ББК 32.8166 351
Зубов А.Ю. 351 Совершенные шифры: Вступительное слово чл.-корр. РАН Б.А.Севастьянова. М.: Гелиос АРВ, 2003. 160 с., ил.
ISBN 5-85438-076-5 Изложены свойства и конструкции безусловно стойких шифров,
названных К .Шенноном совершенными по отношению к различным криптоатакам. Выделяются совершенные шифры с минимально воз-можным числом ключей, а также стойкие к попыткам обмана со сто-роны злоумышленника.
Для научных работников, аспирантов, специализирующихся в области математических проблем криптографии, преподавателей и студентов, изучающих дисциплину “Криптографические методы за-щиты информации” по специальностям “Компьютерная безопас-ность”, “Комплексное обеспечение безопасности автоматизирован-ных систем”, “Информационная безопасность телекоммуникацион-ных систем”.
ББК 32.8166 Зубов Анатолий Юрьевич Совершенные шифры Заведующая редакцией Т. А. Денисова Корректор Е. Н. Клитина ЛР 066255 от 29.12.98. Издательство “Гелиос АРВ”. www.gelios-arv.ru 107140, Москва, Верхняя Красносельская, 16. Тел. (095)264-44-39, e-mial: [email protected] Формат 84×108/32. Бумага офсетная. 5 п. л. Тираж 2000 экз. Заказ 2243. Отпечатано с готовых диапозитивов в РГУП “Чебоксарская типография 1”. Адрес типографии: 428019, г. Чебоксары, пр. И. Яковлева, 15. Зубов А. Ю., 2003 ISBN 5-85438-076-5 Оформление. Шачек Е.С., 2003
3
Вступительное слово
В приложениях математики обычно сначала строят мате-матическую модель исследуемого объекта. Затем эта модель изучается математическими методами. Выводы из получен-ных результатов будут правильными, если математическая модель правильно отражала основные свойства объекта.
В криптографии при применении математических мето-дов необходимо использовать ту или иную модель открытой информации. Например, для чтения перехваченного зашиф-рованного с помощью простой замены длинного текста доста-точно знать частоты букв того языка, на котором был написан открытый текст. Если длина криптограммы была сравнитель-но небольшой, то для ее чтения может понадобиться уже ста-тистика биграмм, триграмм и т.д. В конце концов всегда ис-пользуется так называемая “читаемость открытого текста”, которая в математической модели никак не определяется. Ис-пользование какой-либо модели является слабым звеном лю-бого анализа стойкости шифрсистемы. В работах К .Шеннона в середине 20-го века было показано, что существуют совер-шенные шифры, которые не поддаются дешифровке никаким способом. Это утверждение математически доказано и спра-ведливо при любой модели языка. В частности, таким являет-ся гаммирование с помощью равновероятной гаммы.
В книге А .Ю . Зубова дается подробное изложение тео-рии совершенных шифров. Описываются различные классы совершенных шифров, в частности имитостойкие совер-шенные шифры и шифры, стойкие к шифратакам, осно-ванным на совокупности нескольких шифртекстов, полу-ченных на одном ключе.
В книге широко используются многие комбинаторные и алгебраические структуры (латинские квадраты и прямо-угольники, блок-схемы, ортогональные массивы, группы, ква-зигруппы, векторные пространства над конечными полями).
4
Тематика этой книги до сих пор не была достойно отра-жена в многочисленных изданиях, которые в последнее время выходили на русском языке. Полагаю, что книга будет полез-на специалистам в области защиты информации.
Б.А.Севастьянов, член-корреспондент РАН,
действительный член Академии криптографии РФ
5
Введение
В 40-х годах прошлого века К .Шеннон, разрабатывая теорию криптографической стойкости, ввел понятие совер-шенного шифра как шифра, обеспечивающего наилучшую защиту ([Шен63]). Определение совершенного шифра потре-бовало математической формализации задачи, отвечающей интуитивному представлению о том, что лучший шифр дол-жен создавать для оппонента наиболее неблагоприятные ус-ловия для криптоанализа. Имеется в виду, что сведения об открытом тексте, которые криптоаналитик мог бы получить на основе изучения перехваченной криптограммы, не должны отличаться от общеизвестной априорной информации об от-крытом тексте. К .Шеннон характеризовал шифры, являю-щиеся совершенными по отношению к криптоатаке на основе одного шифртекста. Таковыми оказались, например, шифры гаммирования со случайной равновероятной гаммой, к числу которых относится шифр Вернама, известный также под на-званием одноразовый шифр-блокнот (по-английски One Time Pad).
Совершенный шифр особенно хорош тем, что для него невозможен полный перебор ключей с целью определения открытого текста по известной криптограмме. Например, при попытке перебрать все n2 возможных ключей шифра Вер-нама (при наличии криптограммы длиной в n бит) крипто-аналитик получит вместе с истинным открытым текстом и все другие осмысленные открытые тексты той же длины. Выб-рать же из них нужный открытый текст не представляется возможным. Метод шифрования, который предлагает шифр Вернама, можно было бы считать идеальным, если бы не один серьезный недостаток слишком большой расход ключевой информации. Конечно, современные технические средства позволяют обеспечить хранение большого объема ключей, используя, например, лазерные диски. Однако реализация
Введение
6
данного метода при шифровании больших объемов открытого текста будет слишком дорогой и неудобной. Например, чтобы обеспечить шифрование изображения со спутника-шпиона, необходимо будет отправить в космос целый контейнер с не-сколькими тысячами дисков. Большие трудности возникают также при попытке объединить в сети связи большое коли-чество абонентов. Ведь в этом случае необходимо иметь воз-можность быстро получать доступ к любому ключу любого пользователя (которых может быть несколько тысяч)1). Таким образом, на практике, как правило, приходится довольст-воваться шифрами, которые не являются совершенными. Тем не менее в тех случаях, когда наиболее важна секретность, а объем текста невелик (как, например, в “горячей линии” Москва−Вашингтон2)), совершенным шифрам следует отдать предпочтение.
В некоторых книгах по криптографии на русском языке, появившихся в 90-е годы, не вполне корректно утверждается, что шифр Вернама является единственным совершенным шифром. Это утверждение становится почти правильным, если ограничиться рассмотрением лишь совершенных шиф-ров с минимально возможным числом ключей. В общем же случае утверждение о единственности совершенного шифра совсем неверно. Более того, существуют совершенные шифры с неравновероятными ключами. Подчеркнем также, что со-вершенные шифры являются таковыми лишь в совершенно определенных условиях. Тот же самый шифр Вернама являет-ся нестойким к криптоатакам на основе нескольких крипто-грамм, полученных на одном ключе. Этот шифр потому и “одноразовый”, что обеспечивает надежную защиту лишь при однократном использовании ключа, коим является случайная равновероятная гамма.
1) Хотя эта задача и сложна, но не безнадежна. Имеются спосо-бы “размножения” качественных ключей, с некоторыми из которых можно ознакомиться, например, в [Rub96].
2) Об этом указывается, например, в [Мэс88], [Бра99].
Введение__________________________________________________
7
Как мы уже отмечали, в основе рассмотрения совершен-ных шифров лежит математическая модель шифра. Имеются различные подходы к построению таких моделей (см., напри-мер, [Алф01], [Баб02], [Бра99], [Sti95]). В данной книге пред-лагается некоторая модификация модели, приведенной в [Алф01]. Она использует понятия опорного шифра, ключево-го потока, а также введение двух классов шифров с огра-ниченным ключом и с неограниченным ключом. На наш взгляд, такой подход устраняет ряд неясных вопросов, обыч-но возникающих при изложении данной темы.
После К .Шеннона понятие совершенного шифра было обобщено и для некоторых других криптоатак (см., например, [Sti88], [Soe88], [God90]). К ним относятся криптоатаки на основе совокупностей шифртекстов, полученных на одном ключе (соответствующие им совершенные шифры названы
)(LU - , )(LS - или )(LO -стойкими), а также криптоатаки на основе известного открытого текста ( )(LM -стойкие шифры).
Следует отметить, что данная тематика развивается в связи с изучением так называемых кодов аутентификации с секретностью, которые представляют собой некие формаль-ные математические модели теории аутентификации. На са-мом деле в работах на эту тему речь идет о традиционных вопросах имитостойкости шифров, коими, по сути дела, яв-ляются коды аутентификации с секретностью. В связи с этим возникает естественный вопрос: существуют ли шифры, яв-ляющиеся одновременно совершенными (в том или ином смысле) и обладающие лучшими параметрами имитостойко-сти, к которым традиционно относят вероятности имитации и подмены? Оказывается, что при определенных условиях та-кие шифры существуют.
В данной книге делается попытка разобраться во всех упомянутых нюансах и с единых позиций изложить вопросы о строении совершенных шифров. Однако, даже изучив эту книгу, читатель далеко не всегда сможет построить примеры совершенных шифров с минимально возможным числом
Введение
8
ключей для различных типов криптоатак. Дело в том, что многие результаты в этой области формулируются примерно так: если при некоторых значениях параметров существует некая комбинаторная конфигурация, то существует и совер-шенный шифр с соответствующими параметрами. В свою очередь, вопрос о существовании подобных конфигураций на сегодняшний день является открытой проблемой. Условие минимальности числа ключей существенно с точки зрения возможных практических приложений. Если же от него отка-заться, то примеры совершенных шифров (для любых рас-сматриваемых здесь криптоатак) привести несложно. Отметим также, что в книге рассматриваются в основном криптоатаки, целью которых является получение информации об открытом тексте. Лишь в дополнении речь идет о крипто-атаках, целью которых является получение информации об использованном ключе.
Кратко остановимся на содержании книги. В главе 1 указываются основные пассивные и активные
атаки, которые обычно используются в криптоанализе. В главе 2 вводится математическая модель шифра, лежа-
щая в основе всех содержательных результатов. Дается опре-деление совершенного шифра и показывается, что совер-шенным может быть лишь шифр с неограниченным ключом. Приводится характеризация К .Шеннона совершенных шиф-ров с минимально возможным числом ключей. Доказывается, что таковыми являются так называемые шифры табличного гаммирования, определяемые латинскими квадратами, и толь-ко они. Рассматриваются совершенные шифры, которые обла-дают минимальными вероятностями имитации и подмены. Эти вероятности характеризуют эффективность активных атак. Указывается связь таких шифров с математической тео-рией блок-схем.
В главе 3 строятся линейные совершенные шифры. Для них множества шифрвеличин и шифробозначений представ-ляют собой множества ненулевых элементов линейных про-
Введение__________________________________________________
9
странств над конечным полем. Предлагаются конструкции на основе линейных рекуррентных последовательностей макси-мального периода.
В главе 4 теория совершенных шифров К .Шеннона обобщается для других криптоатак. Прежде всего, изучается случай криптоатаки на основе неупорядоченной совокупно-сти шифртекстов, полученной на одном ключе. Устанавлива-ется связь конструкций изучаемых шифров с ортогональными массивами. Изучаются шифры, обеспечивающие наилучшую защиту к рассматриваемой пассивной атаке и активным ата-кам.
В главе 5 рассматриваются криптоатаки на основе упоря-доченных совокупностей шифртекстов, а также на основе упорядоченных совокупностей открытых и шифрованных текстов, полученных на одном ключе. Приводится иерархия различных понятий совершенной стойкости.
В главе 6 изучаются комбинаторные свойства шифров, обеспечивающих наилучшую защиту к атакам на основе не-упорядоченных совокупностей шифртекстов, полученных на одном ключе.
Глава 7 посвящена изучению комбинаторных свойств со-вершенных шифров для криптоатак на основе упорядоченных совокупностей текстов. Указывается связь конструкций таких шифров с кратно транзитивными множествами подстановок (в частности, групп подстановок) и латинскими прямоуголь-никами.
Почти все утверждения, приведенные в книге, были сформулированы в работах, указанных в списке литературы. Однако автора не удовлетворяло либо отсутствие доказа-тельств, либо их чрезмерная лаконичность, либо недостаточ-ная проработанность понятийной основы. Некоторые “оче-видные” утверждения автору удалось доказать лишь при некоторых дополнительных ограничениях. В предлагаемом варианте все основные утверждения доказаны и адап-тированы для понимания студентами.
Введение
10
Материал книги можно использовать для углубленного изучения теоретических основ криптографии в рамках спец-курсов (или дисциплин по выбору) будущими специалистами по защите информации. Тематика книги, на наш взгляд, по-лезна с точки зрения расширения математического кругозора читателя, поскольку в ней естественным образом возникает целый ряд алгебраических и комбинаторных объектов, таких, как группа, квазигруппа, векторное пространство, конечное поле, латинский квадрат или прямоугольник, ортогональный массив или блок-схема. В книге приводятся числовые приме-ры, позволяющие читателю лучше разобраться в данной те-матике и понять общие утверждения. От читателя требуется знание основ алгебры и теории вероятностей.
Автор выражает глубокую признательность Ф .М .Малы-шеву и Б .А .Севастьянову за конструктивную критику и ряд ценных замечаний, существенно улучшивших данную работу.
11
Гл а в а 1 Криптоатаки
Надежность или стойкость шифрования определяется
объемом работы криптоаналитика, необходимой для вскры-тия системы. Шифрсистема может служить объектом нападе-ния противника, располагающего тем или иным интеллекту-альным и вычислительным потенциалом. Возможности потенциального противника определяют требования, предъ-являемые к надежности шифрования.
Исходная информация и цели криптоаналитика могут быть разными. Несомненно, основная цель противника состо-ит в получении конфиденциальной информации. Целью напа-дения может служить также примененный секретный ключ, с помощью которого криптоаналитик может вскрывать другие криптограммы. Шифрсистема может быть невосприимчивой к одним угрозам и быть уязвимой по отношению к другим. По-пытки противника по добыванию зашифрованной информа-ции обычно называют криптоатаками.
В криптографии с секретным ключом обычно рассматри-вают следующие криптоатаки (см., например, [Алф01], [Бра99]).
• Атака на основе шифртекста: криптоаналитик распола-
гает шифртекстами myy ,...,1 , полученными из неизвест-ных открытых текстов mxx ,...,1 различных сообщений.
Требуется найти хотя бы один из ,,1, mixi = (или соот-ветствующий ключ ik ), исходя из достаточного числа m криптограмм, или убедиться в своей неспособности сде-лать это. В качестве частных случаев возможно совпаде-ние ключей: mkk == ...1 или совпадение открытых тек-стов: mxx == ...1 .
Глава 1
12
• Атака на основе известного открытого текста: крип-тоаналитик располагает парами ),(),...,,( 11 mm yxyx открытых и отвечающим им шифрованных текстов. Тре-буется определить ключ ik для хотя бы одной из пар. В частном случае, когда kkk m === ...1 , требуется опре-делить ключ k или, убедившись в своей неспособности сделать это, определить открытый текст 1+mx еще одной криптограммы 1+my , зашифрованной на том же ключе.
