10.2. Математические модели шифров. Расстояние единственности. Совершенные по Шеннону шифры.

Шифр замены – простейший и наиболее популярный шифр. Типичный пример – шифр Цезаря, «цифирная азбука» Петра Великого, «пляшущие человечки» А. Конан Дойла. Осуществляет преобразование замены букв или других «частей» открытого текста на аналогичные «части» шифрованного текста. Математическое описание: X и Y – два алфавита (открытый и шифрованный), состоящие из одинакового количества символов. Пусть g: X → Y ‑ взаимооднородное отображение X в Y. Тогда действие шифра простой замены: открытый текст x1, x2,…, xn преобразуется в шифрованный g(x1), g(x2),…, g(xn).

Шифр перестановки: Открытый текст разбивается на отрезки равной длины и каждый шифруется независимо. Пусть длина отрезков равна n и σ – взаимооднозначное отображение множества {1,2,…,n} в себя. Тогда шифр перестановки: отрезок открытого текста x1…xn преобразуется в отрезок шифрованного xσ(1)…xσ(n) .

Абсолютно стойкий шифр (форма так называемой ленты однократного использования), в котором открытый текст объединяется с полностью случайным ключом такой же длины был выведен К.Шенноном с помощью теоретико-информационного метода исследования шифров.

Типичный и наиболее простой – шифр Вернама, который осуществляет побитовое сложение n-битового открытого текста и n-битового ключа: yi=xi(+)ki, где i=1…n ; x1…xn – открытый текст, y1…yn – зашифрованный текст.

Требования: 1) полная случайность ключа; 2) Равенство длины ключа и длины открытого текста; 3) Однократность использования ключа. Необходимо выполнение сразу 3-х условия одновременно.

Расстояние единственности шифра - такое значение n, при котором функция ненадежности, то есть неопределенность ключа становится близкой к 0.

U(E) = n, где n -минимальное из тех, для которых f(n)≈0

Шеннон показал, что обе величины зависят от избыточности открытого текста, расстояние единственности прямо пропорционально размеру ключа и обратно пропорционально избыточности: , где избыточность исходного текста R определяется следующим соотношением:

Сказанное означает, что полностью устранив избыточность открытого текста, мы сделаем невозможным его однозначное дешифрование на основе знания только соответствующего шифротекста, даже если в распоряжении криптоаналитика имеются неограниченные вычислительные возможности. При этом неопределенность исходного текста будет равной неопределенности, и, следовательно, размеру ключа:

H( T ) = H( K ) = | K |

Полное отсутствие избыточности в исходном тексте означает, что какой бы не взяли ключ, после расшифрования получим "корректные" исходные данные, и оснований предпочесть один вариант другому просто не будет. Следовательно, в реальной практике перед зашифровыванием данные весьма полезно "ужать" каким-либо архиватором. Полная безизбыточность исходного текста при этом недостижима, однако такое "ужатие" очень сильно затруднит криптоанализ на основе только шифротекста.

Аналогичные числовые характеристики стойкости шифра можно получить и для ситуации, когда в распоряжении криптоаналитика есть не только шифротекст, но и соответствующий открытый текст. Они уже не будут зависеть от избыточности исходных сообщений. В этом случае расстояние единственности шифра имеет порядок размера его ключа, то есть весьма мало. В силу указанных причин такой шифр легко вскрывается при неограниченных вычислительных ресурсах аналитика, и при проектировании стойких шифров на первый план выступают уже совершенно другие принципы.