует распечаток таблиц и может и в самом деле оказаться весьма стойкой - это зависит от метода преобразования строк и от числа букв в строке. Нижняя граница шкалы стойкости таких систем задана методом Юлия Цезаря: преобразование осуществляется с помощью сдвига каждой буквы на три позиции вперед в алфавите, а фиксированная длина строки равна единице. Верхнюю строчку шкалы занимает метод RSA, названный по первым буквам фамилий его авторов - Райвеста, Шамира и Эйдельмана (Rivest, Shamir, Adelman) - предложивших данный метод в 1978 году (см. [13.1]). Данный метод может быть использован для шифрования очень длинных строк (например, в 100 знаков) и обеспечивает весьма высокую степень стойкости. Это само по себе уже может показаться удивительным, но еще более удивителен тот факт, что RSA является системой с открытым ключом, что означает (как уже было разъяснено в главе 12), что детали способа зашифрования сообщений являются общедоступными, но только "хозяину" открытого ключа известно, как расшифровать адресованные ему сообщения. Однако, хозяин ключа может отвечать своим корреспондентам, шифруя свои сообщения таким образом, чтобы они могли расшифровать их.
Хотя теоретически щифрование по системе RSA возможно выполнять и вручную, но в реальности эти вычисления, подразумевающие использование операций модульной арифметики с очень большими целыми числами, можно осуществить только на компьютере, оснащенном средствами для арифметических операций над числами большой разрядности.
Факторизация больших целых чисел
Перемножить два числа сравнительно нетрудно, особенно если у нас есть калькулятор, а числа не слишком велики. Если каждое из них не превосходит 10, даже ребенок сделает это без посторонней помощи. Если они не превосходят 100, то большинство, я надеюсь, в состоянии получить ответ с помощью карандаша и бумаги. Если оба числа больше 10000, то, скорее всего, понадобится калькулятор.
Факторизацией называется обратная задача - нахождение двух или более чисел, дающих при перемножении заданное число. Эта задача гораздо труднее, нежели перемножение чисел, и любому, кто пытался это сделать, об этом известно. Например, если от нас требуется умножить 89 на 103, то результат, 9167, будет получен меньше чем за минуту. Если же от нас требуется найти два числа, произведение которых равно 9167, то скорее всего, это займет у нас гораздо больше времени. Как мы могли бы это сделать?
192
Стандартный метод факторизации
Если от нас требуется факторизовать большое число N, необходимо воспользоваться следующим: если число N не простое, то оно должно иметь хотя бы два делителя, меньший из которых не может превосходить квадратного корня из N. Это означает, что для случая N=9167 нужно проверять на делимость только простые числа, меньшие 9167 (эта величина примерно равна 96). Наибольшее простое число, не превосходящее 96, равно 89, поэтому в нашем случае мы получили бы ответ при самой последней проверке, выполнив к этому моменту более двадцати операций деления. Если бы мы выполняли эти проверки для N=9161, то не нашли бы ни одного делителя, поскольку число 9161 - простое.
С увеличением N растет и число тестов, которые необходимо провести. Так, если N=988027, то оно либо простое, либо делится на число, не превосходящее 988027, что чуть-чуть меньше 994. Теперь следует разделить 988027 на каждое простое число, меньшее 994. Если мы обнаружим простое число, которое в точности (то есть без остатка) делит 988027, то задача решена. Если такого числа нет, то число 988027 является простым. На самом деле
988027=991 997,
и поскольку 991 и 997 - это простые числа, то факторизация завершена. На это пришлось бы потратить массу усилий, поскольку существует более 160 простых чисел, меньших 991, и их придется все перепробовать, прежде чем будет найден ответ. Эта задача отнимет кучу времени и будет весьма утомительна, даже если использовать калькулятор. Человек, знакомый с программированием и имеющий компьютер, разумеется, мог бы поручить ему все вычисления. Независимо от того, каким образом это будет сделано, при увеличении N с 9167 до 988027 (то есть примерно в 108 раз) число операций деления, которые нам (или компьютеру) необходимо выполнить, возрастет с 20 до более чем 160. Заметим, что при росте числа N более чем в 100 раз (так что число N возросло более чем в 10 раз) число тестов вырастает только в 8 раз. Объяснение этого факта можно найти в M21.
Такой метод поиска простых делителей заданного числа, когда это число делят поочередно на все простые числа, меньшие его квадратного корня, по существу принадлежит Эратосфену и является стандартным методом как при факторизации числа (если он срабатывает), так и при доказательстве его простоты (если ничего не найдено). Это не единственный метод, которым можно воспользоваться. Иногда можно найти быстрый путь: например, можно заметить, что
193
9167=9216-49=962-72=(96-7)(96+7)=89 103,
или, что еще лучше,
988027=988036-9=9942-32=(994-3)(994+3)=991 997,
но, вообще говоря, так везет далеко не всегда. Иногда существуют специальные приемы, позволяющие уменьшить число вариантов - например, если число, которое мы пытаемся факторизовать, является числом специального вида, таким как
2p-1
где p - простое. Однако для чисел того типа, что применяется в системе RSA, такие специальные методики оказываются неприменимы.
Стойкость описанной далее системы шифрования RSA основана на следующем факте: факторизация большого числа требует значительных затрат времени даже в том случае, когда известно, что оно является произведением двух больших простых чисел. Что касается процесса зашифрования по системе RSA, то в его основе лежит красивая и мощная теорема, сформулированная в начале семнадцатого столетия без доказательства французским математиком Пьером Ферма (Pierre Fermat). Её часто называют "Малой теоремой Ферма", и её не следует путать с пресловутой "Великой теоремой Ферма" - её он также сформулировал без доказательства, а доказана она была только в 1993 году (см. [13.2]). Возможно, у Ферма и было доказательство его "Малой теоремы", однако представляется крайне маловероятным, чтобы он сумел доказать свою "Великую теорему". Швейцарский математик Леонард Эйлер*) в 1760 году опубликовал доказательство Малой теоремы Ферма и получил ее обобщение, известное под именем теоремы Ферма-Эйлера. Именно эта теорема используется в алгоритме зашифрования/расшифрования RSA.
В качестве первого шага поучительно будет рассмотреть несколько примеров, которые иллюстрируют теорему, носящую название
*) Эйлер Леонард (Leonard Euler), 1707-1783, родился в швейцарском городе Базеле. Ученик знаменитого математика Иоганна Бернулли (1667-1748). В возрасте 20 лет (в 1727 г.) приезжает в Россию, где прошла значительная часть его жизни и научной деятельности. С 1731 г. - член Петербургской академии наук. С 1741 по 1766 гг. жил в Берлине, продолжая поддерживать научные связи с Петербургской академией, в 1766 снова возвращается в Санкт-Петербург, где скончался в 1783 г. Эйлер оставил огромное печатное и рукописное наследие. С 1911 г. в Швейцарии издается полное собрание его сочинений Opera omnia. Основная часть рукописей Эйлера хранится в Санкт-Петербурге, в архиве РАН. (прим.перев.)