• Атака на основе выбранного открытого текста отлича-ется от предыдущей лишь тем, что криптоаналитик имеет возможность выбора открытых текстов .,...,1 mxx Цель атаки та же, что и предыдущей. Подобная атака воз-можна, например, в случае, когда криптоаналитик имеет доступ к шифратору передающей стороны, или в систе-мах опознавания “свой-чужой”.
• Атака на основе выбранного шифртекста отличается от второй атаки лишь тем, что криптоаналитик имеет воз-можность выбора шифртекстов myy ,...,1 . Цель атаки та же, что и во втором случае. Подобная атака возможна, например, в случае, когда криптоаналитик имеет доступ к шифратору принимающей стороны. Атаки на основе выбранных текстов считаются наиболее
опасными. Иногда к указанным атакам добавляют и другие. Шифр, выдерживающий все возможные атаки, можно при-знать стойким или надежным.
Различие в действенности криптоатак можно прокоммен-тировать на примере криптоанализа поточного шифра про-стой замены. Хотя этот шифр легко вскрываем даже при использовании атаки на основе шифртекста, это все-таки тре-бует некоторых усилий. При проведении атаки на основе из-вестного открытого текста задача становится вовсе триви-
Криптоатаки_______________________________________________
13
альной, как только в доступных открытых текстах встретятся все буквы алфавита. Наконец, при атаке на основе выбранно-го открытого текста ничего не нужно ждать, так как ключ ав-томатически получается при зашифровании всех букв алфа-вита.
При оценке эффективности любой криптоатаки обычно пользуются общепринятым в криптографии правилом Керк-гоффса (голландского криптографа XIX в.). Это правило из-ложено в книге “Военная криптография”, изданной в 1883 г. В ней сформулировано шесть следующих требований к сис-темам шифрования.
• Система должна быть нераскрываемой, если не теорети-
чески, то практически. • Компрометация системы не должна причинять неудобств
ее пользователям. • Секретный ключ должен быть легко запоминаемым без
каких-либо записей. • Криптограмма должна быть представлена в такой форме,
чтобы ее можно было передать по телеграфу. • Аппаратура шифрования должна быть портативной и та-
кой, чтобы ее мог обслуживать один человек. • Система должна быть простой. Она не должна требовать
ни запоминания длинного перечня правил, ни большого умственного напряжения.
Второе из этих правил и стало называться правилом
Керкгоффса. Суть его состоит в том, что при проведении криптоанализа можно считать известной систему шифрова-ния. Стойкость (или надежность) шифрования должна опре-деляться лишь секретностью ключа шифрования. Признание всеми этого принципа в криптографии связано с тем, что “шила в мешке не утаишь”. Рано или поздно те или иные све-дения об используемой шифрсистеме становятся известными. В военных условиях могут быть захвачены узлы связи с
Глава 1
14
шифртехникой. Может потерпеть аварию и попасть в руки противника самолет или судно, оборудованные шифрсредст-вами. Нельзя исключать предательства шифровальщика и т.п. Тем не менее шифры, используемые специальными служба-ми, всемерно охраняются. Это обусловлено необходимостью в дополнительном запасе прочности, поскольку до сих пор создание шифров с доказуемой стойкостью является очень сложной проблемой.
В [Бра99] используется термин криптосистема ограни-ченного использования для систем, стойкость которых осно-вывается на сохранении в секрете самого алгоритма шифрования. Простейшим историческим примером такой системы является шифр Цезаря. Там же вводится термин криптосистема общего использования для систем, стойкость которых основывается не на секретности алгоритма шифро-вания, а на секретности используемого ключа.
Обоснование надежности шифрсистем осуществляется, как правило, теоретически и экспериментально при модели-ровании криптоатак с привлечением группы высококвалифи-цированных специалистов, которым предоставляются благоприятные условия для работы и необходимая техника. На государственном уровне гарантию надежности криптогра-фической защиты дают уполномоченные для этой цели орга-низации. В России такой организацией является ФАПСИ. Любые средства шифрования, используемые государствен-ными организациями, должны иметь сертификат ФАПСИ.
Рассмотрение вопросов надежности шифрования невоз-можно без введения качественной и количественной мер. В криптографии рассматривают два подхода к стойкости теоретическую (или безусловную) стойкость и практиче-скую (или вычислимую) стойкость. При рассмотрении во-проса о теоретической стойкости шифров отвлекаются от реальных временных и сложностных затрат по вскрытию шифра (что определяет подход к практической стойкости). Во главу угла ставится принципиальная возможность получения
Криптоатаки_______________________________________________
15
некоторой информации об открытом тексте или использован-ном ключе. Теоретически стойкие (или совершенные) шифры характеризуются тем, что сама задача дешифрования для них становится бессмысленной. Это значит, что никакой метод криптоанализа, включая полный перебор ключей, не позволя-ет не только определить ключ или открытый текст, но даже получить некоторую информацию о них. Далее будет дано формальное определение совершенного шифра.
Указанные криптоатаки относятся к разряду пассивных атак. Так классифицируются действия потенциального про-тивника, который “пассивно изучает” передаваемые по кана-лу связи шифрованные сообщения, может их перехватить и подвергнуть криптоанализу с целью получения информации об открытом тексте или использованном ключе. Однако со-временные технические средства позволяют потенциальному противнику “активно” вмешиваться в процесс передачи сооб-щения. Обычно различают два типа активных атак, которые носят названия имитации и подмены сообщения. Атака ими-тации состоит в том, что противник “вставляет” в канал связи сфабрикованное им “шифрованное” сообщение, которое на самом деле не передавалось от законного отправителя к получателю. При этом противник рассчитывает на то, что получатель воспримет это сфабрикованное сообщение как подлинное (аутентичное). Атака подмены состоит в том, что противник, наблюдая передаваемое по каналу связи подлин-ное сообщение от отправителя, “изымает” его и заменяет под-дельным3). На активные атаки также распространяется правило Керкгоффса.
Различные шифры могут быть более или менее уязвимы-ми к активным атакам. Способность самого шифра (без ис-пользования дополнительных средств) противостоять актив-ным атакам обычно называют имитостойкостью шифра. Количественной мерой имитостойкости шифра служат веро-
3) Противник может принять свое решение на основе наблюде-ния ряда сообщений.
Глава 1
16
ятности имитации и подмены соответственно. Эти вероятно-сти определяют шансы противника на успех при навязывании получателю ложного сообщения. Имеются достижимые ниж-ние оценки этих вероятностей. Естественно считать наиболее имитостойкими шифры, для которых эти нижние оценки дос-тигаются.
Нас, в первую очередь, будут интересовать совершенные шифры с достижимыми нижними оценками вероятностей имитации и подмены.
17
Г л а в а 2 Теоретическая стойкость шифров
В данной главе излагаются основные положения теории
совершенных шифров. Систематически вопрос о теоретической стойкости шиф-
ров впервые исследовал К .Шеннон в своей фундаментальной работе [Шен63], опубликованной в 1949 г.4) В этой книге он рассматривал вероятностную модель шифра (или секретной системы) и криптоатаку на основе шифртекста. Проследим за его рассуждениями.
Как мы указывали, конечной целью работы криптоана-литика является текст сообщения или ключ шифрования. Од-нако весьма полезной может быть даже некоторая вероятностная информация об открытом тексте. Например, уже предположение о том, что открытый текст написан по-русски, предоставляет криптоаналитику априорную инфор-мацию об этом сообщении даже до того, как он увидит шиф-ртекст. Так, например, он заранее знает, что слово дорогой является более вероятным началом сообщения, чем, скажем, набор, состоящий из букв абвгдеж. Поэтому первой целью криптоанализа является увеличение количества априорной информации о каждом возможном открытом тексте таким об-разом, чтобы истинный открытый текст сделать более вероят-ным после получения шифртекста, хотя, конечно, и не обязательно точным.
Пусть, например, криптоаналитик перехватил текст мтутпти и знает (или предполагает), что он был зашиф-рован при помощи шифра простой замены. Этот шифр-
4) Известно, что основные результаты по теории секретных
систем (оформленные в виде секретного отчета) были получены К.Шенноном до 1945 г. Примерно в те же годы концепция совер-шенного шифра разрабатывалась в одной закрытой работе, выпол-ненной под руководством В.А.Котельникова (см. [Анд98]).
Глава 2
18
текст свидетельствует о том, что открытый текст состоит из семи букв, причем вторая, четвертая и шестая буквы совпа-дают друг с другом, а остальные отличны от этой буквы и попарно различны. Хотя нельзя быть уверенным, что этим словом является дорогой (это может быть еще молоток, по-толок или что-то подобное), тем не менее апостериорные вероятности таких открытых текстов возрастают относи-тельно их априорных вероятностей. Криптоаналитик, кроме того, полностью уверен (в предположении, что использова-лась именно простая замена) в том, что этот открытый текст не может быть ни словом призрак, ни словом сатирик, и, та-ким образом, апостериорная вероятность обоих этих откры-тых текстов сокращается до нуля, даже вне зависимости от их априорных вероятностей. Шеннон назвал шифр совершен-ным, если ни один шифртекст не раскрывает никаких сведе-ний о соответствующем ему открытом тексте. Это означает, что для совершенных шифров апостериорные вероятности открытых текстов (вычисленные после получения крипто-граммы) совпадают с их априорными вероятностями.
Для формализации нам понадобится математическая мо-дель шифра.
§ 2.1. Математическая модель шифра Используя терминологию, принятую в [Алф01], под
шифром мы понимаем любой симметричный шифр однознач-ной замены, алфавитом которого служит множество шифр-величин. Это множество адаптировано к способу шифрования. Им может быть, например, множество отдельных знаков ис-ходного алфавита, m -грамм, или другое конечное множество слов.
Шифрвеличины, составляющие открытый текст, пооче-редно шифруются одной из “простых замен”, составляющих данный шифр замены. Выбор той или иной “простой замены”
Теоретическая стойкость шифров____________________________
19
осуществляется с помощью ключевого потока (или, в терми-нологии [Алф01], распределителя), представляющего собой последовательность номеров “простых замен”. Ключевой по-ток может получаться случайным образом, например, с по-мощью рандомизатора типа игровой рулетки. Такой шифр мы будем называть шифром с неограниченным ключом. Ключами шифра служат всевозможные ключевые потоки. Шифр с не-ограниченным ключом полностью определяется своим дейст-вием на множестве шифрвеличин и рандомизатором. Ключевой поток может также функционально зависеть от ключа шифра и вычисляться детерминированно (по некото-рому алгоритму или программе). Число возможных ключевых потоков фиксированной длины не превосходит в этом случае числа ключей шифра. Такой шифр мы будем называть шиф-ром с ограниченным ключом. Подавляющее большинство шифров, используемых на практике, являются именно шиф-рами с ограниченным ключом. Ключевым потоком для них служит, как правило, выходная последовательность некоторо-го автономного автомата5), множество внутренних состоя-ний которого совпадает с множеством ключей шифра.
После неформального пояснения нашего подхода перей-дем к детальному описанию модели шифра.
Пусть X и Y конечные множества шифрвеличин и шифробозначений, с которыми оперирует некоторый шифр замены,
,1>X ,1>Y .XY ≥
Это означает, что открытые и шифрованные тексты представ-ляются словами в алфавитах X и Y соответственно. Процесс зашифрования открытого текста lxxx ...1= заключается в
5) Определение автомата можно найти в любом учебнике по
дискретной математике, например в [Сач77] или [Гор86].
Глава 2
20
замене каждой шифрвеличины ix на некоторое шифробоз-
начение ,,1, liyi = в соответствии с одним из n ( 1>n ) инъективных отображений ,: YXe j → индексированных числами .1,...,1,0 −=∈ nKj Будем называть эти отображе-ния je простыми заменами6). Ясно, что максимальное число n простых замен, составляющих шифр замены, не превос-ходит числа размещений
.XYA
Пусть
.1,0,),()( −=∈= njXxxeXe jj
Через jd обозначим отображение ,)( XXe j → такое что
xxed jj =))(( для любого .Xx∈ По определению
.)(UKj
j XeY∈
=
Определение 2.1.1. Опорным шифром шифра замены
назовем совокупность
),,,,( DEYKX=∑ (2.1.1)
объектов, в которой X и Y множества шифрвеличин и шифробозначений, 1,...,1,0 −= nK множество ключей,
6) В соответствии с общепринятым названием шифра простой
замены.
Теоретическая стойкость шифров____________________________
21
и7) , KjeE j ∈= множество правил зашифрования,
, KjdD j ∈= множество правил расшифрования. Определение 2.1.2. l -й степенью опорного шифра ∑
назовем совокупность объектов
),,,,,( )()( llllll DEYKX=∑ (2.1.2)
,Ν∈l в которой lll YKX ,, декартовы степени мно-
жеств YKX ,, соответственно; множество )(lE состоит из отображений
,,: lllk KkYXe ∈→
таких что для l
l Xxxx ∈= ...1 и ll Kkkk ∈= ...1
;,1,,)()...()( 11
liEeYxexexeil k
llkkk =∈∈=
множество )(lD состоит из отображений
,,)(: lllkk KkXXed ∈→
таких что для )(...1
lkl Xeyyy ∈= и l
l Kkkk ∈= ...1
.,1,,)()...()( 11liDdXydydyd
il kl
lkkk =∈∈=
7) В соответствии с терминологией [Алф01].
Глава 2
22
При 1=l шифр l∑ совпадает с шифром .∑ Введя понятие степени опорного шифра, мы определили
действие шифра замены на последовательности шифрвеличин элементарных единиц открытого текста. Теперь мы долж-ны объяснить, как строится ключевой поток, т. е. последова-тельность ,,,...,1 Kkkk jl ∈ ,,1 lj = номеров простых замен
),(jke используемых для зашифрования произвольного от-
крытого текста ,...1 lxxx = .,1, liXxi =∈ Как мы уже отмечали, имеется два, принципиально раз-
ных, способа построения такой последовательности. Рассмот-рим первый способ.
Если нужно случайно выбрать один из двух вариантов, то достаточно подбросить монету. Исход бросания (“орел” или “решка”) укажет случайный выбор. Аналогично можно по-ступить для случайного выбора одного из m2 вариантов достаточно подбросить монету m раз подряд. Заметим, что при этом исходы бросаний образуют последовательность испытаний случайной величины ,ξ принимающей значения 0 и 1 с вероятностями p и q соответственно ( 1=+ qp ). Нулем мы обозначили “орел”, единицей “решку”. Обычно
,21== qp хотя это и не обязательно. Вместо монеты можно было использовать другой рандомизатор.
Используя приведенную аналогию, будем в первом слу-чае строить ключевой поток с помощью некоторого рандо-мизатора, который выбирает тот или иной ключевой поток данной длины l в соответствии с некоторым априорным распределением вероятностей, заданным на множестве
., Ν∈lK l Заметим, что аналогичная ситуация имеет место и при
выборе шифрвеличин из множества ., Ν∈lX l Этот выбор производится в соответствии с частотными характеристиками
Теоретическая стойкость шифров____________________________
23
открытых текстов. Хорошо известно (см. [Алф01]), что такие характеристики для обычных (“читаемых”) открытых текстов далеко не равномерны. Пусть
),()( l
Kl KkkpKP l ∈= (2.1.3)
и ),()( l
Xl XxxpXP l ∈= (2.1.4)
выбранные априорные распределения вероятностей. Обо-значим через ll XK ~,~
случайные величины, принимающие
значения из lK и lX в соответствии с распределениями (2.1.3) и (2.1.4). По определению случайные величины
ll XK ~,~ мы полагаем независимыми.
