- •Предисловие
- •Глава 1. Введение
- •Некоторые аспекты безопасности связи
- •Шифр Юлия Цезаря
- •Несколько основных определений
- •Коды и шифры
- •Оценка стойкости системы шифрования
- •Коды, обнаруживающие и исправляющие ошибки
- •Другие методы сокрытия содержания сообщений
- •Модульная арифметика
- •Модульное сложение и вычитание букв
- •Заключение
- •Глава 2. От Юлия Цезаря до простой замены
- •Шифры Юлия Цезаря и их вскрытие
- •Шифры простой замены
- •Вскрытие шифра простой замены
- •Частоты встречаемости букв в других языках, кроме английского
- •Сколько знаков необходимо для дешифрования простой замены?
- •Глава 3. Многоалфавитные системы
- •Усиление системы Юлия Цезаря: шифры Вижанэра
- •Вскрытие шифра Вижанэра
- •Индикаторы
- •Одноключевые сообщения
- •Распознавание одноключевых сообщений
- •Какой объем текста необходим для дешифрования шифра Вижанэра?
- •Цилиндр Джефферсона
- •Глава 4. Шифры-головоломки
- •Перестановки
- •Простая перестановка
- •Двойная перестановка
- •Другие виды перестановок
- •Регулярные перестановочные таблицы
- •Нерегулярные перестановочные таблицы
- •Оценка стойкости шифров перестановки
- •Общая концепция двойного шифрования
- •Глава 5. Двухбуквенные шифры
- •Замена "монограф-диграф"
- •МДПМ-шифры
- •Система "диграф-диграф"
- •Шифр Плейфера*)
- •Расшифрование в системе Плейфера
- •Криптоаналитические аспекты системы Плейфера
- •Двойной шифр Плейфера
- •Глава 6. Коды
- •Характеристики кодов
- •Одночастевые и двухчастевые коды
- •Код плюс аддитивное шифрование
- •Глава 7. Шифры для шпионов
- •Шифры-решетки
- •Книжные шифры
- •Использование книжного шифра
- •Частоты встречаемости букв в книжных шифрах
- •Вскрытие книжного шифра
- •Индикаторы
- •Катастрофические ошибки при использовании книжного шифра
- •Шифры "агента Гарбо"
- •Первый шифр "агента Гарбо"
- •Второй шифр "агента Гарбо"
- •Одноразовый блокнот
- •Глава 8. Получение случайных чисел и букв
- •Случайные последовательности
- •Получение случайных последовательностей
- •Бросание монеты
- •Бросание костей
- •Извлечение из урны (по типу лотереи)
- •Космические лучи
- •Шум от усилителей
- •Псевдослучайные последовательности
- •Линейные рекурренты
- •Использование последовательности двоичных знаков гаммы для шифрования
- •Двоичные линейные последовательности как генераторы гаммы
- •Криптоанализ линейной рекурренты
- •Повышение стойкости двоичной гаммы
- •Генераторы псевдослучайных чисел
- •Метод срединных квадратов
- •Линейные конгруэнтные генераторы
- •Глава 9. Шифрмашина "Энигма"
- •Историческая справка
- •Первая "Энигма"
- •Шифрование с использованием контактных колес
- •Шифрование в "Энигме"
- •Коммутатор "Энигмы"
- •Ахиллесова пята "Энигмы"
- •Цепочки индикаторов в "Энигме"
- •Выравнивание цепочек
- •Идентификация колеса R1 и его угловой установки
- •Двойное шифрование в "Энигме"
- •"Энигма" Абвера
- •Глава 10. Шифрмашина "Хагелин"
- •Историческая справка
- •Конструкция шифрмашины «Хагелин»
- •Шифрование при помощи шифрмашины "Хагелин"
- •Выбор установок барабана в шифрмашине "Хагелин"
- •Теоретический объем перебора для шифрмашины "Хагелин"
- •Вскрытие установок "Хагелина" по отрезку гаммы
- •Дополнительные возможности шифрмашины "Хагелин"
- •Смещение
- •Определение смещения по шифрованному тексту
- •Перекрытия
- •Вскрытие шифрмашины "Хагелин" только по шифрованному тексту
- •Глава 11. После "Энигмы"
- •SZ42 - предтеча электронных машин
- •Описание шифрмашины SZ42
- •Шифрование в машине SZ42
- •Вскрытие шифрмашины SZ42 и определение ее угловых установок
- •Модификации шифрмашины SZ42
- •Глава 12. Криптография с открытым ключом
- •Историческая справка
- •Вопросы безопасности
- •Защита программ и данных
- •Шифрование программ, данных и сообщений
- •Задача распределения ключей
- •Система ключевого обмена Диффи-Хеллмана
- •Стойкость системы Диффи-Хеллмана
- •Глава 13. Шифрование и Интернет
- •Обобщение шифра простой замены
- •Факторизация больших целых чисел
- •Стандартный метод факторизации
- •Малая теорема Ферма
- •Теорема Ферма-Эйлера (для случая системы RSA)
- •Ключи зашифрования и расшифрования в системе RSA
- •Процессы зашифрования и расшифрования в системе RSA
- •Каким образом хозяин ключей отвечает корреспондентам?
