Глава 2

Введение в математическую структуру

симметричных криптосистем

2.1. Клод Шеннон.

Теория связи в секретных системах (1949)

Математическая структура

Источник

сообщений

Шифрование Tk

−1

Расшифрование Tk

Сообщение M

Ключ K

Источник

ключей

Рис. 1. Схема использования криптографической системы

E = f (M, K)

E = TiM

M = Ti−1 ∗ E

(2.1)

(2.2)

(2.3)

Ti ∗ Ti−1 = I

T1 . . . Tm

отображение самого на себя

семейство преобразований

(2.4)

(2.5)

p1 . . . pm

M1 . . . Mn

q1 . . . qn

вероятнсти выбора преобразований

множество возможных сообщений

априорные вероятности

(2.6)

(2.7)

(2.8)

Две секретные системы совпадают, если они образованы одним и тем же множеством отображений Ti и одинаковым

пространством сообщений и криптограмм, причем вероятности ключей в этих системах также совпадают.

Постановка задачи криптоанализа

1. Криптоаналитику известно семейство используемых криптообразований

2. Известны априорные вероятности выбора ключей;

3. Известны априорные вероятности передаваемых сообщений;

Способы изображения криптосистем

M4

E4

M3

E3

E3

M2

M1

E2

E1

M2

M1

E2

E1

(а) Замкнутая система

(б) Незамкнутая система

Рис. 2. Примеры изображения криптосистем

Система называется замкнутой, если для каждого ключа и каждого сообщения каждой криптограммы выходит

ровно одна линия.

2. Введение в математическую структуру симметричных криптосистем

Примеры криптосистем

Шифр Виженера: A - алфавит; #A = n (мощность)

A = {a0, . . . an−1}

K = {k0, . . . ki}

M = {m0, . . . mj }, j >> i

(2.9)

(2.10)

(2.11)

Латинский алфавит n = 26 k = GAH

Сообщение:

NOWISTHE

Ключ:

GAHGAHGA

ei = mi + ki

mod n

(2.12)

Криптограмма TODOSANE

Критерии оценки криптографических систем

· Количественная оценка стоимости

· Объем ключа

· Сложности операций зашифрования и расшифрования

· Возрастание числа ошибок

· Увеличение объема сообщений

Алгебра криптосистем

Взвешенные суммы. T, R - криптосистемы, E, M - совпадают

S = pT + qR, p + q = 1

(2.13)

Криптосистема S состоит в выборе систем T или R с вероятностями p и q. Результат этого выбора является частью

ключа. Предположим, что

Тогда

T = {T1, . . . Tm|p1, . . . pm}

R = {R1, . . . Rk |q1, . . . qk }

S = pT + qR = T1, . . . Tm, R1, . . . Rk |pp1, . . . pm, qq1, . . . qk

(2.14)

(2.15)

S = p1 ∗ T + p2 ∗ R + . . . pm ∗ U,

T = p1 ∗ T1 + p2 ∗ T2 + · · · + pn ∗ Tn

(pi) = 1

(2.17)

(2.18)

Произведение

T,R-криптосистемы, причем областью значений системы R является область определения системы T:

S = R ∗ T

R(T (M )) = E

T = {Ti|p1, . . . pm}

R = {Ri|p1, . . . pn}

S = {Si|pi ∗ pj -мп-ключей}

Если Ri и Ti совпадают, то объединяется область ключей, причём ассоциативно и некоммутативно:

R ∗ (S ∗ T ) = (R ∗ S) ∗ T = R ∗ S ∗ T

В нем выполняется закон взвешанного произведения:

p ∗ (p ∗ T + q ∗ R) + q ∗ S = p ∗ p ∗ T + p ∗ q ∗ R + q ∗ S

Право- и лево-сторонние дистрибутивные законы:

(2.19)

(2.20)

(2.21)

(2.22)

(2.23)

(2.24)

(2.25)

(2.16)

4

2.1. Клод Шеннон.