Далее нам понадобится понятие l -го опорного шифра, под которым мы будем понимать совокупность
),,,~,~,~( )()( lllll DEYKX
где ll KX ~,~
введенные выше случайные величины, lY~
случайная величина с множеством исходов lY и распре-делением вероятностей
,),()( lY
l YyypYP l ∈=
)()( , ll DE множества правил зашифрования и правил
расшифрования, введенных определением 2.1.2. Распре-деление )( lYP индуцируется )( lXP и )( lKP и вычисля-ется по формуле
Глава 2
24
.)()()(
)(:),(
∑=
×∈
⋅=
yxeKXkx
KXY
k
lllll kpxpyp (2.1.5)
В связи с введением понятия l -го опорного шифра сде-
лаем одно замечание. В ряде случаев не всякое слово длины l в алфавите X
может появиться в открытом тексте. Например, в тексте на русском языке не может встретиться биграмма ъъ. С точки зрения шифрования совершенно безразлично, встретится та-кая биграмма в тексте или нет. Для нас важно то, что при задании распределения вероятностей )( lXP в соответствии с частотными характеристиками языка мы должны положить вероятность l -граммы, содержащей ъъ, равной нулю. По-этому мы будем исключать из lX l -граммы, которые не встречаются в множестве открытых текстов, рассматривая вместо lX множество ,)(lX состоящее лишь из тех l -грамм, для которых
.0)( >xp lX
Это условие будет использоваться по существу при изучении совершенных шифров в следующем параграфе.
Мы будем также полагать, что “запрещенных” l -грамм “не слишком много”, точнее, что для любого Ν∈l выпол-няется неравенство
.)()1( ll XX >+ (2.1.6)
Для этого достаточно, например, естественного условия, сос-тоящего в том, что любой открытый текст можно “удлин-нить”, т. е. дополнить некоторой шифрвеличиной до откры-того текста большей длины.
Теоретическая стойкость шифров____________________________
25
В той же связи вместо lY мы рассматриваем .)(lY При этом (как и для опорного шифра) полагаем
.)( )()( U
lKk
lk
l XeY∈
= (2.1.7)
Теперь мы можем ввести понятие шифра с неограничен-
ным ключом. Определение 2.1.3. Пусть
),,~,~,~( )()()()()( llllll DEYKX=∑Н (2.1.8)
совокупность случайных величин ,~,~ )( ll KX ,~ )(lY мно-
жеств правил зашифрования и расшифрования ,)(lE ,)(lD для которой выполняются условия
0~,0~ )( >=>= kKPxXP ll (2.1.9)
при любых .,)( ll KkXx ∈∈ Тогда шифром замены с неограниченным ключом назовем
семейство ).,( )( Ν∈∑=∑ ll
НН (2.1.10)
При этом совокупность (2.1.8) будем называть l -м опорным шифром шифра .Н∑
Шифр с неограниченным ключом представляет собой се-
мейство шифров8) ,)(lН∑ действующих на множествах )(lX
8) В смысле определения шифра, введенного в [Алф01].
Глава 2
26
открытых текстов, ,Ν∈l и объединенных общим способом преобразования множества шифрвеличин. Для зашифрования открытого текста длины l (так же как и для расшифрования криптограммы длины l ) шифр с неограниченным ключом использует l -й опорный шифр. При этом из множества lK с помощью некоторого рандомизатора случайно выбирается ключ k в соответствии с априорным распределением ).( lKP
Сделаем ряд пояснений в связи с определением 2.1.3. Может возникнуть вопрос: почему вместо семейства мо-
делей )(lН∑ в этом определении не рассматривать одну модель
с множеством открытых текстов
,1
)(U∞
==
l
lXX
множеством ключей
U∞
==
1l
lKK
и множеством шифрованных текстов
.1
)(U∞
==
l
lYY
Такой подход обладает, на наш взгляд, одним сущест-
венным недостатком. Дело в том, что при этом не всякий от-крытый текст можно зашифровать на любом ключе. В самом деле, ключ lKk ∈ можно применять лишь к открытому тек-сту .)(lXx∈ Поэтому мы не можем рассматривать правила зашифрования как отображения YXek →: для любого
Теоретическая стойкость шифров____________________________
27
.Kk ∈ Отметим, что указанная возможность предусматрива-ется в модели шифра, предлагаемой в [Бра99]. Там в качестве правил зашифрования рассматриваются отображения
,: YXe kk → (2.1.11)
где kX множество открытых текстов, которые можно за-
шифровать на ключе .k Конечно, и этот подход имеет право на существование, однако в наших дальнейших рассмотрени-ях он создал бы почти непреодолимые технические сложно-сти. Поэтому мы будем исходить из того, что в любой модели шифра типа
),,,,( DEYKX
правила зашифрования являются отображениями типа (2.1.11) для любого .Kk ∈
Еще одно соображение в пользу предложенной модели шифра с неограниченным ключом состоит в том, что мы из-бегаем введения распределений вероятностей на бесконечных множествах открытых текстов и ключей, что само по себе яв-ляется проблемным вопросом.
Построим теперь модель шифра с ограниченным ключом. Исходными предпосылками в этом построении служат
опорный шифр ,∑ введенный определением 2.1.1, конечное множество Κ ключей шифра и множество правил зашифро-вания
.,,: ΝΚ ∈∈→ lYXe ll κκ
В определении действия κe на открытом тексте длины ,l
так же как и для шифра с неограниченным ключом, исполь-зуется ключевой поток
Глава 2
28
,,1,,,...,, 21 liKkkkk il =∈
где, по-прежнему, 1,...,1,0 −= nK множество номеров простых замен, входящих в опорный шифр. Отличие от шиф-ра с неограниченным ключом состоит в том, что для шифра с ограниченным ключом ключевой поток детерминированно вычисляется по выбранному ключу .Κ∈κ
Обозначим через *K множество слов конечной длины в алфавите .K
Определение 2.1.4. Пусть
*: K→×ΝΚψ (2.1.12)
произвольное отображение, такое, что для любых
,, ΝΚ ∈∈ lκ и некоторых ,,1, liKki =∈
,...),( 1 lkkl =κψ причем
.),1,( K=∈Κκκψ
Назовем последовательность lkk ,...,1 ключевым потоком, отвечающим ключу κ и числу ,l а само отображение ψ генератором ключевого потока (или просто генератором).
Подчеркнем, что в определении 2.1.4 ключевой поток од-нозначно определяется выбором ключа Κ∈κ и числом .l
Далее мы введем последовательность моделей ,)(lo∑
.Ν∈l При этом будем исходить из некоторых априорных распределений )(ΚP и ),( )(lXP ,Ν∈l не содержащих нулевых вероятностей. Существенное отличие от аналогич-
Теоретическая стойкость шифров____________________________
29
ной модели для шифра с неограниченным ключом состоит в том, что в качестве множества возможных ключевых потоков длины l мы рассматриваем не множество ,lK а множество
.),,()( Κ∈= κκψ lK l
Пусть для ll Kkkk ∈= ...1
.),(:)( klkl =∈= κψκ ΚΚ
Введем распределение вероятностей )( )(lKP так, что
.)()()(
)( ∑∈
=kK
ll pkp
ΚΚ
κκ (2.1.13)
Определение 2.1.5. Пусть
),,~,~,~( )()()()()()( llllll DEYKX=∑О (2.1.14)
совокупность случайных величин ,~,~ )()( ll KX ,~ )(lY правил
зашифрования и расшифрования ,)(lE ,)(lD для которой
распределение )( )(lKP определяется формулой (2.1.13) и выполняется условие
0~ )( >= xXP l (2.1.15)
при любых .)(lXx∈ Тогда шифром замены с ограниченным ключом назовем
семейство
).,( )( Ν∈∑=∑ llОО (2.1.16)
Глава 2
30
При этом совокупность (2.1.14) будем называть l -м опорным шифром шифра .О∑
Заметим, что для каждого Ν∈l множества ),(klΚ
,)(lKk ∈ образуют разбиение множества Κ на классы экви-валентных ключей, порождающих одинаковые ключевые по-токи длины .l Поэтому представляется более резонным выбирать для зашифрования открытого текста длины l не столько ключ ,Κ∈κ сколько порождаемый этим ключом
ключевой поток, т. е. использовать модель )(lО∑ из совокупно-
сти (2.1.16). Криптографические свойства шифра с ограниченным
ключом определяются, в первую очередь, свойствами его ге-нератора ключевого потока. Например, если
kkl ′′= ...),(κψ
для любого Κ∈κ и подходящего ,Kk ∈′ то получаем “сла-бый” шифр простой замены. Если
.........),( 11 pp kkkkl =κψ
представляет собой периодическую последовательность (в которой
2,..., 1 ≥pkk ),
то получаем более стойкий периодический шифр замены. Таковым является, например, шифр Виженера.
После того как введены формальные определения шиф-ров с ограниченным и неограниченным ключом, приведем ряд примеров.
Теоретическая стойкость шифров____________________________
31
Пример 2.1.6. Шифр Цезаря (сдвиговый шифр). Данный шифр использует в качестве алфавита открытых
текстов и одновременно множеств шифрвеличин и шифр-обозначений .1,...,1,0 −= nnΖ Число n это число букв алфавита, например, русского или английского языка, в кото-ром, для удобства, каждая буква заменена своим порядковым номером. Шифр использует n простых замен (правил зашиф-рования)
,1,0,: −=→ njYXe j таких что
,mod)()( njxxe j += (2.1.17)
и соответственно n правил расшифрования
,1,0,: −=→ njXYd j таких что
.mod)()( njyyd j −= (2.1.18)
Таким образом, опорный шифр шифра Цезаря имеет вид
),,,,,( DEnnn ΖΖΖ=∑ (2.1.19) где
,nYKX Ζ=== ,, nj jeE Ζ∈= ,, nj jdD Ζ∈=
je определяется формулой (2.1.17), а jd формулой (2.1.18).
Шифр Цезаря это шифр замены с ограниченным клю-чом, для которого .nΖΚ = Генератором ключевого потока для него служит отображение
Глава 2
32
,: *nn ΖΝΖ →×ψ
такое что
....),(321раз l
kklk =ψ
Пусть распределение )( )(lXP определяется частотными
характеристиками языка, а распределение )(ΚP положим, например, равномерным: np 1)( =κΚ для любого .nΖ∈κ
Заметим, что для любого Ν∈l
,,...)(n
l
l kkkK Ζ∈=321раз
и что для любого )(lKk ∈
.1)()( nkp lK
=
Мы определили все компоненты модели О∑ для шифра
Цезаря. Обратим внимание на то, что потенциально шифр Це-заря (как и любой другой шифр простой замены) ничуть не хуже любого многоалфавитного шифра замены. Однако “плохой” генератор ключевого потока делает его сравни-тельно слабым шифром9). Это наглядно подтверждается сле-дующим примером.
9) Отметим, что блочный шифр простой замены, например,
DES не так уж и слаб.
Теоретическая стойкость шифров____________________________
33
Пример 2.1.7. Шифр модульного гаммирования с л.р.с. в качестве генератора.
Опорный шифр данного шифра тот же, что и для шифра Цезаря. В качестве множества Κ ключей шифра рас-смотрим множество ,mV m -мерных ненулевых векторов с
координатами из ,nΖ .Ν∈m Таким образом, .1−= mnΚ В качестве генератора используем линейный регистр сдвига (л.р.с.) длины m над кольцом ),,( ⋅+nΖ (рис. 1):
... …
Выход mkkk L21
Рис. 1. Линейный регистр сдвига
Ключевой поток (который обычно называют гаммой применительно к рассматриваемому шифру) это выходная последовательность регистра, т. е. линейная рекуррентная по-следовательность10) с начальным вектором ),...,( 1 mkk=κ и характеристическим многочленом, определяемым выбором обратных связей регистра.
Не вдаваясь в детали, заметим, что при правильном вы-боре параметров регистра сдвига рассматриваемый шифр бу-дет использовать при зашифровании открытого текста не одну (как шифр простой замены), а все n простых замен (2.1.17). Поэтому такой шифр значительно более стоек, чем любой (поточный) шифр простой замены.
10) См., например, [Алф01].
Глава 2
34
Пример 2.1.8. Шифр модульного гаммирования со слу-чайной гаммой.
Опорный шифр рассматриваемого шифра тот же, что и в предыдущих примерах. Генератор ключевого потока (гаммы шифра) позаимствуем из [Неч99], это “вертушка со стрелкой” (рис. 2).
… i-1 i i+1 … n-1
Рис. 2. Вертушка со стрелкой Обод вертушки разделен на n равных частей (дуг). Каждая из них помечена числами от 0 до .1−n Запуская вертушку, по-лучим какое-нибудь число из .nΖ Для того чтобы получить ключевой поток длины ,l нужно l раз воспользоваться вер-тушкой. Если она “правильная”, то
,/1)()( )()( l
nl
Kl knkpKP l Ζ∈==
для любого .Ν∈l
Мы построили пример случайного шифра. В приведенных примерах множества шифрвеличин и
шифробозначений совпадали с алфавитом открытых текстов. Однако так бывает далеко не всегда. Для блочных шифров, например для DES, множеством шифрвеличин служит мно-жество всех возможных блоков некоторой длины. Надеемся, что примеры моделей подобных шифров читатель сможет по-строить самостоятельно.
Теоретическая стойкость шифров____________________________
35
§ 2.2. Шифры, совершенные по К .Шеннону
В данном параграфе под шифром мы будем понимать введенную в §2.1 модель шифра замены с ограниченным или с неограниченным ключом.
Введем понятие совершенного шифра. Для этого нам по-требуются условные вероятности
)()()( yxp ll YX
и ),()()( xyp ll XY
для Ν∈∈∈ lYyXx ll ,, )()( 11).
Как мы знаем из § 2.1, имеет смысл рассматривать такие вероятности лишь для ,, yx имеющих одинаковые длины12), так как ни при каких обстоятельствах открытый текст не бу-дет зашифрован в шифрованный текст другой длины.
Пусть
,... )(1
ll Xxxx ∈= .... )(
1l
l Yyyy ∈=
Для шифра с ограниченным ключом вероятность )()()( xyp ll XY
вычисляется по формуле
,)()(
),()()()()( ∑
∈
=yxKk
KXY llll kpxyp (2.2.1)
если ,),()( ∅≠yxK l и полагается равной нулю, если
,),()( ∅=yxK l где
11) Множества )(lX и )(lY определены в § 2.1. 12) В алфавитах X и Y соответственно.