- •Американский Стандарт Шифрования Данных (DES)*)
- •Общие сведения
- •Процедура зашифрования
- •Процедура расшифрования
- •Стойкость DES-алгоритма
- •Зацепление
- •Реализации DES-алгоритма
- •Совместное использование алгоритмов RSA и DES
- •Полезное замечание
- •После DES-алгоритма
- •Проверка подлинности сообщения и удостоверение подлинности подписи
- •Криптография эллиптической кривой
- •Приложение. Математические вопросы
- •Глава 2
- •М1. Совпадения знаков в алфавитах замены
- •М2. Снижение стойкости при использовании взаимно-обратных алфавитов
- •M3. Парадокс дней рождения
- •Глава 3
- •М4. Евклидово доказательство бесконечности множества простых чисел
- •Глава 6
- •М5. Последовательность чисел Фибоначчи
- •Глава 7
- •М6. Частота встречаемости букв для книжного шифра
- •М7. Одноразовый блокнот дешифровать невозможно
- •Глава 8
- •М8. Частота появления случайных чисел на странице
- •М9. Комбинирование двух последовательностей двоичных знаков гаммы, имеющих отклонения
- •М10. Последовательность типа Фибоначчи
- •М11. Двоичные линейные рекурренты
- •M12. Восстановление двоичной линейной рекурренты по отрезку гаммы
- •М13. Получение псевдослучайных чисел
- •Глава 9
- •М14. Распайка колёс шифрмашины "Энигма"
- •М15. Число возможных отражателей шифрмашины "Энигма"
- •М16. Вероятность одноключевых сообщений для "Энигмы"
- •М17. Среднее число индикаторов, необходимое для построения полных цепочек
- •Глава 10
- •М18. Число возможных барабанов шифрмашины "Хагелин"
- •М19. Максимальная кратность значения зацепления, которая может встретиться при вычислении разности гаммы шифрмашины "Хагелин"
- •M20. Определение смещения шифрмашины "Хагелин" с помощью коэффициента корреляции
- •Глава 13
- •M21. (Порядок роста количества простых чисел)
- •M22. Вычисление остатка с использованием модульной арифметики
- •М23. Доказательство теоремы Ферма-Эйлера
- •М24. Нахождение чисел, "предположительно" являющихся простыми
- •M25. Алгоритм Евклида
- •М26. Эффективность возведения в степень методом последовательного возведения в квадрат
- •М27. Число ложных ответов при дешифровании DES-алгоритма методом "встречного поиска "
- •М28. Криптография эллиптической кривой
- •Решения задач
- •Глава 2
- •Глава 3
- •Глава 4
- •Глава 5
- •Глава 6
- •Глава 7
- •Глава 8
- •Глава 9
- •Глава 10
- •Глава 11
- •Глава 13
- •Литература
45
(2) как сообщить такие перетасованные алфавиты адресатам, для которых они предназначены, и при этом не выдать их противнику?
Эти проблемы имеют огромное значение. Ибо, если для получения "перетасованного" алфавита используется очень простой прием, как, например, в шифре Юлия Цезаря, то криптоаналитик быстро разгадает этот прием, и тем легче станет для него дешифрование. С другой стороны, адресат должен знать, какие именно алфавиты используются, или же способ, которым их можно получить. Существует целый ряд способов решения обеих этих проблем, и некоторые из них будут позже рассмотрены. Здесь же будут описаны два возможных способа решения проблемы (2). Прежде всего введем два термина, имеющие отношение к криптографическим системам вообще.
