Теоретическая стойкость шифров.

При анализе теоретической стойкости шифров отвлекаются от объема реальных затрат на дешифрование. Основным критерием является возможность получения на основе шифртекста вероятностной информации об открытом тексте или используемом ключе. Для теоретически стойких (совершенных) шифров сама задача дешифрования становится бессмысленной. Никакой метод криптоанализа, включая полный перебор ключей, не позволяет не только определить ключ или открытый текст, но даже получить о них какую либо информацию (за исключением длины открытого текста).

Априорная вероятность открытого текста – безусловная вероятность.

Апостериорная вероятность открытого текста – вероятность (по шифртексту) при условии использования соответствующего шифра.

Стойкость по отношению к атаке на основе единственного шифртекста. К. Шеннон назвал шифр совершенным, если шифртекст не дает никакой вероятностной информации об открытом тексте на языке. на языке вероятностной модели , определение совершенного шифра выражается следующим образом:

Определение. Назовем шифр _в совершенным, если для любых x  X, y  Y выполняется равенство

p(x / y) = p_X(x).

Утверждение. Если шифр _в – совершенный, то

|X| ≤ |Y| ≤ |K|.

Теорема (К. Шеннон). Пусть _в – шифр, для которого |X| = |Y| = |K|. Тогда шифр _в – совершенный тогда и только тогда, когда выполняются два условия:

1. Для любых x  X, y  Y существует единственный ключ k  K, для которого

E_k(x) = y;

2. Распределение вероятностей P(K) – равномерное, то есть для любого ключа

По сути, теорема описывает шифры табличного гаммирования со случайными равновероятными ключами.

Практическая стойкость шифров.

Раздел практической стойкости рассматривает атаки на шифры не являющиеся совершенными.

Центровым понятием в практической стойкости по Шеннону является рабочая характеристика шифра, представляющая собой средний объем работы W(N), необходимый для определения ключа по криптограмме, состоящей из N букв, причем N>L₀ (объем перехвата перевалил за расстояние единственности), измеренный в удобных элементарных операциях.

Ценность большинства данных со временем снижается, поэтому важно, чтобы рабочая характеристика шифра превышала по стоимости защищаемую информацию.

Ларс Кнудсен классифицировал сложность взлома алгоритмов по нескольким категориям:

• Полное вскрытие. Криптоаналитик находит ключ k, такой, что D_k(x)=y.

• Глобальная дедукция. Криптоаналитик находит альтернативный алгоритм A, эквивалентный D_k(x) без знания k.

• Случайная (или частичная) дедукция. Криптоаналитик находит (крадет) открытый текст для перехваченного шифрованного сообщения.

• Информационная дедукцияю Криптоаналитик добывает некоторую информацию о ключе или открытом тексте. Такой информацией могут быть несколько битов ключа, сведения о форме открытого текста и пр.

Алгоритм безусловно стоек, если восстановление невозможно при любом объеме шифртекста, полученного криптотаналитиком. На поверку безусловно стойки только одноразовые блокноты. Все остальные криптосистемы теоретически можно вскрыт методом грубой силы (прямой подбор ключа, лобовая атака).

Вычислительная стойкость по отношению к лобовой атаке зависит от длины ключа. Некоторые оценки стойкости см. приложение 1.

Вопросами вычислительной стойкости по отношению к другим методам криптоанализа (вероятностный, линейный, дифференциальный и пр.) занимается теория сложности вычислений. Подробное ее рассмотрение выходит за рамки данного курса.