Глава 2
36
,,1,)(:),( )()( liyxeKkyxK iikll
i==∈=
а )()( kp lK определяется формулой (2.1.13). При этом распре-
деление вероятностей )( )(lKP определяется через априорное распределение )(ΚP на множестве ключей шифра по форму-ле (2.1.14).
Для шифра с неограниченным ключом соответствующая вероятность вычисляется по формуле
,)()(
),()()( ∑
∈
=yxKk
KXY llll kpxyp (2.2.1′)
если ,),( ∅≠yxK l и полагается равной нулю, если
,),( ∅=yxK l где
,,1,)(:),( liyxeKkyxK iikll
i==∈=
а )( lKP априорное распределение вероятностей на .lK
Вероятность )()()( yxp ll YX вычисляется стандартным
образом:
.)(
)()()(
)(
)()()(
)()( yp
xypxpyxp
l
lll
ll
Y
XYXYX
⋅= (2.2.2)
Определение 2.2.1. Шифр называется совершенным13),
если для любых )()( , ll YyXx ∈∈ и любого натурального числа l выполняется равенство
13) Точнее было бы назвать шифр совершенным по К.Шеннону.
Теоретическая стойкость шифров____________________________
37
)()( )()()( xpyxp lll XYX= 14). (2.2.3)
Часто бывает удобнее пользоваться эквивалентным опре-
делением совершенного шифра, которое состоит в условии
).()/( )()()( ypxyp lll YXY= (2.2.4)
Покажем, что совершенным может быть лишь шифр с
неограниченным ключом, и критерием совершенности для такого шифра является свойство совершенности составляю-щих его опорных шифров.
В следующем утверждении мы используем обозначение ),( yxKl для множества ),,()( yxK l если рассматривается
шифр с ограниченным ключом, и для множества ),,( yxK l если рассматривается шифр с неограниченным ключом.
Утверждение 2.2.2. Если шифр является совершенным,
то для любых )()( , ll YyXx ∈∈ и любого натурального чис-ла l выполняется неравенство
.1),( ≥yxKl (2.2.5)
Доказательство . Предположим противное: пусть
0),( =yxKl при некоторых ., )()( ll YyXx ∈∈ Тогда, со-гласно (2.2.1) (или (2.2.1′)), мы бы имели равенство
,0)()()( =xyp ll XY
14) Условие (2.2.3) эквивалентно тому, что )(~ lX и )(~ lY явля-
ются независимыми случайными величинами.
Глава 2
38
а согласно (2.2.2), и равенство
.0)()()( =yxp ll YX
Из (2.2.3) следует, что вероятность )()( xp lX
также оказыва-
ется равной нулю, вопреки условию (2.1.9). Утверждение 2.2.3. Шифр с ограниченным ключом не яв-
ляется совершенным. Доказательство . Если зафиксировать )(lXx ∈ и за-
ставить y пробегать все множество ,)(lY то (согласно ут-
верждению 2.2.2) должен существовать ключ )(lKk ∈ такой, что .)( yxek = Поэтому для совершенного шифра
,)()( ll YK ≥
что невозможно для любого ,Ν∈l поскольку
,)( Κ≤lK
где Κ константа, а
.)()( ll XY ≥
Последнее неравенство, а также условие (2.1.6), означает, что с ростом l величина )(lY неограниченно растет.
Теоретическая стойкость шифров____________________________
39
Итак, совершенными могут быть лишь шифры с неогра-ниченным ключом. Более того, непосредственно из определе-ний 2.1.3 и 2.2.1 следует
Утверждение 2.2.4. Шифр Н∑ с неограниченным клю-
чом является совершенным шифром тогда и только тогда, когда его l -й опорный шифр )(l
Н∑ является совершенным шифром при любом .Ν∈l
Это утверждение позволяет нам при изучении свойств
совершенных шифров рассматривать лишь их опорные шиф-ры. В связи с этим далее мы будем понимать под шифром со-вокупность
),,~,~,~(В DEYKX=∑ 15), (2.2.6)
состоящую из случайных величин ,~,~,~ YKX заданных на конечных множествах X открытых текстов, K ключей и Y шифрованных текстов соответственно введением априорных распределений вероятностей
,,0)()( XxxpXP X ∈>=
;,0)()( KkkpKP K ∈>=
при этом ,1>X ,1>Y ;1>K а также множеств E пра-
вил зашифрования ,: YXek → и D правил расшифрова-ния ,)(: XXed kk → для каждого ,Kk ∈ для которых выполняются соотношения
15) Индекс “В” в обозначении модели указывает на ее вероятно-
стный характер.
Глава 2
40
,))(( xxed kk =
при любых ,, KkXx ∈∈ и
.)(UKk
k XeY∈
=
Случайные величины X~ и K~ полагаем независимыми. Перейдем к изучению модели шифра .В∑ Прежде всего, нам придется повторить некоторые соот-
ношения, которые уже приводились выше в другой форме. Аналогично (2.1.5) для модели В∑ вероятность )(ypY
вычисляется по формуле
.)()()()(
:),(∑=
×∈⋅=
yxeKXkx
KXY
k
kpxpyp (2.2.7)
Заметим, что из общих соображений следует равенство
,1)( =∑∈Yy
Y yp
которое полезно проверить и непосредственно. Для этого рас-смотрим отображение ,: YKXf →× определенное услови-ем )(),( xekxf k= или, иначе, kkX ef =
× для любого
.Kk ∈ Тогда, поскольку ,)(1 KXYf ×=−
=⋅= ∑ ∑∑∈ ∈∈ −Yy yfkx
KXYy
Y kpxpyp)(),( 1
)()()(
Теоретическая стойкость шифров____________________________
41
=⋅=⋅= ∑ ∑∑∈ ∈×∈ Xx Kk
KXKXkx
KX kpxpkpxp )()()()(),(
.1)()( =⋅= ∑∑
∈∈ KkK
XxX kpxp
Условная вероятность )( xyp XY вычисляется по фор-
муле
∅=
∅≠=
∑∈
,),(,0
,),(,)()( ),(
yxK
yxKkpxyp yxKk
KXY (2.2.8)
где .)(:),( yxeKkyxK k =∈=
Далее, с целью упрощения записи, нижние индексы в
обозначениях
)(),(),( ypkpxp YKX , ,)( xyp XY ,)( yxp YX
будем опускать, и записывать их в виде
)(),(),( ypkpxp , ),( xyp ),( yxp
соответственно, если понятно, о каком распределении идет речь.
Отметим одно очевидное свойство совершенного шифра (которым мы уже неявно пользовались).
Утверждение 2.2.5. Если шифр В∑ совершенный, то
справедливы неравенства
.KYX ≤≤ (2.2.9)
Глава 2
42
Доказательство . Первое неравенство, очевидно, имеет место для любого шифра (2.2.6). Если шифр совершенный, то, согласно доказательству утверждения 2.2.2, 1),( ≥yxK 16). Поэтому для любого Xx∈ выполняется равенство
,),( YKkxek =∈ (2.2.10)
и поэтому .KY ≤
В большинстве случаев применяемые на практике шиф-ры обладают свойством .YX = Следуя К .Шеннону, назовем такие шифры эндоморфными. К .Шеннону удалось полно-стью описать эндоморфные совершенные шифры с мини-мально возможным числом ключей. Согласно (2.2.9), это минимально возможное число ключей K не меньше .Y В несколько более общей форме теорема формулируется сле-дующим образом.
Теорема 2.2.6 (К .Шеннона). Пусть B∑ шифр, для
которого .KYX == Тогда B∑ совершенный шифр тогда и только тогда, когда выполняются два условия:
(i) 1),( =yxK для любых ;, YyXx ∈∈ (ii) Распределение )(KP равномерно, то есть
Kkp 1)( = для любого ключа .Kk ∈
Доказательство . Пусть шифр B∑ совершенный. Тогда, согласно (2.2.10),
.),( KYKkxek ==∈
16) Шифр, удовлетворяющий этому условию, будем называть
транзитивным шифром.
Теоретическая стойкость шифров____________________________
43
Поэтому из неравенства 21 kk ≠ следует неравенство )()(
21xexe kk ≠ для любого .Xx∈ Это доказывает необхо-
димость условия (i). Пусть .,..., 1 NxxX = Зафиксируем произвольный эле-
мент Yy∈ и занумеруем ключи так, чтобы ,)( yxe jk j=
.,1 Nj = Тогда
.)(
)()()(
)()()(
ypxpkp
ypxpxyp
yxp jjjjj
⋅=
⋅= (2.2.11)
Так как B∑ совершенный шифр, то =)/( yxp j
).( jxp= Отсюда и из (2.2.11) получаем равенство
)()( ypkp j = для любого ,,1 Nj = которое доказывает необходимость условия (ii).
Пусть условия (i) и (ii) выполнены. Тогда, пользуясь для фиксированного элемента Yy∈ введенной выше нумерацией ключей, имеем, на основании (2.2.7), цепочку равенств:
,1)(1)()()(1
)(:),( N
xpN
kpxpypN
jj
yxekx
jj
jjkjj
∑∑=
=
=⋅=⋅=(ii) усл.
откуда
).()(
)/()()/( j
jjj xp
ypxypxp
yxp(ii)(i), усл.
=⋅
=
Достаточность условий теоремы также доказана.
Глава 2
44
Сделаем ряд замечаний. Во-первых, обратим внимание на то, что матрица зашифрования шифра, удовлетворяющего условиям теоремы Шеннона, согласно условию (i) этой тео-ремы, является латинским квадратом17).
Матрица зашифрования
XK 1x ….. Nx
1k )( 11xek …… )(
1 Nk xe
….. ……. ……. ……..
Nk )( 1xeNk …… )( Nk xe
N
Поэтому в случае, когда ,KYX == совершенными яв-
ляются шифры табличного гаммирования (см. 2.2.7) со слу-чайной равновероятной гаммой, и только они.
Отметим, что число ),( nnL латинских квадратов произ-вольного порядка n до сих пор неизвестно. Приведем неко-торые сведения об этом числе ([Рио63]). Если nl число латинских квадратов, в которых элементы первой строки и первого столбца записаны в естественном порядке, то
.)!1(!),( nlnnnnL ⋅−⋅=
Ряд известных значений nl сведем в таблицу:
17) Так называется квадратная таблица, строки и столбцы кото-рой являются перестановками элементов данного множества. Отме-тим, что понятие латинского квадрата было введено Л.Эйлером, который впервые их исследовал, беря за основу латинский алфавит (или несколько его первых букв).
Теоретическая стойкость шифров____________________________
45
n 2 3 4 5 6 7
ln 1 1 4 56 9408 16942080 Укажем, например, все латинские квадраты размера 4×4
(с упорядоченной первой строкой):
1 2 3 4 1 2 3 4 2 3 4 1 2 1 4 3 3 4 1 2 3 4 1 2 4 1 2 3 4 3 2 1
1 2 3 4 1 2 3 4 2 1 4 3 2 4 1 3 3 4 2 1 3 1 4 2 4 3 1 2 4 3 2 1
Определение 2.2.7. Пусть L латинский квадрат на
произвольном упорядоченном множестве ,A .2≥A Пусть строки и столбцы квадрата L занумерованы элементами из
.A Шифром табличного гаммирования называется шифр, с ограниченным или с неограниченным ключом, для которого матрица зашифрования опорного шифра совпадает с .L
Понятие шифра табличного гаммирования обобщает об-
щепринятое понятие шифра гаммирования, который истори-чески определялся латинским квадратом, представляющим
Глава 2
46
собой таблицу Виженера. С алгебраической точки зрения ла-тинский квадрат на A является таблицей Кэли квазигруппы
),( ∗A 18). Поэтому правило зашифрования опорного шифра можно записать также в виде
.)( kxxek ∗= (2.2.12)
В случае когда ),,(),( +=∗ nA Ζ шифр совпадает с шиф-
ром модульного гаммирования, для которого
.mod)()( nkxxek += (2.2.13)
Отметим, что определение совершенного шифра было рассмотрено К .Шенноном применительно к фиксированному распределению ),(XP отвечающему частотным характери-стикам реального языка. Как нетрудно видеть, утверждение теоремы 2.2.6 остается справедливым для любого распреде-ления ).(XP В связи с этим в некоторых работах по крипто-графии (например, [Mas87]) вводят следующее определение.
Определение 2.2.8. Шифр B∑ называется сильно со-
вершенным, если он остается совершенным для любого распределения ).(XP
Нам понадобится еще одно определение.
18) Квазигруппа − это группоид ),( ∗A (т. е. множество с опера-
цией), в котором для любых Aba ∈, однозначно разрешимы уравнения bxa =∗ и .bay =∗
Теоретическая стойкость шифров____________________________
47
Определение 2.2.9. Транзитивный шифр ,B∑ удовле-творяющий условию ,KYX == называется минималь-ным шифром.
Предыдущее замечание свидетельствует о том, что в тео-
реме 2.2.6 слова “совершенный шифр” можно заменить сло-вами “сильно совершенный шифр”. Таким образом, теорема 2.2.6 дает описание минимальных сильно совершенных шиф-ров. Однако, как мы убедимся далее (теорема 4.2.11), опреде-ление 2.2.8 излишне, так как совершенный шифр является также и сильно совершенным.
Еще одно замечание связано с тем, что в матрице зашиф-рования переменные x и k можно заменить друг на друга. После такой замены будет рассматриваться шифр с транспо-нированной матрицей зашифрования (которая остается ла-тинским квадратом). Кроме того, из условий теоремы 2.2.6 следует, что и переменные x и y также взаимозаменяемы. Это свойство наглядно проявляется на примере шифра Вер-нама, определяемого правилом зашифрования (2.2.13) при
.2=n Таким образом, в теореме Шеннона все переменные взаимозаменяемы, то есть каждое из множеств YKX ,, мо-жет служить как множеством открытых текстов, так и множе-ством ключей или множеством шифрованных текстов сильно совершенного шифра.
Подчеркнем также, что не только указанные шифры яв-ляются совершенными по Шеннону. В качестве примера мож-но указать следующий неэндоморфный шифр с неравновероятными ключами, являющийся сильно совершен-ным.
Пример 2.2.10
.,...,,3,2,1,, 6121 kkKYxxX ===
Глава 2
48
Матрица зашифрования имеет следующий вид:
XK x1 x2
k1 1 2 k2 1 3 k3 2 1 k4 2 3 k5 3 1 k6 3 2
Вероятности ключей:
.81)()(,101)(
,8021)(,203)(,8019)(
654
321
===
===
kpkpkp
kpkpkp
§ 2.3. Имитостойкие совершенные шифры
Приведем ряд результатов о совершенных шифрах с наи-лучшими параметрами имитостойкости. К таким парамет-рам обычно относят вероятности имитации 0p и вероятность подмены .1p Эти вероятности определяются следующим образом.
