16.3. Комбинирование регистров сдвига. Регистры с контролируемым движением.
При построении криптосхем применяются различные комбинации регистров сдвига с линейными обратными связями. Наиболее часто встречаются узлы, называемые комбинирующими генераторами и (нелинейными) фильтр-генераторами.
У комбинирующих генераторов в каждом такте работы очередные элементы выходных последовательностей нескольких регистров сдвига поступают на вход некоторой функции. Значение этой функции является выходом генератора (элементом гаммы).
Нелинейные фильтр-генераторы генерируют выходную последовательность как нелинейную функцию от состояний одного и того же регистра.
гамма Регистр
2 Регистр
k F
РСЛОС гамма F Регистр
1 . .. . Комбинирующий
генератор
Фильтр - генератор
В свою очередь, при объединении в криптосхему целые узлы, либо их части могут влиять друг на друга, изменяя заполнения некоторых регистров, а также управляя их движением. Обычно регистры сдвига изменяют свое состояние регулярно, продвигаясь по орбите на один шаг в течение такта работы генератора. Если же движение регистра в течение такта работы генератора зависит от состояния схемы, то такое движение называется управляемым. Неравномерное движение регистров, как правило, существенно усложняет выходную последовательность.
Кроме регистров сдвига с линейными обратными связями в криптографии используются регистры сдвига с нелинейными функциями обратной связи, в том числе не обязательно с двоичными элементами. В наиболее общем случае функция обратной связи задается таблично.
Необходимо учитывать, что теория регистров сдвига с нелинейными функциями обратной связи разработана недостаточно. При обосновании выбора конкретного типа нелинейной связи могут возникнуть существенные трудности.
Даже в случае гаммы, порождаемой РСЛОС, практически приемлемого решения задачи восстановления точек съема обратной связи и начального заполнения по шифртексту, для больших длин регистров и реальных длин сообщений, в общем случае, не найдено
16.4. Фильтр-генераторы и булевы функции.
Функция
,
участвующая в схеме фильтр-генератора
называется функцией усложнения. Для
двоичных регистров сдвига эта функция
является булевой.
Анализ
стойкости криптосхем, основанных на
комбинировании регистров сдвига
естественным образом приводит к
необходимости исследования математических
свойств булевых отображений, под которыми
понимаются отображения
(
)
конечномерных векторных пространств
над полем
из двух элементов.
Интуитивно очевидна необходимость использования в криптографических приложениях отображений, преобразующих последовательности своих аргументов наиболее сложным, хаотическим образом.
На практике данный подход приводит к двум взаимосвязанным задачам: определить, какие формальные свойства отображений определяют его желаемую сложность (качество), а также указать эффективный алгоритм псевдослучайного выбора отображения, обладающего требуемыми свойствами.
Таблица,
представляющая булеву функцию
,
состоит из строк вида
,
причем наборы аргументов
лексикографически упорядочены. Крайний
правый столбец таблицы называется
вектором значений функции
.
Количество булевых функций равно
количеству векторов значений, т.е.
.
Заметим,
что в упорядоченном списке аргументов
любые
фиксированных столбцов содержат все
-мерные
двоичные наборы. Полная совокупность
таких наборов встречается в указанных
столбцах
раз.
Обозначим
количество единиц в векторе значений
через
.
Величина
называется весом булевой функции.
При
равновероятном и независимом выборе
аргументов булевой функции
вероятности ее значений, равных единице
и нулю соответственно равны
,
.
Как
меру различия между булевыми функциями
и
от
переменных удобно использовать количество
покоординатных несовпадений в векторах
их значений. Данная мера
называется расстоянием Хэмминга между
функциями
и
.
Расстоянием
Хэмминга от функции
до заданного множества функций
называется значение
.
Исследование свойств таблиц, представляющих булевы функции, часто оказывается целесообразным при анализе их криптографических свойств, т.к. комбинаторные связи между подмножествами аргументов и значениями функций становятся более очевидными.
Широко известным свойством булевых отображений, важным для криптографических приложений, является равновероятность (сбалансированность, уравновешенность).
Это
свойство заключается в том, что все
элементы области значений имеют прообразы
и эти прообразы имеют одинаковую
мощность, т.е. для любого
.
Вектор значений равновероятной булевой функций, таким образом, содержит одинаковое число нулей и единиц.
Свойством
равновероятности обладают т.н. линейные
функции
вида
,
где
- вектор коэффициентов,
.
Очевидно,
равновероятными являются также аффинные
функции вида
,
где
.
Практика показывает, что криптографические преобразования, обладающие свойствами близкими к свойствам линейных функций, во многих случаях приводят к существенному снижению стойкости шифров. По этой причине в криптографии важное значение имеют функции, свойства которых исключают слабости, присущие функциям, близким к линейным.
Таким образом, желательным качеством функции является ее нелинейность, понимаемая в широком смысле: как отрицание линейности.
Конкретная трактовка нелинейности, реально определяющая тот или иной класс функций, может быть различной.
Например, требуется, чтобы функция усложнения имела максимально возможное, при прочих условиях, расстояние Хэмминга до множества аффинных функций.
Другим требованием является отсутствие статистических связей между битами входа и выходом функции. Например, требование корреляционной иммунности.
Функция
является корреляционно иммунной порядка
,
если для любой совокупности
номеров
переменных
,
,
при любых значениях
выполняется соотношение
.
Из
определения следует, что для такой
функции никакое подмножество
переменных не обладает особенностями,
позволяющими сузить множество их
возможных значений, исходя из распределения
.
Обычно, функция усложнения удовлетворяет целой совокупности критериев нелинейности.