Теория связи в секретных системах (1949)

T ∗ (p ∗ R + q ∗ S) = p ∗ T ∗ R + q ∗ T ∗ S

(p ∗ R + q ∗ S) ∗ T = p ∗ R ∗ T + q ∗ S ∗ T

p1 ∗ T + p2 ∗ T + p3 ∗ R = (p1 + p2) ∗ T + p3 ∗ R

(2.26)

(2.27)

(2.28)

Криптосистема называется эндоморфной, если пространства M и E тождественны, т.е. она отображает один ал-

фавит в другой. Эндоморфные системы можно возводить в степень. Криптографическая система T , произведение

которой на саму себя равно T , называется эдемпотентной. Примером эдемпотентной системы является система Ви-

женера.

Утверждение. Множество эндоморфных шифров с одним и тем же пространством сообщений и двумя операци-

ями комбинирования, операцией взвешенного сложения и операцией умножения образуют линейную ассоциативную

алгебру с единицей, с той лишь особенностью, что коэффициенты во взвешенном сложении должны быть неотрица-

тельными, а их сумма должна равняться единице. Допустим:

T = p1 ∗ A + p2 ∗ B+, . . . + pn ∗ S + p ∗ X

i

pi = 1

(2.29)

где A, B, . . . S

известные значения, X

неизвестные.

Чистые и смешанные шифры

Чистым называется шифр, для которого произведение любых двух отображений из множества равно третьему

отображению:

T = {Ti|pi ↔ Ti ∗ Tj = Tk }

R = p ∗ S + q ∗ T, p + q + 1

Для смешанного шифра выполняется следующее:

Ti ∗ Tj−1 ∗ Tx = Ts

(2.30)

(2.31)

(2.32)

Теорема

В чистом шифре операций Ti−1 ∗ Tj отображает пространство различных сообщений в себя и образует группу,

порядок которой равен M - числу различных ключей.

Ti−1 ∗ Tk ∗ Tk ∗ Tj = I

Ti−1 ∗ Tj ∗ Tk ∗ Tl = Ts ∗ Tk ∗ Tk ∗ Tl

= Ts ∗ Tl

В этом выражении предполагается, что Ti−1 ∗ Tj = Ts ∗ Tk для некоторого S.

Теорема

Произведение двух чистых коммутирующих шифров является чистым шифром. Коммутирующие шифры

ры, для которых выполняется закон коммутативности.

(2.33)

Доказательство: T и R

коммутирующие⇒

Ti ∗ Rj = Rl ∗ Tm;

∀i, j∃l, m : Ti ∗ Rj ∗ (Tk ∗ Rl )−1 ∗ Tm ∗ Rn =

−1 −1

= Ti ∗ Rj ∗ Rl ∗ Tk ∗ Tm ∗ Rn

= Ru ∗ Rv ∗ Rw ∗ Tr ∗ Ts ∗ Tt

= Rh ∗ Tg

(2.34)

(2.35)

Теорема

В чистой системе сообщение можно разделить на множество остаточных классов C1 . . . Cs, а криптограммы - на

соответствующее множество остаточных классов C1 . . . Cs. Эти классы будут иметь соответствующие свойства:

1. Остаточные классы сообщений взаимно исключают друг друга и содержат все возможные сообщения. утвержде-

ние верно и для криптограмм.

2. Если зашифровать любое значение из класса Ci с помощью любого ключа, то получится криптограмма из класса

Ci . Расшифрование любой криптограммы из класса Ci с помощью любого ключа приводит к сообщению из класса

Ci

3. Число сообщений в классе Ci с каждым ϕi равно числу криптограмм в классе Ci и является делителем k - числа

ключей

4. Каждое сообщение из класса Ci может быть зашифровано каждой криптограмой из класа Ci при помощи точно

k/ϕ различных ключей. То же самое верно и для расшифрования.

−1 −1

шиф-

−1

−1

−1

−1

−1

−1

5