При попытке имитации противником шифрованного со-общения Yy∈ в случае, когда по каналу связи ничего не пе-редается, это сообщение будет воспринято получателем как аутентичное с вероятностью
,)(
)(∑
∈ yKkkp
Теоретическая стойкость шифров____________________________
49
где ).)((:)( yxeXxKkyK k =∈∃∈=
Обозначим эту вероятность через ).(~ yp
Шансы на успех в попытке имитации для противника, использующего оптимальную стратегию, определяются вели-чиной
).(~max yp
Yy∈
Эта величина обозначается 0p и называется вероятностью имитации.
Успех противника при попытке подмены передаваемого шифрованного сообщения Yy∈ на отличное от него сооб-щение Yy ∈′ характеризуется вероятностью ),(~ yyp ′ собы-тия, состоящего в том, что при расшифровании криптограммы y′ на действующем ключе будет получено осмысленное со-общение. Эта вероятность ),(~ yyp ′ определяется формулой
,))(()(
))(()(),(~
)(
),(
∑
∑
∈
′∈
⋅
⋅=′
yKkkX
yyKkkX
ydpkp
ydpkpyyp
где
).()(),( yKyKyyK ′∩=′
Наибольшие шансы на успех для противника определяются вероятностью
.,:),(~max)( yyYyyypyp ≠′∈′′=)
Глава 2
50
Усредняя эту вероятность по всевозможным сообщениям
Yy∈ , полагаем по определению
.)()(1 ∑∈
⋅=Yy
Y ypypp )
Введем обозначения πµλ === KYX ,, для ос-
новных параметров шифра .В∑ Теорема 2.3.1. Для любого шифра В∑ справедливо
неравенство
.0 µλ
≥p (2.3.1)
Равенство в (2.3.1) имеет место тогда и только тогда, ко-гда для любого Yy∈ выполняется соотношение
.)()(
µλ=∑∈ yKk
kp
Доказательство . Справедливы следующие равенства:
.)()()(~)(
λλ =⋅== ∑∑ ∑∑∈∈ ∈∈ KkYy yKkYy
kpkpyp
В самом деле, любой открытый текст может быть зашифрован на любом ключе. Поэтому в двойной сумме каждый ключ учитывается ровно λ раз. Сумма
Теоретическая стойкость шифров____________________________
51
∑∈Yy
yp )(~
(равная λ ) содержит µ слагаемых, поэтому максимальное слагаемое не может быть меньше ,µλ откуда следует нера-венство (2.3.1). Ясно также, что равенство µλ=0p выпол-няется лишь в случае, если µλ=)(~ yp для любого .Yy∈
Теорема 2.3.2. Для любого шифра В∑ справедливо
неравенство
.11
1 −−
≥µλp (2.3.2)
Равенство в (2.3.2) имеет место тогда и только тогда, ко-гда для любых ,,, yyYyy ≠′∈′ выполняется соотношение
.11
)(
))(()(),(
−−
=⋅∑
′∈
µλ
yp
ydpkpyyKk
k
(2.3.3)
Доказательство . Из цепочки равенств
∑ ∑∑≠′ ′∈≠′
=⋅=′yy yyKk
kyy
ydpkpyp
yyp),(
))(()()(
1),(~
1)1()()()1())(()(
)(1
)(−=−=−⋅⋅= ∑
∈λλλ
ypypydpkp
yp yKkk
следует, что для любого Yy∈ имеет место равенство
Глава 2
52
.1),(~ −=′∑≠′
λyy
yyp (2.3.4)
При этом мы воспользовались тем, что в двойной сумме каж-дый ключ из )(yK учитывается ровно 1−λ раз (столько имеется шифрованных текстов yy ≠′ ).
Сумма (2.3.4) (равная 1−λ ) состоит из 1−µ слагаемых. Поэтому максимальное слагаемое не может быть меньше
.)1()1( −− µλ Следовательно,
,)1()1()( −−≥ µλyp) (2.3.5) и
( ) ,)1()1()(11)()(1 −−=⋅−−≥⋅= ∑∑∈∈
µλµλYyYy
ypypypp )
откуда мы получаем (2.3.2).
Пусть .)1()1(1 −−= µλp Если для некоторого Yy ∈0
,)1()1()( 0 −−> µλyp)
то, в силу (2.3.5), выполнялись бы соотношения
( ) ,)1()1()(11)()(1 −−=⋅−−>⋅= ∑∑∈∈
µλµλYyYy
ypypypp )
вопреки условию. Тем самым,
)1()1()( −−= µλyp)
для любого ,Yy∈ и поэтому
)1()1(),(~ −−≤′ µλyyp (2.3.6)
Теоретическая стойкость шифров____________________________
53
для любых ., Yyy ∈′
Если для некоторых Yyy ∈′, выполнялось бы строгое неравенство
,)1()1(),(~ −−<′ µλyyp
то, в силу (2.3.6), это привело бы к неравенству
,1),(~ −<′∑≠′
λyy
yyp
вопреки (2.3.4). Таким образом,
)1()1(),(~ −−=′ µλyyp
при любых ,, Yyy ∈′ что и требуется. Представляют интерес совершенные шифры с минималь-
ным числом ключей, для которых вероятности 10 , pp мини-мальны. Имеет место следующий результат ([Sti88]), для формулировки которого нам понадобится определить еще од-но понятие.
Определение 2.3.3. ),,( σλµ−t -схемой называется со-
вокупность B подмножеств (называемых блоками) множе-ства ,Y состоящего из µ элементов, такая, что каждое подмножество из B содержит λ элементов, а всякое под-множество множества Y из t элементов содержится ров-но в σ подмножествах из .B При 1=σ схема называется штейнеровой системой.
Глава 2
54
Теорема 2.3.4. Если для шифра В∑ выполняется равен-ство ,)1()1(1 −−= µλp то
.2
2
λλ
µµπ−
−≥ (2.3.7)
Равенство в (2.3.7) имеет место тогда и только тогда, ко-гда строки матрицы зашифрования, рассматриваемые как подмножества элементов из ,Y образуют )1,,(2 λµ− -схему. Если при этом ,0 µλ=p то распределения )(XP и
)(KP равномерные. Доказательство . Из условия и теоремы 2.3.2 следует,
что выполняется равенство (2.3.3), откуда 1),( >′yyK для
любых шифртекстов .,, yyyy ≠′′ Очевидно, что для любых различных упорядоченных пар
открытых текстов ),(),,( 2211 xxxx ′′ верно соотношение
,),;,(),;,( 2211 ∅=′′′′ yyxxKyyxxK I где
.)(,)(:),;,( yxeyxeKkyyxxK kk ′=′=∈=′′
Тогда, с одной стороны,
).1(),(
),;,(),;,(
,
, ,, ,
−≥′=
=′′=′′
∑
∑∑ ∑
≠′
≠′ ≠′≠′ ≠′
µµyyy
yyy xxxyyy xxx
yyK
yyxxKyyxxK U
Теоретическая стойкость шифров____________________________
55
С другой стороны, поскольку
∅=′′′′ ),;,(),;,( 2211 yyxxKyyxxK I для любых различных пар ),,(),,( 2211 yyyy ′′
.)(),;,(
),;,(),;,(
2
,, ,
, ,, ,
πλλ −==′′=
=′′=′′
∑∑
∑ ∑∑ ∑
≠′≠′ ≠′
≠′ ≠′≠′ ≠′
xxxxxx yyy
xxx yyyyyy xxx
KyyxxK
yyxxKyyxxK
U
Таким образом, ,)( 22 µµπλλ −≥− откуда следует (2.3.7). Рассмотрим семейство B множеств шифртекстов, со-
держащихся в строках матрицы зашифрования. Каждое мно-жество этого семейства имеет мощность .λ Число множеств семейства ,B содержащих выбранные шифртексты y и ,y′ равно .),( yyK ′ Поэтому равенство
µµπλλ −=′=− ∑≠′
2
,
2 ,()(yyy
yyK
возможно в том и только том случае, когда для любых y и
,yy ≠′ .1),( =′yyK Это равносильно тому, что пара ),( BY
является )1,,(2 λµ− -схемой. Установим теперь равномерность распределений )(XP
и ).(KP Так как ,)1()1(1 −−= µλp то, согласно (2.3.3), для любых ,,,, yyyyy ≠′′′′ yy ≠′′ ,
Глава 2
56
.))(()())(()(),(),(
∑∑′′∈′∈
⋅=⋅yyKk
kyyKk
k ydpkpydpkp (2.3.8)
Как отмечено выше,
.1),(),( =′′=′ yyKyyK
Поэтому если ,)()( yxexe kk =′= ′ то из (2.3.8) следует, что
).()()()( xpkpxpkp ′⋅′=⋅
Это означает, что в сумме
∑∈
⋅=)(
))(()()(yKk
k ydpkpyp
все слагаемые одинаковы. Выделяя одно из них, получаем равенство
,)()()()( yKxpkpyp ⋅⋅=
из которого
.)()()()(
yKypxpkp =⋅ (2.3.9)
Величина )(yK есть число блоков построенной
)1,,(2 λµ− -схемы, содержащих y . Известно ([Хол70]), что это число не зависит от y и равно
.11)(
−−
=λµyK
Теоретическая стойкость шифров____________________________
57
Отсюда и из (2.3.9) получаем в случае, когда ,)( yxek = фор-мулу
.1
)1)((
)()()()()(
)(∑
∑∑
∈
∈∈
−−
=
=⋅=
=
Xey
XxXx
k
yp
kpxpkpxpkp
µλ
(2.3.10)
Зафиксируем Yy ∈0 и воспользуемся условием
.0 µλ=p Согласно теореме 2.3.1 и равенству (2.3.10),
=
⋅+⋅
−−
=
=−−
=
=−−
=
==
∑
∑ ∑
∑ ∑
∑
≠
∈ ∈
∈ ∈
∈
)()()(11
)(11
1)1)((
)(
00
),(
)( )(
)(
0
0
0
0
ypyKyp
yp
yp
kp
yy
Yy yyKk
yKk Xey
yKk
k
µλ
µλ
µλ
µλ
(2.3.11)
=
⋅
−−
+−⋅−−
= )(11)(1
11
00 ypypµλ
µλ
Глава 2
58
.111)(
11
)(11)(
11
0
00
−−
−+−−
=
=+−−
⋅−−−
=
µλ
µλ
µλ
µλ
yp
ypyp
В этой цепочке равенств мы воспользовались тем, что
1),( 0 =yyK и .1)( =∑∈Yy
yp
Переход от одной двойной суммы к другой объясняется
тем, что в строках матрицы зашифрования, отвечающих клю-чам из ),( 0yK должен встретиться любой элемент .Yy∈ Последнее обстоятельство опять-таки следует из того, что
.1),( 0 =yyK
Из соотношения (2.3.11) находим .1)( 0 µ=yp Учиты-вая, что 0y выбиралось произвольно, и, подставляя значение
)( 0yp в (2.3.11), получаем для любого Kk ∈
.111)(
πµλ
=−−
=kp
Наконец, с учетом (2.3.9), для любого Xx∈
Теоретическая стойкость шифров____________________________
59
∑ ∑∑∈ ∈∈
=−−
==⋅=Kk KkKk yK
ypxpkpxp)1(
1)()()()()(
µµλ
.1))((
)1)(()1(22
2
2 λµµλλλµµ
µµλπ
=−−
−−=
−
−=
Теорема 2.3.5. Если существует )1,,(2 λµ− -схема, то
существует и шифр В∑ , для которого
),()(,)1()1(, 2210 λλµµπµλµλ −−=−−== pp
и распределения )(),( KPXP равномерные.
Доказательство . Пусть пара ),( BY является )1,,(2 λµ− -схемой. Пусть X произвольное множество из
λ элементов. Каждому множеству Z семейства B поставим в соответствие отображение
YXeZ →:
так, что .)( ZXeZ =
Пусть .: BZeK Z ∈= Зададим на KX , равномерные распределения вероятностей и рассмотрим произвольный шифр ,В∑ определенный таким образом.
Число блоков в )B,Y( равно ),())( 22 λλµµπ −−= каждый элемент Yy∈ содержится ровно в )1()1( −− λµ блоках. Отсюда следует, что для любого Yy∈
Глава 2
60
µλ
πλµ
=⋅−−
=∑∈
111)(
)( yKkkp .
По теореме 2.3.1 получаем равенство .0 µλ=p
В )1,,(2 λµ− -схеме любая пара )',( yy содержится лишь в одном блоке, поэтому .1)',( =yyK Отсюда получаем:
11
)(1111
))(()(
))(()(
)(
)',(
−−
=⋅⋅⋅
=⋅
⋅
∑
∑
∈
∈
µλ
λπλπ
yKydpkp
ydpkp
yKkk
yyKkk
.
По теореме 2.3.2 .)1()1(1 −−= µλp
Теорема 2.3.6. Совершенный шифр ,В∑ обладающий параметрами
,)1()1(, 10 −−== µλµλ pp )()( 22 λλµµπ −−= ,
существует тогда и только тогда, когда выполняется соот-ношение
)),(mod(01 2 λλµ −≡− (2.3.12)
и существует )1,,(2 λµ− -схема. При этом )(),( KPXP равномерные распределения.
Доказательство . Рассмотрим сначала необходимость условий. Согласно теореме 2.3.4, множества элементов строк матрицы зашифрования образуют )1,,(2 λµ− -схему, при этом )(),( KPXP равномерные распределения. Восполь-зуемся критерием совершенности шифра, согласно которому
Теоретическая стойкость шифров____________________________
61
.))(()()()(),(
∑∑∈∈
⋅=yKk
kyxKk
ydpkpkp (2.3.13)
Отсюда следует, что
,)(1))((1),(1)(
yKydpyxKyKk
k πλππ== ∑
∈
и поэтому .)(),( yKyxK =⋅λ
Величина ,)(yK как мы знаем, равна числу блоков схе-
мы, содержащих элемент ,y причем
.)1()1()( −−= λµyK Таким образом,
,1),()1( −=⋅− µλλ yxK откуда следует (2.3.12).
Достаточность. Пусть имеется )1,,(2 λµ− -схема и вы-полняется соотношение (2.3.12). Тогда (по теореме 2.3.6) су-ществует шифр В∑ с равномерными распределениями
),(),( KPXP имеющий следующие параметры
,0 µλ=p )1()1(1 −−= µλp , .)()( 22 λλµµπ −−=
Для этого шифра блоки схемы образуют множества элемен-тов строк матрицы зашифрования. Из условия (2.3.12), для
Глава 2
62
некоторого натурального числа ,Ν∈u выполняются равен-
ства 1)( 2 +−⋅= λλµ u и
.)()( 22 u⋅=−−= µλλµµπ
Покажем, что элементы в блоках можно упорядочить та-ким образом, чтобы в каждом столбце получившейся матри-цы зашифрования любой элемент Yy∈ встречался бы ровно u раз. Для этого заметим, что .)( λuyK = Это значит, что y должен встретиться в λu строках матрицы. Упорядочим не-которым образом элементы из Y и разместим их в строках матрицы зашифрования с помощью следующей индуктивной процедуры.
