12. Поточные шифры замены.
Как отмечалось ранее, класс блочных шифров наряду с достоинствами имеет определенные недостатки. Один из них связан с эффектом размножения ошибок, снижающим эксплуатационные качества шифра. Еще один недостаток блочных шифров в режиме простой замены связан с возможностью применения метода анализа "со словарем". Такими недостатками не обладают поточные шифры, осуществляющие позначное шифрование в алфавитах небольшой мощности. Кроме того, существующая практика показывает, что пока лишь поточные шифры обеспечивают максимальные скорости шифрования. Это важно при магистральном шифровании больших потоков информации. Эти, а также многие другие соображения делают поточные шифры в некоторых ситуациях более предпочтительными, чем блочные.
При использовании поточных шифров простой замены потеря отдельных знаков шифрованного текста при передаче по каналу связи приводит лишь к локальным потерям: все знаки шифртекста, принятые без искажений, будут расшифрованы правильно. Это объясняется тем, что алгоритм шифрования не зависит ни от расположения знаков в тексте, ни от их конкретного вида.
Многоалфавитные поточные шифры также не размножают ошибок при искажении отдельных знаков шифрованного текста, но оказываются неустойчивыми к пропускам знаков шифрованного текста, поскольку это приводит к неправильномурасшифрованию всего текста, следующего за пропущенным знаком. Учитывая наличие помех практически во всех каналах передачи данных, в системах криптографической защиты, использующих поточное шифрование, приходится заботиться о согласованном порядке применения преобразований при зашифровании и расшифровании, другими словами, решать проблему синхронизации процедур зашифрования и расшифрования.
По способу решения этой проблемы поточные шифрсистемы делят на синхронные и системы с самосинхронизацией. Для синхронных поточных шифрсистем выбор применяемых шифрующих преобразований однозначно определяется распределителем и зависит только от номера такта шифрования. Примерами синхронных систем являются регистры сдвига с обратной связью, дисковые шифраторы или шифрмашинаБ.Хагелина. Поточные шифрсистемы с самосинхронизацией имеют возможность производить правильноерасшифрование и в том случае, когда синхронизация передающего и приемного шифраторов нарушается вследствие потери знака шифртекста. Наиболее распространенный режим использования шифрсистем с самосинхронизацией — это режим обратной связи по шифртексту, при котором текущее состояние системы зависит от некоторого числа N предыдущих знаков шифртекста.
В силу ряда естественных причин, связанных с простотой реализации и необходимостью достижения высоких скоростей шифрования, наибольшее распространение получили шифры, осуществляющие побуквенное зашифрование с помощью некоторого множества подстановочных преобразований алфавита открытых сообщений. Другими словами, речь идет об эндоморфных поточных многоалфавитных шифрах замены с множествами шифрвеличин и шифробозначений, совпадающими с алфавитом открытых сообщений.
Для построения многоалфавитного поточного шифра замены необходимо указать его распределитель, определяющий порядок использования шифрующих преобразований, и сами эти преобразования, то есть простые замены, составляющие данный шифр замены.
Правило
зашифрования формулируется следующим
образом. ПустьА
—
алфавит открытых сообщений, совпадающий
с множествами шифровеличин и
шифробозначений, {φa:
А→А}
—
совокупность из r
биекций множества А,
х=a1,a2,…al,
— произвольный
открытый текст, k
Є К
—выбранный
ключ зашифрования. Пусть
является распределителем, отвечающим
данным значениям k
Є К,
l
Є N,
где
—
некоторое отображение в множество
Nr=[1,2,...,r}.
Тогда правило зашифрованияЕk(х)
определяется
формулой Еk(х)=
у,
где у=b1,b2…bl
и
.
Таким образом, задача построения рассматриваемого шифра сводится к выбору множества шифрующих преобразований {φa} и отображения ψ, задающего распределитель.
В соответствии со сказанным выше, поточнаяшифросистема представляется в виде двух основных блоков, отвечающих за выработку распределителя и собственно зашифрование очередного знака открытого текста. Первый блок вырабатывает последовательность номеров шифрующих преобразований, то есть фактически управляет порядком процедуры шифрования. Поэтому этот блок называют управляющим блоком, а вырабатываемую им последовательность номеров преобразований—управляющей последовательностью (или управляющей гаммой). Второй блок в соответствии со знаком управляющей последовательности реализует собственно алгоритм зашифрования текущего знака. В связи с этим этот блок называют шифрующим блоком. Под номером преобразования следует понимать некий набор символов, достаточный для однозначной идентификации преобразования и удобный с точки зрения практической реализации шифра.
Сформулируем ряд требований, обычно предъявляемых к блокам поточнойшифрсистемы, нарушение которых приводит к появлению аналитических или статистических слабостей алгоритма шифрования, снижающих его стойкость.
Требования к управляющему блоку:
период управляющей гаммы должен превышать максимально возможную длину открытых сообщений, подлежащих шифрованию;
статистические свойства управляющей гаммы должны приближаться к свойствам случайной равновероятной последовательности;
в управляющей гамме должны отсутствовать простые аналитические зависимости между близко расположенными знаками;
криптографический алгоритм получения знаков управляющей гаммы должен обеспечивать высокую сложность определения секретного ключа.
Требование к шифрующему блоку:
применение алгоритма шифрования должно носить универсальный характер и не зависеть от вида шифруемой информации.
Иногда выдвигается дополнительное требование:
— способ построения шифрующего блока должен обеспечивать криптографическую стойкость шифра при перекрытиях управляющей гаммы, в частности при повторном использовании ключей.
Заметим, что выполнение перечисленных требований является необходимым, но не достаточным условием криптографической стойкости поточного шифра.