13. Табличное и модульное гаммирование. Случайные и псевдослучайные гаммы.

Исторически первый шифр гаммирования совпадал, по сути, с шифром Виженера, однако без использования самой таблицы Виженера (таблица Виженера представляет со­бой квадрат, каждая строка и каждый столбец которого — некоторая перестановка знаков данного алфавита). Произвольная такая таблица называется латинским квадратом. Шифр табличного гаммированияв алфавитеА = {а₁,...,а_п} определяется произвольным латинским квадратом L на А и способом получения последовательности букв из А, называемой гаммой шифра. Буква а_iоткрытого текста под действием знака гаммы а_jпереходит в букву а_кшифрованного текста, содержащуюся в j-й строке и i-м столбце квадрата L(подразумевается, что строки и столбцы в Lзанумерованы в соответствии с порядком следования букв в алфавите А).

С алгебраической точки зрения буква а_кесть результат применения к буквам а_iи а_jквазигрупповой операции *, табличным заданием которой является латинский квадрат L: В случае шифра Виженера квазигруппа (А*) является группой (Z_n,+) . При этом уравнение шифрования имеет вид , a{γ_i} представляет собой периодическую последовательность, образованную повторением некоторого ключевого слова.

Наряду со сложением используется и вычитание знаков гаммы. Соответствующие уравнения шифрования принимают вид

Шифры гаммирования с уравнениями шифрования (1) — (3) обычно называют шифрами модульного гаммирования. Если в качестве квазигрупповой операции * на множестве 5-мерных двоичных векторов используется операция покоординатного сложения по модулю 2:

то получаем шифр Вернама.

Шифры гаммирования, определяемые уравнениями (3) и (4), замечательны тем, что при их применении для зашифрования и расшифрования требуется лишь один узел. В самом деле, знаки открытого текста находятся из тех же уравнений при взаимной замене а_iна b_i. Такие шифры обычно называют обратимыми.

Криптоанализ произвольного шифра табличного гаммирования во многом схож с криптоанализом шифра модульного гаммирования. Занумеруем буквы алфавита А числами от 0 до n-1 и воспользуемся формальными моделями рассматриваемых последовательностей . Пусть р_i,r_iи s_i— вероятности появления знака i в открытом тексте, гамме и в шифрованном тексте соответственно. Тогда задание вероятностных распределений на знаках открытого текста и гаммы индуцирует распределение вероятностей знаков шифртекста по формуле

в которой разность j - iберется по модулю п. Легко проверить, что

Из формулы (5) следует, что если r_i=1/nпри всех i = , то и s_j = 1/nпри всех j = .

Это означает, что при зашифровании открытого текста равновероятной гаммой получается шифртекст, вероятностные свойства которого не отличаются от самой равновероятной гаммы. Это обстоятельство не оставляет шансов криптоаналитику использовать диаграмму по­вторяемости букв открытого текста, поскольку при наложении гаммы эта информация как бы стирается. Поэтому на практике стремятся к тому, чтобы по своим вероятностным свойствам гамма была близка к случайной равновероятной последовательности.