Возьмем любой элемент ,1 Yy ∈ входящий в первый блок, и поместим его в начало первой строки матрицы. Затем находим следующий блок, содержащий ,1y и также помеща-ем этот элемент в начало соответствующей строки матрицы. Так мы поступим u раз. Затем следующие u вхождений 1y располагаем на вторые позиции соответствующих строк мат-рицы и т. д. В результате этой процедуры в каждом столбце матрицы 1y будет встречаться ровно u раз. После расстанов-ки 1y остается )1( −µu незанятых мест в каждом столбце.
Далее берем элемент .12 yy ≠ Располагаем u из имею-щихся вхождений 2y в начала строк и т. д. Это возможно, так как имеется 1−uλ вхождений 2y в блоки, не содержащие 1y (есть лишь один блок, содержащий 1y и 2y одновременно).
В результате мы построим матрицу зашифрования шифра В∑ с нужными значениями параметров и равномерными
распределениями ).(),( KPXP Кроме того, для любых Xx∈ и Yy∈ справедливы равенства
Теоретическая стойкость шифров____________________________
63
.))(()()(1
)(1),(1)(
)(
2),(
∑
∑
∈
∈
==
=−
−===
yKkk
yxKk
ydpkpyK
uyxKkp
λπ
πλλ
µππ
Согласно критерию (2.3.13), шифр, соответствующий постро-енному коду, совершенен.
Помимо оценки (2.3.7) для числа ключей шифра В∑ с минимальным значением вероятности 1p имеет место также следующая оценка.
Теорема 2.3.7. Если для шифра В∑ выполняется равен-
ство )1()1(1 −−= µλp и ,2≥> λπ то .µπ ≥ Доказательство . Введем в рассмотрение матрицы
21, BB размеров πµ × с неотрицательными элементами, строки которых занумерованы элементами ,Yy∈ а столбцы элементами .Kk ∈ Пусть
( ),)(
,ikyi bB =
где
∉∈⋅= y
y ),(,0),()),(()()1(
, kYkYydpkpb k
ky
∉∈= ).(,0
),(,1)2(, kY
kYb ky y y
Пусть .21
TBBC ⋅= Поскольку
Глава 2
64
,2 rangCrangB ≥≥π
то достаточно показать, что .µ=rangC Имеем:
.))(()(),(
)2(,
)1(,, ∑∑
′∈∈′′ ⋅=⋅=
yyKkk
Kkkykyyy ydpkpbbc
Согласно теореме 2.3.2,
′=⋅
′≠⋅⋅−−
=∑
∑
∈
∈′.,))(()(
,,))(()(11
)(
)(, yydpkp
yyydpkpc
yKkk
yKkk
yy y
µλ
По той же теореме для любого Yy∈
.0))(()()(
≠⋅∑∈ yKk
k ydpkp (2.3.14)
Умножив строку матрицы C с номером y на величину,
обратную к (1), получим матрицу ,D эквивалентную :C
.
11...11
....
1...111
1...111
−−
−−
−−
=
µλ
µλ
µλ
D
Теоретическая стойкость шифров____________________________
65
Поскольку определитель D отличен от нуля, то
.µ== rangDrangC Теорема доказана. Шифр В∑ , удовлетворяющий условиям
,),1()1(, 10 µπµλµλ =−−== pp называется экстремальным. В [Re96] получен результат о со-вершенных экстремальных шифрах. Приведем его без доказа-тельства.
Теорема 2.3.8. Пусть В∑ экстремальный шифр с не- равновероятным распределением ).(XP Тогда элементы строк матрицы зашифрования данного шифра можно пере-упорядочить таким образом, что получится матрица за-шифрования совершенного экстремального шифра.
В качестве следствия этого утверждения в [Re96] приво-
дится также следующая Теорема 2.3.9. Для любого числа ,3≥q являющегося
степенью простого числа, существует совершенный экстре-
мальный шифр В∑ с параметрами .1,12 2 −=−= qq πλ
66
Г л а в а 3 Линейные блочные шифры
В этой главе множества X и Y рассматриваются как
подмножества векторных пространств над конечным полем. Пусть F конечное поле и rF пространство векто-
ров-строк длины Ν∈r над полем F :
.,1,:),...,( 1 riFvvvvF irr =∈==
Следуя [Mas87], введем
Определение 3.1. Шифр В∑ назовем линейным над ,F если
nm FYFX == , ( Ν∈nm, ),
и равенство
)()()( 22112211 xecxecxcxce kkk ⋅+⋅=⋅+⋅ (3.1)
выполняется для любых элементов Fcc ∈21, и любых
,, 21mFxx ∈ .Kk ∈
Условие (3.1) означает, что ke является линейным ото-
бражением mF на .nF Нас будет интересовать возможность построения совершенных линейных шифров.
Утверждение 3.2. Линейных над F совершенных
шифров не существует.
Линейные блочные шифры___________________________________
67
Доказательство . Пусть В∑ линейный над F совер-шенный шифр. Как мы убедились ранее, свойство совершен-ности шифра эквивалентно независимости случайных величин X~ и .~Y В силу этого выполняется равенство
).0()0()0,0(, YXYX ppp ⋅= (3.2)
Так как для линейного шифра 0)0( =ke при любом ,Kk ∈ то
,1)()0/0(/ == ∑∈Kk
XY kpp
и ).0()0()00()0,0( /, XXXYYX pppp =⋅= (3.3)
Из (3.2) и (3.3) получаем равенство
).0()0()0( YXX ppp ⋅=
Так как отображение ke инъективно и ,0)0( =ke то при
0≠x выполняется неравенство .0)( ≠xek Следовательно,
).0()()0(
)()0()()()0(
0)(:),(
XKk
KX
KkKX
xekx
KXY
pkpp
kppkpxpp
k
=⋅=
=⋅=⋅=
∑
∑∑
∈
∈=
Мы получили равенство
.)0()0( 2XX pp =
Глава 3
68
Согласно определению вероятностной модели шифра, .0)0( >Xp Тогда полученное равенство возможно лишь в
случае, когда .1)0( =Xp Но в таком случае 0)( =xpX для любого ненулевого ,Xx ∈ чего, опять-таки, быть не должно.
Полученное противоречие доказывает наше утверждение. Попытаемся построить линейный над F совершенный
шифр, изменив в определении 3.1 условия nm FYFX == , на условия
,0\mFX = ,0\nFY =
и считая ke ограничениями на X линейных отображений из
mF в .nF Далее под линейным над F шифром будем понимать
шифр, удовлетворяющий указанным условиям. Для линейного над F шифра правило зашифрования ke
можно задать матрицей kM размеров mn× и ранга .m В
самом деле, пусть ),...,( 1 mvvv =r
базис пространства ,mF
),...,( 1 nuuu =r
базис пространства ,nF и ),...,( 1 mv ccx =rr
для .Xx ∈ Пусть Yxey k ∈= )( и
),( 11 vey k= ).(..., mkm vey =
Так как векторы myy ,...,1 линейно независимы в простран-стве ,Y матрица
( ) mnumuk yyM ×↓↓= rr )....()( 1
Линейные блочные шифры___________________________________
69
имеет ранг ,m и выполняется равенство .↓↓ ⋅= vku xMy rr Транспонируя его, получаем равенство
.Tkvu Mxy ⋅= rr
rr (3.4)
Если ),(qGFF = то для минимального совершенного
линейного над F шифра выполняются равенства
.1−=== mqKYX
Отсюда и из теоремы Шеннона получаем следующее утвер-ждение.
Теорема 3.3. Минимальный линейный над F шифр В∑ является сильно совершенным тогда и только тогда, когда выполняются условия:
(i) для любых 0\, mFyx ∈ существует (и единст-венный) ключ ,Kk ∈ удовлетворяющий условию (3.4);
(ii) распределение )(KP равномерно.
Пример 3.4. Рассмотрим минимальный, линейный над ),2(GFF = шифр В∑ при .2=m Пусть 3,2,1=K и
,1110,10
0121
=
= MM .01
113
=M
Векторы из 0\2F связаны следующими соотношениями:
);1,1(),1,0(),0,1(),0,1( 321 =⋅=⋅=⋅= MxMxMxx
Глава 3
70
);0,1(),1,1(),1,0(),1,0( 321 =⋅=⋅=⋅= MxMxMxx
).1,0(),0,1(),1,1(),1,1( 321 =⋅=⋅=⋅= MxMxMxx
Согласно утверждению 3.3 такой шифр является сильно совершенным в том и только том случае, когда
).31,31,31()( =KP
Для того чтобы ввести следующее понятие, сделаем так-
же и множество K векторным пространством над полем F . Определение 3.5. Линейный шифр В∑ назовем билиней-
ным над ,F если
,0\mFX = ,0\nFY = ,0\sFK =
для некоторых ,,, Ν∈snm и выполняется равенство
)()()(212211 21 xecxecxe kkkckc ⋅+⋅=⋅+⋅ (3.5)
для тех ,,,,, 2121 FccKkkXx ∈∈∈ при которых опреде-лены все выражения в данном равенстве.
Заметим, что мы вынуждены были исключить из множе-
ства sF элемент ,0 поскольку из (3.5) следовало бы, что
0)(0 =xe для любого .Xx ∈ Поэтому для ключа 0=k требование однозначности расшифрования не выполняется.
Как и для линейного шифра, правило зашифрования би-линейного над F шифра можно представить в виде
Линейные блочные шифры___________________________________
71
,kMxy ⋅= (3.6)
где kM nm× -матрица ранга ,m причем такая, что для
любых ,, 21 Fcc ∈ Kkk ∈21, выполняется равенство
.212211 21 kkkckc McMcM ⋅+⋅=⋅+⋅ (3.7)
Заметим, что условие (3.7) эквивалентно тому факту, что
каждый элемент матрицы ,kM где ),,...,( 1 skkk = линеен по
,k т. е. является линейной комбинацией компонент .,...,1 skk В самом деле, пусть ),...,( 1 sij kkf элемент матрицы ,kM
выраженный в виде некоторой функции ijf от компонент
ключа (элементы матрицы kM должны определяться лишь
самим k ), и .2211 kckck += Тогда соответствующий элемент матрицы ,2,1, =rM rk имеет вид
),,...,( )()(
1r
sr
ij kkf
и, согласно (3.7),
=++ ),...,( )2(2
)1(1
)2(12
)1(11 ssij kckckckcf
),,...,(),...,( )2()2(
12)1()1(
11 sijsij kkfckkfc +=
то есть
).()()( 22112211 kfckfckckcf ijijij +=+
Глава 3
72
Это означает, что каждая функция ijf линейна по всем своим переменным.
Пример 3.6. Рассмотрим билинейный над полем )2(GF шифр В∑ с параметрами .2=== snm Правило зашифро-вания для В∑ определяется матрицей
.212
21
+= kkkkkM k
Чтобы проверить корректность определения правила зашиф-рования, достаточно убедиться в обратимости преобразова-ния (3.6) для любого .0≠k Непосредственно вычисляем:
,1001)0,1( )0,1(
=−= Mkпри
,1110)1,0( )1,0(
=−= Mkпри
.0111)1,1( )1,1(
=−= Mkпри
Каждая из этих матриц невырождена, что и требуется. Заметим, что шифр, приведенный в примере 3.6, совпада-
ет с шифром из примера 3.4. при кодировании ключей двоич-ными векторами. Пример 3.6 дает идею построения общей конструкции билинейного минимального сильно совершенно-го шифра.
Линейные блочные шифры___________________________________
73
Конструкция 1 1) Пусть 0),...,( 1 ≠= mkkk начальный вектор линей-
ной рекуррентной последовательности (ранга m ) максималь-ного периода над полем ).(qGF
2) Пользуясь законом рекурсии, выразим каждый из сле-дующих 1−m знаков 1221 ,...,, −++ mmm kkk ЛРП в виде линей-ных комбинаций переменных .,...,1 mkk
3) В качестве i -й строки матрицы kM возьмем вектор
),,...,,( 11 −++ miii kkk каждая координата ,, mjk j > которого записана в виде полученной на этапе 2) линейной комбина-ции.
Пример 3.7. Рассмотрим ЛРП, порожденную линейным
регистром сдвига длины 2 над полем )2(GFF = (рис. 3):
k1 k2
Рис. 3 Пользуясь конструкцией 1, получим матрицу
,212
21
+= kkkkkM k
совпадающую с матрицей из примера 3.6.
Глава 3
74
Пример 3.8. Рассмотрим ЛПР, порожденную линейным регистром сдвига длины 3 над полем )2(GFF = (рис. 4):
k1 k2 k3
Рис. 4
Пользуясь конструкцией 1, получим следующую матрицу:
.321313
3132
321
++++=
kkkkkkkkkk
kkkM k
При кодировании векторов числами, двоичной записью
которых они являются, получаем матрицу зашифрования рас-сматриваемого в этом примере билинейного шифра:
1 2 3 4 5 6 7
1 1 2 3 4 5 6 7 2 4 1 5 6 2 7 3 3 5 3 6 2 7 1 4 4 6 4 2 7 1 3 5 5 7 6 1 3 4 5 2 6 2 5 7 1 3 4 6 7 3 7 4 5 6 2 1
Линейные блочные шифры___________________________________
75
Данная матрица является латинским квадратом. В случае когда все ключи равновероятны, рассматриваемый шифр яв-ляется минимальным сильно совершенным шифром.
Утверждение 3.9. Матрица ,kM полученная с помощью
конструкции 1, отвечает правилу зашифрования билинейного над F минимального сильно совершенного шифра в соот-ветствии с формулой (3.6).
Доказательство . Достаточно проверить, что выполня-
ется условие (ii) утверждения 3.3. Известно (см., например, [Глу90]), что матрица ,kM по-
строенная с помощью конструкции 1, обладает следующим свойством.
При любом фиксированном 0\mFx ∈ вектор kMx ⋅ представляет собой состояние регистра, полученное после фиксированного числа )(xll = тактов его работы из началь-ного состояния .k Пусть ),( kMxkl ⋅ расстояние между
векторами k и kMx ⋅ на соответствующем цикле линейного преобразования. Тогда упомянутое свойство может быть за-писано в виде равенства
).,(),( kk MxklMxkl ′⋅′=⋅ (3.8)
Для ЛРП максимального периода все ненулевые векторы
образуют один цикл и входят в него ровно по одному разу. Пусть k пробегает всевозможные значения из 0\mF . То-гда и kMx ⋅ пробегает то же множество значений. В самом
деле, если ,kk ≠′ то, в силу (3.8), .kk MxMx ′⋅≠⋅ Следова-тельно, для любых ненулевых x и y найдется единственное
Глава 3
76
значение ,k удовлетворяющее условию (ii) утверждения 3.3. Утверждение доказано.