Индикаторы
Если автору сообщения приходится выбирать значения некоторых параметров, относящихся к способу шифрования, и ему нужно сообщить о своем выборе получателю (получателям), то он может сообщить эту информацию (возможно, в зашифрованном виде) в индикаторе. Индикатор может предшествовать сообщению, следовать за ним, или же быть скрытым в самом сообщении. Так, ключ 7-5-11 из рассмотренного выше примера необходимо было бы каким-то образом сообщить получателю. Ключ можно либо послать заранее, либо зашифровать другим заранее оговоренным шифром и спрятать в определенном месте внутри сообщения. В этом примере индикатором может служить сам ключ 7-5-11, однако маловероятно, что он будет послан непосредственно в таком виде.
Одноключевые сообщения
Если два (или несколько) сообщений зашифрованы с помощью одной и той же системы шифрования с идентичными параметрами (компонентами, ключами, частями, установками и пр.), то говорят, что эти сообщения одноключевые. Так, если посылаются два сообщения, закрытые шифром Вижанэра с одним и тем же ключевым словом, то они являются одноключевыми. Однако если ключевые слова различны, пусть и одинаковой длины, то эти сообщения не будут одноключевыми. Если же у двух сообщений, закрытых шифром Вижанэра, ключевые слова одинаковой длины и к тому же содержат несколько одинаковых букв в соответствующих позициях, то эти шифрованные сообщения являются частично одноключевыми. Все это не обязательно должно быть верно для других систем шифрования, где малейшее изменение в индикаторе может сделать
46
эти сообщения неодноключевыми. Сможет ли криптоаналитик воспользоваться фактом обнаружения двух (или более) одноключевых сообщений, зависит от системы, с помощью которой они зашифрованы. В некоторых случаях, например, для шифров простой замены или шифров Вижанэра, ему наверняка удастся это сделать; однако в других случаях, например, в двухбуквенных системах шифрования, описанных в главе 5, воспользоваться этим гораздо труднее. Вообще говоря, если шифрование происходит последовательно, по принципу "буква за буквой", одноключевые сообщения могут быть выявлены и, возможно, окажутся полезными криптоаналитику. Однако, если одновременно шифруются две или более букв, то одноключевые сообщения могут оказаться почти бесполезными даже в тех случаях, когда их удается выявить.
Распознавание одноключевых сообщений
Как криптоаналитик может распознать одноключевые сообщения? Если обнаружено, что два или более сообщений, зашифрованных с помощью одной и той же системы, имеют одинаковые индикаторы, то эти сообщения, вероятно, являются одноключевыми. Мы говорим "вероятно", а не "наверняка", так как в интервал между сообщениями может попасть момент смены ключа, когда может измениться какая-нибудь часть системы шифрования. Такая ситуация, например, возникает для двух сообщений, зашифрованных на шифрмашине "Энигма" непосредственно до полуночи и непосредственно после ее наступления (см. главу 9).
Если индикаторы являются скрытыми , то внешних признаков того, что сообщения действительно являются одноключевыми, может и не быть. Как в таком случае криптоаналитик может установить этот факт? Предполагая, что в данной системе шифрование выполняется побуквенно, надо сначала подписать сообщения одно под другим, выровняв их по началам шифрованных текстов, и применить простой статистический тест. Если два шифрованных сообщения не являются одноключевыми, то вероятность того, что буква одного шифрованного текста совпадет с соответствующей буквой другого текста (то есть с той, которая стоит под ней), составляет 1 шанс из 26. Если сообщения являются одноключевыми, то вероятность того, что эти буквы шифрованных текстов совпадают, равна вероятности того, что совпадают соответствующие буквы открытых текстов. А эта вероятность, в свою очередь, примерно вдвое превосходит вероятность случайного совпадения, то есть составляет примерно 1 шанс из 13 как для английского языка, так и для большинства языков, использующих латинский алфавит. Это частный случай более общего наблюдения, которое мы рассмотрим в главе 7; подробное математическое доказательство содержится в приложении M6. Отсюда следует, что если подписать одно сообщение под другим, то для
47
пары неодноключевых сообщений на 100 знаков шифрованного текста должно встретиться примерно четыре пары одинаковых букв, а для одноключевых сообщений таких пар одинаковых букв должно быть примерно семь или восемь на сотню. Чем длиннее сообщения, тем более вескими оказываются аргументы за или против наличия общего ключа. Доводы в пользу наличия общего ключа становятся намного более вескими, если обнаружены совпадающие полиграфы, например, двух или трехбуквенные, поскольку их появление в неодноключевых сообщениях весьма маловероятно. Разумеется, и такой тест не является абсолютно надежным, так как в парах шифрованных текстов могут встречаться и случайные совпадения полиграфов. Джек Гуд (см. [3.1]) пишет, что однажды он обнаружил в паре сообщений военного времени абсолютно ложное повторение октографа. Вероятность подобного восьмизначного совпадения меньше, чем 1 шанс из 20 000 000 000. Это удивительно, даже если учесть, что были просмотрены все шифрованные сообщения военного времени. С другой стороны, Джек Гуд пишет также (см. [3.1]), что он обнаружил 22буквенное повторение, и оно было истинным!
