Лекция 16. Потоковые шифры.

16.1.Общие сведения о потоковых шифрах.

Потоковым шифром называется система, в которой на каждом такте используется переменный, выбираемый с помощью элементов ключевого потока, алгоритм шифрования.

Ключевой поток определяется исходными ключевыми данными и номерами тактов шифрования, вплоть до рассматриваемого.

Одной из особенностей потоковых шифров является то, что число параметров, влияющих на их стойкость, существенно больше, чем для блочных шифров.

В процессе внедрения и эксплуатации криптосистемы используется документация, содержащая описания, инструкции и контрольные примеры. В документацию, в частности входит описание системы шифрования, в которой описываются алгоритмы шифрования и расшифрования, иерахия ключей, их использование при шифровании-расшифровании, а также процедуры ввода открытого текста и вывода текста шифрованного.

Обычно криптоалгоритм представляется в виде графической схемы и ее описания. По традиции, графическое представление криптоалгоритма называется криптосхемой, а ее описание – описанием криптосхемы.

Криптосхемы состоят из элементов – криптоузлов, которые могут объединяться в блоки.

В описании криптосхемы дается также механизм взаимодействия узлов.

В совокупности, представленных данных должно быть достаточно для создания программной модели криптосистемы и ее тестирования на контрольных примерах.

Криптосхемы потоковых шифров создаются на основе комбинирования криптоузлов со специфическими характеристиками. По этой причине при их синтезе необходимо учитывать не только угрозу дешифрования для известных типов криптоатак, но и возможность т.н. компрометации шифра.

Необходимость введения этого понятия связана с тем, что в ряде ситуаций возможность дешифрования сообщений злоумышленником не исключается, но и не является неизбежной.

Неформально, шифр называется скомпрометированным, если, с достаточно малой вероятностью ошибки, криптоаналитик определяет, получена ли заданная последовательность символов в результате зашифрования конкретным шифром, либо нет.

Хотя суть понятия компрометации состоит в том, что неудачный выбор некоторых параметров часто позволяет идентифицировать шифр по шифрованному тексту, на практике возможность компрометации шифра оценивается как предпосылка к существованию неизвестных разработчику криптоатак, специфических для данной шифрсистемы.

Шифр может быть скомпрометирован в той или иной мере. Подобная оценка является качественной и рассматривается в пределах от определения типа шифра до вскрытия отдельных параметров узлов и элементов ключевой системы. Задача обычно сводится к выявлению в шифртексте наличия особенностей, присущих искаженной выходной последовательности какого-либо криптоузла. Для решения подобных задач обычно используется статистический подход, комбинируемый с методами оптимизации.

16.2. Общие свойства регистра сдвига с линейной обратной связью.

В криптосхемах потоковых шифров широко применяются криптоузлы, основанные на т.н. регистрах сдвига с обратной связью.

Регистр сдвига с обратной связью состоит из двух частей: регистра сдвига и функции обратной связи.

Двоичный регистр сдвига – это последовательность битовых ячеек. Их количество называется длиной регистра. Во время работы содержимое ячеек изменяется. Исходное состояние регистра называется его начальным заполнением. Содержимое ячейки называется разрядом (с соответствующим номером).

В результате одного такта работы регистра генерируется один бит. Новый бит вычисляется как функция от битов, выбираемых из ячеек регистра с заранее определенными номерами. Указанные ячейки называются ячейками обратной связи, а функция – функцией обратной связи. Номера ячеек обратной связи называются точками съема обратной связи.

В такте работы вычисляется значение функции обратной связи, затем регистр сдвигается, скажем, влево, теряя левый крайний разряд и освобождая крайнюю правую ячейку. В эту ячейку помещается значение функции обратной связи. Выходом регистра является бит, снятый с фиксированной (обычно, с крайней правой) ячейки.

В потоковых шифрах генераторы гаммы, в большинстве случаев, состоят из типичных узлов, основанных на комбинациях регистров сдвига и функциях усложнения.

Наиболее простым узлом является т.н. регистр сдвига с линейными обратными связями (РСЛОС), генерирующий рекуррентную последовательность вида .

Пример развертки РСЛОС с рекуррентным соотношением :

1100011011101010000100101100111110001101110101000010010

Здесь n=5 – длина регистра (количество элементов в начальном заполнении), 0, 2 – параметры рекуррентного закона (точки съема обратной связи регистра).

Подобные последовательности периодические. При соответствующем выборе параметров РСЛОС можно достичь максимально возможных значений периода равных .

Непосредственно для генерации гаммы РСЛОС не подходят. На практике применяются комбинации зависимых РСЛОС, взаимно влияющих на формирование своих последовательных заполнений.

Проиллюстрируем суть понятия компрометации шифра на элементарном примере.

Предположим, что криптосхема потокового шифра гаммирования по модулю два генерирует гамму как выход с РСЛОС, а ключом является начальное заполнение. В этом случае шифртекст является искаженной рекуррентной последовательностью и задача дешифрования сводится к восстановлению начального заполнения регистра.

Что касается компрометации шифра, то соответствующим тестом может быть решение другой задачи, а именно, задачи восстановления точек съема обратной связи.

В этом случае, при положительном результате тестирования нельзя утверждать, что узел является РСЛОС.

Действительно, тестирование показывает лишь наличие линейной составляющей в шифртексте или выходной последовательности узла.

Например, в последовательности последнее слагаемое равно нулю с вероятностью и может быть незаметным на фоне искажений, вносимых в рекурренту битами открытого текста.

С точки зрения определения наличия линейной составляющей, линейная и нелинейная рекурренты неразличимы, но в обоих случаях выявляется наличие в криптосхеме типового узла.