Конечное поле )( mqGF можно рассматривать как век-торное пространство над подполем ).(qGFF = При задан-
ном базисе его элементы представляются векторами из .mF Так что, если )(, 21
mqGF∈ββ представлены векторами 1v и 2v соответственно, и ,, 21 Fcc ∈ то 2211 ββ cc + представ-ляется вектором .2211 vcvc + Если минимальный многочлен
элемента )( mqGF∈α над F имеет степень ,m то получаем
канонический базис .,...,,, 12 −me ααα Пример 3.10. Пусть α примитивный элемент поля
),2( 2GF имеющий минимальный многочлен 12 ++ xx над ).2(GFF = Представим элементы базиса 1 и α векторами
)0,1( и )1,0( соответственно. Так как ,12 += αα то умноже-
ние элементов в )2( 2GF может быть записано в виде
α
αα
⋅⋅+⋅+⋅+⋅+⋅=
=⋅+⋅+
)()(
))((
2212212211
2121
zxzxzxzxzx
zzxx
или в координатной форме
).,(),)(,( 22122122112121 zxzxzxzxzxzzxx ⋅+⋅+⋅⋅+⋅=
С использованием координатной формы записи элемен-тов поля )( mqGF можно предложить следующую конструк-
Линейные блочные шифры___________________________________
77
цию билинейного над F минимального сильно совершенного шифра ,В∑ для которого
.0\)( mqGFKYX ===
Конструкция 2 1) Пусть ),...,(),,...,( 11 mm kkkxxx == ненулевые
элементы поля ),( mqGF представленные в координатной форме.
2) Определим правило зашифрования )(xey k= в соот-ветствии с соотношением
kxy ⋅= (3.9)
в поле ).( mqGF
Пример 3.11. Пусть ),1( α базис поля )2( 2GF над )2(GFF = из примера 3.10. Конструкция 2 дает билинейный
над F шифр с правилом зашифрования
=⋅+⋅+⋅⋅+⋅= ),(),( 221221221121 kxkxkxkxkxyy
.2
1
212
21
⋅
+= xx
kkkkk
Этот шифр совпадает с шифром из примера 3.6.
Утверждение 3.12. Конструкция 2 строит минимальный билинейный над F сильно совершенный шифр.
Глава 3
78
Доказательство . Свойство билинейности шифра сле-дует из аксиом правой и левой дистрибутивности, выпол-няющихся в поле. Кроме того, в поле для ненулевых элементов x и y однозначно разрешимо уравнение (3.9). Тем самым можно использовать утверждение 3.3.
Конструкцию 2 можно естественным образом обобщить. Конструкция 3 1) Пусть ),...,(),,...,( 11 mm kkkxxx == ненулевые
элементы поля ),( mqGF представленные в координатной форме.
2) Определим правило зашифрования )(xey k= в соот-ветствии с соотношением
kxy ~~~ ⋅=
в поле ).( mqGF Здесь
,~,~,~ CyyBkkAxx ⋅=⋅=⋅=
а CBA ,, невырожденные mm× -матрицы над ).(qGF Таким образом, для вычисления )(xek следует вычис-
лить Axx ⋅=~ и ,~ Bkk ⋅= перемножить их в координатной
форме, и по произведению kxy ~~~ ⋅= вычислить .~ 1−⋅= Cyy Очевидно, что конструкция 3 также дает билинейный над
F минимальный сильно совершенный шифр. Такие шифры названы мультипликативными. В [Mas87] сформулирован ряд нерешенных задач:
Линейные блочные шифры___________________________________
79
• Является ли сильно совершенный билинейный шифр, построенный с помощью конструкции 1, мультиплика-тивным шифром?
• Является ли любой сильно совершенный билинейный шифр мультипликативным шифром?
• Является ли любой сильно совершенный линейный шифр билинейным шифром?
80
Г л а в а 4 Обобщения теоремы Шеннона
Теорема Шеннона может быть обобщена и для некото-
рых других криптоатак. Рассмотрим криптоатаки на основе нескольких шифртекстов, полученных на одном ключе.
§ 4.1. Вероятностные распределения
Будем предполагать, что выбор открытых текстов из X осуществляется по схеме случайной выборки с возвращением. Тем самым, для любого Ν∈L на множестве ,LX состоящем из всевозможных упорядоченных строк длины L элементов, принадлежащих ,X вводится распределение вероятностей
),( LXP так что вероятность )(xp LX выбора строки
),...,( 1 Lxxx = открытых текстов равна
,)()(1∏=
=L
iiXXxpxp L
где )(xpX априорная вероятность выбора .Xx∈ Легко проверить, что
.1)( =∑∈ L
LXx
Xxp
Нас будут интересовать лишь размещения или сочетания
из L элементов множеств X или .Y Через )(LX и )(LX
Обобщения теоремы Шеннона________________________________
81
будем обозначать соответственно множества всех размеще-ний и сочетаний из L элементов множества .X Распределе-ние )( LXP индуцирует распределения вероятностей
))(( LXP и ))(( LXP на множествах )(LX и ),(LX так что для )(LXx ∈
,)(
)()(
)(∑∈′
′=
LXx X
X
xpxp
xpL
L (4.1.1)
а для )(LXX ∈′
),(!)( xpLXp ⋅=′ (4.1.1′)
где x любое размещение из элементов множества .X ′ Можно проверить, что
1)()(
=∑∈ LXx
xp и .1)()(
=′∑∈′ LXX
Xp
Отметим, что при XL = получаем )( XLX =
множество, состоящее из одного элемента, и тогда, согласно (4.1.1′), .1)( =Xp
Элемент )(LYY ∈′ ( )(LYy ∈ ), ,Ν∈L назовем разре-шенным, если найдутся такие )(LXX ∈′ ( )(LXx ∈ ) и
,Kk ∈ что YXek ′=′)( ( yxek =)( ). Обозначим через
)(LYР ( )(LYР ) множество всех разрешенных )(LYY ∈′ ( )(LYy ∈ ).
Априорные распределения ))(( LXP ( ))(( LXP ) и )(KP индуцируют распределение вероятностей ))(( LYP Р
Глава 4
82
( )(( LYP Р ) на множестве разрешенных совокупностей из L элементов множества Y по формуле
,)()()()( ),(
∑ ∑∈′ ′′∈
⋅′=′
LXX YXKkkpXpYp (4.1.2)
,)()()()( ),(
⋅= ∑ ∑
∈ ∈LXx yxKkkpxpyp (4.1.2′)
где ),( YXK ′′ ( ),( yxK ) множество возможных ключей, связывающих данные совокупности текстов. Можно прове-рить, что
,1)()(
=′∑∈′ LYY
YpР
( 1)()(Р
=∑∈ LYy
yp ),
хотя это следует и из общих соображений.
Для
)(LXX ∈′ ( )(LXx ∈ ) и )(LYY Р∈′ ( )(LYy Р∈ )
через )/( YXp ′′ ( )/( yxp ) обозначим вероятность того, что на некотором ключе была зашифрована совокупность откры-тых текстов X ′ ( x ) при условии, что получена совокупность шифртекстов Y ′ ( y ). Эта вероятность вычисляется по фор-муле
,)(
)'/()()/(Yp
XYpXpYXp′′⋅′
=′′ (4.1.3)
Обобщения теоремы Шеннона________________________________
83
,)(
)/()()/(
⋅=
ypxypxpyxp (4.1.3′)
где
∅=′′
∅≠′′=′′
∑′′∈
.),(,0
,),(,)()/( ),(
YXK
YXKkpXYp YXKk
если
если (4.1.4)
∅=
∅≠=
∑∈
.),(,0
,),(,)()/( ),(
yxK
yxKkpxyp yxKk
если
если (4.1.4′)
§ 4.2. Шифры, стойкие к атакам на основе не-упорядоченной совокупности шифртекстов, полученных на одном ключе
Следуя [God90], введем Определение 4.2.1. Будем говорить, что шифр В∑
удовлетворяет условию )(LU -стойкости (или является )(LU -стойким), если для любого )(LYY Р∈′ и для любого
)(LXX ∈′ выполняется равенство
).()( XpYXp ′=′′ (4.2.1)
Свойство )(LU -стойкости можно было назвать точнее свойством неупорядоченной L -кратной совершенной стой-
Глава 4
84
кости шифра, однако это намного длиннее. Буква U в назва-нии условия это первая буква слова Unordered (неупорядо-ченный).
Далее для упрощения записи будем вместо ,, Kkek ∈ использовать запись ,Ee∈ имея в виду, что имеется взаимно однозначное соответствие между множествами K и .E
Как и совершенные по Шеннону шифры, )(LU -стойкие шифры должны быть транзитивными.
Лемма 4.2.2. Если шифр В∑ удовлетворяет условию )(LU -стойкости, то для любых )(),( LXXLYY ∈′∈′ Р
справедливо неравенство .1),( ≥′′ YXK Доказательство . От противного: предположим, что
YXe ′≠′)( для некоторой пары подмножеств YX ′′, и лю-бого .Ee∈ Но тогда, очевидно, ,0)( =′′ YXp в то время как
.0)( >′Xp Получили противоречие с условием )(LU -стойкости.
Как и в § 2.2, далее будем использовать обозначения .,, πµλ === KYX
Лемма 4.2.3. Если шифр В∑ удовлетворяет условию )(LU -стойкости, то для числа его ключей π выполняется
неравенство .)(LYР≥π
Более того, если ,)(LYР=π то
(i) 1),( =′′ YXK для любых );(),( LYYLXX Р∈′∈′
Обобщения теоремы Шеннона________________________________
85
(ii) если )(LYY Р∈′ и )(XeY ⊂′ для некоторых ,Ee∈ то ).()( epYp =′
Доказательство . Пусть ).(LXX ∈′ По лемме 4.2.2 для
любого )(XeY ⊂′ найдется такой ,Ee∈ что .)( YXe ′=′ Зафиксировав X ′ и заставив Y ′ пробегать все множество
),(LYР получим, по меньшей мере, )(LYР ключей. Отсюда
следует, что .)(LYР≥π
Пусть теперь )(LYР=π . Рассуждения, проведенные при доказательстве неравенства, сразу дают единственность соот-ветствующего ключа, что дает (i).
Пусть )(LYY Р∈′ и )(LXX ∈′ такие совокупности, что )(XeY ⊂′ и .)( YXe ′=′ Тогда, согласно (i), e един-ственный такой элемент из .E По условию
),()(
)()()/( XPYP
XPXYPYXp ′=′
′⋅′′=′′
откуда ).()( YpXYp ′=′′ Так как ,)()( ePXYP =′′ то
),()( epYp =′ что и требуется.
Теорема 4.2.4. Если шифр В∑ удовлетворяет условию )(LU -стойкости, ( λ≤L ), то
.LCλλµπ ⋅≥ (4.2.2)
Более того, если
,LCλλµπ ⋅=
Глава 4
86
то (i) при 1>L для любых Eee ∈21, выполняется
одно из равенств: ),()( 21 XeXe = или ;)()( 21 ∅=∩ XeXe
(ii) если ),()( 21 XeXe = то )()()( 21 Ypepep ′== при любом ),(LYY Р∈′ для которого ).(1 XeY ⊂′
Доказательство . Согласно лемме 4.2.3, достаточно по-
казать, что
.)( LCLY λλµ⋅≥Р
Выберем любой шифртекст .y Найдутся ,, XxEe ∈∈
такие, что .)( yxe = Для наглядности дальнейших рассужде-ний приведем рисунок:
.x e y. X )(Xe Y
Рис. 5
Оценим число разрешенных L -множеств Y ′ из ),(Xe
содержащих .y Так как ,)( λ=Xe то имеется 11−−
LCλ допол-
нений y до L -множества. В свою очередь, выбор y можно
осуществить µ способами. Всего набирается 11−−⋅ LCλµ L -
Обобщения теоремы Шеннона________________________________
87
множеств. Каждое из таких L -множеств встретится при на-шем построении ровно L раз. В самом деле, если
,,...,, 110 −==′ LyyyyY
то такое множество Y ′ можно также представить в виде
,,...,,, 1201 −==′ LyyyyyY
,...,...,,, 1102 −==′ LyyyyyY ,
или, наконец, в виде
.,...,,, 2101 −−==′ LL yyyyyY Поэтому
,)!(!
!
)!()!1()!1()( 1
1
λ
λ
λµ
λλλµ
λλµµ
L
L
CLL
LLLC
LLY
⋅=−⋅
⋅=
=−−⋅
−⋅=⋅≥ −
−Р
что и требуется.
Обратимся к проверке свойств (i) и (ii). Предположим, что
.LCλλµπ ⋅=
Тогда и
.)( LCLY λλµ⋅=Р
Пусть 1>L (тогда 01>−L ).
Глава 4
88
Мы заметили, что каждый Yy∈ входит, по крайней ме-
ре, в 11−−
LCλ разрешенных L -множеств (из )(Xe ). Всего же их (по условию) имеется
=⋅ LCλλµ .1
1−−⋅ LC
L λµ
Если бы некоторый y содержался более чем в 1
1−−
LCλ L -множествах, то отсюда следовало бы неравенство
,)(11
LCLY
L−−⋅
> λµР
что не так. Значит каждый y содержится в точности в 1
1−−
LCλ разрешенных L -множествах. Поэтому если ),(Xey ′∈ то обязательно
).()( XeXe =′
В самом деле, мы насчитали 11−−
LCλ подмножеств в множестве ),(Xe содержащих .y Поэтому, если ),()( XeXe ≠′ то в
)()( XeXe ∪′ можно было найти еще некоторое число под-множеств, чего быть не может. Отсюда следует (i). Условие (ii) сразу следует из леммы 4.2.3. Заметим, что при 1=L ут-верждение пункта (i) неверно.
Рассмотрим нижнюю границу из теоремы 4.2.4 примени-тельно к случаю, когда .µλ = При этом условии LCλπ = минимально возможное число ключей, необходимое для обеспечения )(LU -стойкости. Заметим, что в случае, когда
,µλ < изучение )(LU -стойких шифров, для которых
Обобщения теоремы Шеннона________________________________
89
,LCλλµπ ⋅= сводится по теореме 4.2.4 к случаю, когда
.µλ = Пусть для простоты .YX = Тогда каждое правило за-
шифрования это некоторая подстановка на X и, согласно условию (ii) теоремы 4.2.4, все ключи )(LU -стойкого шифра равновероятны. В этих условиях можно сформулировать кри-
терий того, что LCλ подстановок на X образуют множество ,E отвечающее )(LU -стойкой шифрсистеме. Заметим, что
в таком случае )(LYР состоит из всех L -подмножеств из ,XY = то есть что все L -подмножества из X разрешен-
ные. В самом деле, .)()( LXCLX L === λπ Р
Так как ),()( LXLX ⊆Р то ).()( LXLX =Р
Теорема 4.2.5. Пусть XY = и E множество под-становок на ,X рассматриваемое как множество правил
зашифрования для шифра В∑ с числом ключей .LCλπ = То-гда такой шифр является )(LU -стойким тогда и только тогда, когда
(i) 1),( =′′ YXE для любой пары L -подмножеств YX ′′, (из X );
(ii) LCep λ/1)( = для любого .Ee∈ Доказательство . Необходимость следует из условий
(ii) теоремы 4.2.4 и (i) леммы 4.2.3. Для проверки достаточно-сти рассмотрим вероятность :)/( XYP ′′
Глава 4
90
./1)()()/(),(
L
YXEeCepepXYp λ===′′ ∑
′′∈
Вместе с тем,
.1)(
)()()(
)(:),(
)(L
YXeXe L
LXX
CC
XPXPePYP
λλ=
′′
=′′⋅=′ ∑∑
′=′′′′
∈′′
В результате получаем равенство ,)()( YPXYP ′=′′ что и требуется.
