4.5. Шифры гаммирования

Напомним, что в основе рассматриваемых систем шиф­рования лежит метод "наложения" ключевой последователь­ности – гаммы – на открытый текст. "Наложение" заключа­ется в позначном (побуквенном) сложении или вычитании по тому или иному модулю. Хотя мы уже отмечали выше, что данные шифрсистемы относятся к многоалфавитным систе­мам замены, шифры гаммирования имеют целый ряд особен­ностей и заслуживают отдельного рассмотрения. В силу про­стоты своей технической реализации и высоких криптогра­фических качеств эти шифры получили широкое распространение.

Исторически первый шифр гаммирования совпадал, по сути, с шифром Виженера, однако без использования самой таблицы Виженера. Заметим, что таблица Виженера пред­ставляет собой квадрат, каждая строка и каждый столбец ко­торого – некоторая перестановка знаков данного алфавита. Произвольная такая таблица называется латинским квадра­том. Идя по пути обобщения, введем понятие шифра таблич­ного гаммирования.

4.5.1. Табличное гаммирование

Шифр табличного гаммирования в алфавите А={a₁,...,a_n} определяется произвольным латинским квад­ратом L на А и способом получения последовательности букв из А, называемой гаммой шифра. Буква а_i от­крытого текста под действием знака гаммы а_j переходит в букву а_k шифрованного текста, содержащуюся в j-й строке и i-м столбце квадрата L (подразумевается, что строки и столбцы в L занумерованы в соответствии с порядком следования букв в алфавите А).

С алгебраической точки зрения буква а_k есть результат применения к буквам а_i и а_j квазигрупповой операции *, табличным заданием которой является латинский квадрат L: а_k = а_i * а_j.

В случае шифра Виженера квазигруппа (А,*) является группой (Z_n,+). При этом уравнение шифрования имеет вид

b_i=(a_i+_i)mod n, (1)

а {_i} представляет собой периодическую последователь­ность, образованную повторением некоторого ключеого слова.

Наряду со сложением используется и вычитание знаков гаммы. Соответствующие уравнения шифрования принимают вид

b_i=(a_i – _i )mod n (2)

или

b_i=(_i –a_i)mod n. (3)

Шифры гаммирования с уравнениями шифрования (1) – (3) обычно называют шифрами модульного гаммирования.

Если в качестве квазигрупповой операции * на множестве 5-мерных двоичных векторов используется операция покоор­динатного сложения по модулю 2, то получаем шифр Вернама.

Шифры гаммирования замечательны тем, что при их применении для зашифро­вания и расшифрования требуется лишь один узел. В самом деле, знаки открытого текста находятся из тех же уравнений при взаимной замене а_i на b_i. Такие шифры обычно называ­ют обратимыми (см. замечание после примера шифра Хилла).

4.5.2. О возможности восстановления вероятностей знаков гаммы

Криптоанализ произвольного шифра табличного гамми­рования во многом схож с криптоанализом шифра модульного гаммирования. Рассмотрим основные идеи анализа на при­мере шифра с уравнением (1).

Занумеруем буквы алфавита А числами от 0 до п –1 и воспользуемся формальными моделями рассматриваемых последовательностей (см. гл. 2). Пусть р_i, r_i, и s_i, — вероят­ности появления знака i в открытом тексте, гамме и в шифрованном тексте соответственно. Тогда задание вероятностных распределений на знаках открытого текста и гаммы (которые естественно считать независимыми) индуцирует распределе­ние вероятностей знаков шифртекста по формуле:

(5)

в которой разность j-i берется по модулю п. (Достаточно заметить, что b = j <=> а = j – i,  =i, и воспользоваться формулой полной вероятности.)

Из формулы (5) следует, что если r_i = 1/п при всех i =0,…, п -1, то и s_j =1/п при всех j = 0,…, п — 1. Это означает, что при зашифровании открытого текста равновероятной гаммой получается шифртекст, вероятностные свойства кото­рого не отличаются от самой равновероятной гаммы. Это обстоятельство не оставляет шансов криптоаналитику ис­пользовать диаграмму повторяемости букв открытого текста, поскольку при наложении гаммы эта информация как бы сти­рается. Поэтому на практике стремятся к тому, чтобы по сво­им вероятностным свойствам гамма была близка к случайной равновероятной последовательности.

Возникает естественный вопрос о том, можно ли при ис­пользовании неравновероятной гаммы восстановить ее веро­ятностные характеристики непосредственно по шифртексту и можно ли эту информацию использовать при криптоанализе шифра гаммирования.

Попытаемся сначала оценить вероятности r_i непосредст­венно по шифртексту. При этом мы должны располагать дос­таточно точными приближениями распределений

р=(р₀,...,р_n-1), s=(s₀,...,s_n-1)

(получаемыми с помощью подсчета частот встречаемости знаков).

Рассмотрим соотношение (5) как систему линейных уравнений относительно неизвестных r_i, i == 0,…,п –1. Нетрудно заметить, что матрица рассматриваемой системы имеет вид

Такая матрица называется циркулянтом. В ней каждый столбец получается циклическим сдвигом предыдущего столбца. Известно, что определитель |Р| циркулянта равен произведению

f(₀)•f(₁)•…•f(_{n -1}),

где {₀,…,_n-1} – множество всех корней степени n из 1 (в поле комплексных чисел), причем

f(х) = р₀ + p_{n -1} • х + ... + р₁ • х^n-1.

В том случае, когда Р 0, вектор r однозначно определяется из соотношения

r =P ^-1 • s. (6)

Приведем (без доказательства) формулу для Р ^-1:

(7)

где

Условие Р 0 можно проверить непосредственно по данному распределению вероятностей букв открытого текста.

Пользуясь (6) и (7), можно вычислить приближение r' для r , подставляя вместо s в (6) вектор v = 1/l(v₀,...,v_n-1), где v_i – число вхождений символа i в шифрованный текст (длиной l):

r' =1/l(P ^-1 • v),

откуда