Определить, являются ли два сообщения одноключевыми, становится легче с увеличением длины более короткого сообщения. Так, например, проще выявить общий ключ у пары сообщений длиной по 500 знаков каждое, чем у пары сообщений, если длина одного из них равно 2000 знаков, а другого - только 100 знаков. В этом случае важна именно длина общей части.
Пример 3.2 Три сообщения зашифрованы с помощью системы, в которой буквы
шифруются последовательно одна за другой. Самое короткое сообщение состоит из 500 знаков. Число совпадений знаков шифрованного текста внутри каждой пары сообщений следующее:
Сообщение 1 и сообщение 2 : 37. Сообщение 1 и сообщение 3 : 27. Сообщение 2 и сообщение 3 : 16.
Возможно ли, что какая-нибудь пара из этих трех сообщений имеет один и тот же ключ?
Решение Если общая часть имеет длину 500 знаков, то ожидаемое число
совпадений в паре шифрованных текстов для одноключевых сообщений будет около 38, а для неодноключевых сообщений - всего лишь около 19. Следовательно, на основании приведенных данных можно с уверенностью сказать, что первое и второе сообщения - одноключевые, а второе и третье - неодноключевые. Статистические данные для пары сообщений 1 и 3 являются аномальными, и, опираясь только на них, к определенному
48
заключению прийти нельзя, поскольку вероятность появления 27 совпадений при ожидаемых 38 примерно такая же, как и вероятность появления 27 совпадений при ожидаемых 19. (Математические основы этой теории подробно описаны в литературе - см., например, [2.4]). Однако, поскольку мы почти уверены в том, что первое и второе сообщения - одноключевые, а второе и третье сообщения - неодноключевые, то логично сделать вывод, что первое и третье сообщения также неодноключевые.
С точки зрения криптоаналитика одноключевые сообщения представляют наибольшую ценность в тех случаях, когда в системе шифрования последовательность знаков гаммы суммируется со знаками открытого текста, как это происходит, например, в книжных шифрах или в шифре с одноразовым блокнотом (см. главу 7), или в более простом шифре Вижанэра.
Сообщения, зашифрованные по системе Вижанэра с различными ключами, иногда обнаруживают необычные свойства, которые помогают криптоаналитику восстановить их (как можно видеть из следующей задачи):
Задача 3.1 Резидент-меломан послал трем своим агентам однотекстовые
сообщения, зашифровав их шифром Вижанэра со следующими ключевыми словами:
(1) RHAPSODY, (2) SYMPHONY и (3) SCHUBERT.
Что обнаружит криптоаналитик, проанализировав пары, составленные из этих шифрованных текстов? Проверьте ваши выводы, зашифровав сообщение
NOW IS THE TIME FOR AL GOOD MEN TO COME TO THE AID OF THE PARTY
с данными тремя ключевыми словами, используя букву X в качестве разделителя. Попарно сравните полученные шифрованные сообщения.
Заканчивая описание шифра Вижанэра, предлагаем решить следующую задачу.
Задача 3.2 Сообщение длиной 249 знаков зашифровано с помощью шифра
Вижанэра (пробелы в открытом тексте заменены на букву Z). Шифрованный тест имеет вид:
GLEKR DAKRD SHZIZ MUIOK RQSSJ MTAME ZIESO YMAHB PLZBF DSHMW HHEXZ TAHZX YIGTA XZMUE TSVXZ LRIML MYNEV OEELD TANXZ TMFEM GIRSB