Заметим, что в случае 1=L теорема 4.2.5 в точности совпадает с теоремой Шеннона.
Определение 4.2.6. Множество подстановок E на X
называется ),( ωt -однородным на ,X если для любых )(, 21 tXXX ∈ существует ровно ω подстановок ,Ee∈
для которых .)( 21 XXe =
Однородные множества подстановок изучались в ряде работ, например [Nom85], [StiTei90], [Bie92], [Bie95].
Согласно пункту (ii) теоремы 4.2.5, задача построения )(LU -стойких шифров в случае, когда ,YX = ,LCλπ = эк-
вивалентна задаче построения )1,(L -однородных множеств подстановок на множестве из λ элементов. Эта задача экви-валентна также задаче построения так называемых перпенди-кулярных массивов специального вида.
Определение 4.2.7. Перпендикулярным массивом
),,( µλω tPA называется всякая матрица A размеров
Обобщения теоремы Шеннона________________________________
91
λω µ ×⋅ tC с элементами из множества Y мощности ,µ
каждая строка которой состоит из λ различных элемен-тов, и любые t различных элементов множества Y содер-жатся точно в ω строках подматрицы, составленной любыми t столбцами матрицы A .
Непосредственно из определений 4.2.1, 4.2.7 и теоремы 4.2.5 следует
Теорема 4.2.8. Если существует перпендикулярный мас-
сив ),,,( µλω tPA то существует и )(tU -стойкий шифр В∑ с параметрами
,, µλ == YX .tCK µω ⋅=
Для доказательства достаточно рассмотреть массив ),,( µλω tPA как матрицу зашифрования искомого шифра с
равновероятными ключами. При этом строки и столбцы мат-рицы можно пронумеровать их порядковыми номерами, тогда
,,...,2,1 λ=X .,...,2,1 µ=Y
В случае когда ,YX = ,LCλπ = построение )(LU -
стойкого шифра эквивалентно построению перпендикулярно-го массива ).,,(1 λλLPA Попутно отметим, что если выпи-сать друг под другом подстановки ),( ωt -однородного множества подстановок степени ,λ то получится перпенди-кулярный массив ).,,( λλω tPA
Известно, что при ,4≤L ,4≤ω существуют перпенди-кулярные массивы ),,( λλω LPA ([Sti90]). Например, сущест-
Глава 4
92
вует ),,3(1 λλPA при 8=λ и .32=λ Имеется бесконечный класс массивов )1,1,3(3 ++ qqPA для любой степени про-стого числа ,q где ).4(mod3≡q При 9=λ и 33=λ суще-ствуют массивы ).,,4(4 λλPA Все эти примеры получены на основе ),( ωt -однородных множеств подстановок, являющих-ся группами.
Глубокие результаты по теории перпендикулярных мас-сивов изложены в [Bie94].
Далее мы отдельно рассмотрим случай .2=L Исполь-зуем для построения )2(U -стойкого шифра перпендикуляр-ный массив ),,,2(1 λλPA где λ нечетное простое число.
Лемма 4.2.9. В любом перпендикулярном массиве
),,2(1 λλPA при 2>λ каждый элемент из Y входит ровно 2)1( −λ раз в каждый столбец (и, следовательно, λ не-
четно). Доказательство . Рассмотрим произвольные столбцы
матрицы ),,2(1 λλPA с номерами .,, hji Пусть произволь-ный элемент Yy∈ содержится в этих столбцах hji kkk ,, раз соответственно. Из определения перпендикулярного массива следует, что в строках подматриц, состоящих из столбцов
),( ji и ),,( hi число пар элементов, содержащих ,y выража-ется в виде
.1−=+=+ λhiji kkkk Аналогично
.1−=+=+ λhjij kkkk
Из полученных соотношений следует равенство
Обобщения теоремы Шеннона________________________________
93
,2)1( −=== λhji kkk
что и требуется. Пусть λ нечетное простое число и
,...,)( 10 −== λλ aaGFP
конечное поле. Рассмотрим матрицу M размеров ,2 λλ ×C у которой столбцы занумерованы элементами ,Px∈ а строки
некоторым множеством Ω из 2λC упорядоченных пар
.),( 2Pji ∈ На пересечении столбца x и строки ),( ji в M расположим элемент .Pjxi ∈+⋅
Теорема 4.2.10. Множество Ω можно выбрать таким образом, что матрица M является перпендикулярным мас-сивом ).,,2(1 λλPA
Доказательство . Сделаем ряд замечаний. Поле P содержит единицу ε и противоположный к ней
элемент ).( ε− По лемме 4.2.9 в столбце матрицы M с номе-ром )( ε− каждый элемент поля встречается ровно 2)1( −λ раз. Это касается и нуля поля .0 Таким образом, среди номеров строк должно быть ровно 2)1( −λ пар ),( ji таких, что ,0)( =+−⋅ ji ε то есть .ji =
При 0=i соответствующая строка матрицы M состоит из одинаковых элементов (равных j ). Поэтому для построе-ния перпендикулярного массива необходимо условие, при котором каждая строка была бы пронумерована парой ),,( ji в которой .0≠i
Глава 4
94
Покажем, что если для некоторого Pi∈ пара ),( ii при-надлежит ,Ω и M перпендикулярный массив, то
.),( Ω∉− ki В самом деле, пусть, наряду с парой ),,( ii множество Ω
содержит также пару ),,( ki− в которой .ik ≠ Рассмотрим тогда элементы матрицы ,M стоящие на пересечении столб-ца с номером 0 и строк с номерами ),( ii и ).,( ki− Они рав-ны соответственно i и .k Аналогично в столбце с номером
1)( −⋅− iik на позициях с теми же номерами расположены соответственно k и .i Это противоречит определению пер-пендикулярного массива, так как в выделенных строках нахо-дятся пары, отличающиеся лишь перестановкой своих элементов. Заметим, что среди “забракованных” пар ),( ki− содержатся пары вида ).,( ii −− Если же Ω содержит пары
),,(),,( iiii − то на пересечении строк матрицы M с этими номерами и столбцов с номерами a и a− окажутся пары
),( iaiiai +⋅−+⋅ и ),,( iaiiai +⋅+⋅−
что также невозможно.
Из сделанных замечаний следует вывод о том, что для построения перпендикулярного массива M при фиксации
2)1( −λ пар вида ),,( ii служащих номерами строк ,M ос-тальные пары могут иметь лишь вид ),,( ki где i элемент одной из фиксированных пар. В самом деле, все элементы поля оказываются разложенными на три части: множество элементов ,i входящих в выбранные пары (их ровно
2)1( −λ ), множество элементов i− (их также 2)1( −λ ), и отдельно элемент .0
Обобщения теоремы Шеннона________________________________
95
Заметим, что всего мы сможем набрать таким образом ровно 2)1( −λλ таких пар: по λ пар ,),,( Pjji ∈ опреде-ляемых выбором пары ).,( ii Именно столько пар требуется для нумерации столбцов матрицы .M Покажем, что любая такая матрица M является перпендикулярным массивом. Ес-ли это не так, то возможны лишь два случая:
1) Найдутся два столбца (скажем, с номерами a и b ) и две строки (скажем, с номерами ),( ji и ),( ji ′′ ) такие, что образованная ими подматрица состоит из одинаковых векто-ров-строк.
2) Найдутся два столбца (скажем, с номерами a и b ) и две строки (скажем, с номерами ),( ji и ),( ji ′′ ) такие, что образованная ими подматрица состоит из одинаковых после перестановки элементов векторов-строк.
В первом случае получаем равенства
jiajia ′+′⋅=+⋅ и
,jibjib ′+′⋅=+⋅
с помощью которых получаем соотношение =′⋅− iba )( iba ⋅− )(
или .0)()( =′−⋅− iiba
Так как по условию ,ba ≠ то
ii ′= и .jj ′=
Отсюда следует, что первый случай невозможен. Во втором случае
Глава 4
96
jibjia ′+′⋅=+⋅ и
,jiajib ′+′⋅=+⋅ откуда
iabiba ′⋅−=⋅− )()( или
.0)()( =−⋅′+ baii
Так как по условию ,ba ≠ то ,ii ′−= что противоречит на-шему выбору множества пар .Ω
Тем самым мы показали, что матрица M является пер-пендикулярным массивом. Теорема доказана.
Вопрос о существовании )(LU -стойких шифров с мини-
мальным числом ключей при 2>L является открытым. Если отказаться от условия минимальности числа ключей, то при любом L несложно указать пример )(LU -стойкого шифра. Это будет ясно из дальнейших рассмотрений.
Рассмотрим теперь неэндоморфные )(LU -стойкие шиф-ры. Ослабим требование µλ = и рассмотрим случай, когда
λµ ≥ и .λ
µπ λ
LC⋅=
Пусть сначала .1=L Тогда
.1
µλ
µπ λ =
⋅=
C
Для )1(U -стойкого шифра по лемме 4.2.3 выполняется
неравенство .)1(РY≥π Но ,)1( YY =Р поэтому
Обобщения теоремы Шеннона________________________________
97
.)1( πµ === YYР
Согласно утверждению (i) леммы 4.2.3, )1(РY=π тогда
и только тогда, когда для любого Xx∈ и любого Yy∈ най-дется единственный элемент ,Ee∈ такой, что .)( yxe = Со-ставим матрицу зашифрования:
XE 1x … λx
1e 1iy …
1jy
… … … …
µe µiy …
µjy
Из сказанного следует, что любой столбец матрицы не
может содержать совпадающих элементов. Другими словами, каждый столбец матрицы некоторая перестановка элемен-тов множества .Y Кроме того, и каждая строка состоит из различных элементов.
Прямоугольная матрица, составленная из элементов множества ,Y в которой строки и столбцы не содержат оди-наковых элементов, называется латинским прямоугольником. Таким образом, в рассматриваемом случае матрица зашифро-вания )1(U -стойкого шифра является латинским прямоуголь-ником.
Известна приближенная формула для числа ),( µλL ла-тинских прямоугольников, доказанная в 1946 году П .Эрде-шем и И .Капланским ([Коф75]):
Глава 4
98
,)!(),( 2)1( λλ
λµµλ−
−⋅≈ eL
имеющая место при условии .)(ln 5,1µλ < Позже К .Ямамото
доказал справедливость этой формулы при условии 3 µλ < ([Рио63]).
Пусть теперь .1>L По утверждению (i) теоремы 4.2.4
число ключей π достигает минимального значения LCλλµ⋅
при t⋅= λµ ),( Ζ∈t причем множество Y разбивается на t подмножеств ,,...,1 tYY каждое мощности ,λ и такие, что для любого Ee∈ имеет место равенство iYXe =)( для некото-
рого .,1 ti∈ Введем обозначение
.,1,)(: tiYXeEeE ii ==∈=
Тогда Ui
iEE =
разбиение множества .E Согласно утверждению (ii) тео-ремы 4.2.4, из равенства )()( 21 XeXe = следует, что
).()( 21 epep = Легко видеть, что каждая тройка )~,~,~( ii EYX
образует )(LU -стойкий шифр, ,,1 ti = для которого .λµ = Тем самым, изучение )(LU -стойких шифров в случае, когда
λµπ λLC⋅= и λµ >
Обобщения теоремы Шеннона________________________________
99
сводится к изучению )(LU -стойких шифров, для которых .λµ =
В заключение докажем, что совершенная стойкость )(LU -стойкого шифра не зависит от распределения вероят-
ностей на множестве открытых текстов. Теорема 4.2.11. Пусть 0
B∑ шифр с априорным рас-пределением вероятностей ),(0 XP удовлетворяющий усло-
вию )(LU -стойкости, и 1B∑ шифр, отличающийся от
0B∑ лишь распределением вероятностей ).(1 XP Тогда 1
B∑ также удовлетворяет условию )(LU -стойкости.
Доказательство . Воспользуемся критерием )(LU -
стойкости шифра 0B∑ в форме равенства
),()( 111 YpXYp =
записанного в виде
.))(()()()(
10),( 111
∑∑∈∈
⋅=YKk
kYXKk
Ydpkpkp (4.2.3)
Проверим аналогичное равенство применительно к
шифру .1B∑ Для этого заметим, что
=⋅∑
∈ )(11
1
))(()(YKk
k Ydpkp
∑ ∑∈′ ′∈
=
⋅′=
)( ),(1
1
)()(LXX YXKk
kpXp
Глава 4
100
,)()(),()(
11
⋅
′= ∑∑
′′∈∈′ YXKkLXXkpXp (4.2.4)
где X ′′ любой фиксированный элемент из ).(LX Это сле-дует из того, что ∑
′∈ ),( 1
)(YXKk
kp не зависит от .X ′
Согласно (4.2.3), правую часть (4.2.4) можно записать в
виде
=⋅⋅′ ∑∑∈∈′ )(
10)(
11
))(()()(YKk
kLXX
YdpkpXp
,)())(()(),()(
10111
∑∑∈∈
=⋅=YXKkYKk
k kpYdpkp
поскольку
.1)()(
1 =′∑∈′ LXX
Xp
Отсюда следует
,)())(()(),()(
11111
∑∑∈∈
=⋅YXKkYKk
k kpYdpkp
что и требуется.
Обобщения теоремы Шеннона________________________________
101
§ 4.3. Имитостойкие )(LU -стойкие шифры Нас будут интересовать )(LU -стойкие шифры, имеющие
наилучшие параметры имитостойкости. Помимо упомянутых в главе 2 параметров 0p и 1p рассматривают также вероят-ность ,2, ≥LpL успеха противника в попытке обмана по-рядка .L Имеется в виду ситуация, когда противник может наблюдать L различных криптограмм, полученных на одном ключе, и заменять их на некое “поддельное” сообщение по своему усмотрению.
В [Sti88], [Soe88] получена простая нижняя оценка веро-ятности .Lp
Теорема 4.3.1. Имеет место достижимая оценка
.LLpL −
−≥µλ
(4.3.1)
Доказательство . Пусть противник наблюдает в канале
связи множество шифртекстов .,..., 1 LyyY =′ Обозначим через ),( Yyp ′ вероятность того, что шифртекст YYy ′∈ \ будет принят получателем сообщений как аутентичный. То-гда
,))(()(
))(()(),(
)(
)(
∑
∑
′∈
∪′∈
′⋅
′⋅=′
YKkk
yYKkk
Ydpkp
YdpkpYyp (4.3.2)
где
.)(,,:)( YXeYXXXKkYK k((((((
==⊂∃∈=
Глава 4
102
Аналогично тому, как это делалось в теореме 2.2.3, про-веряется равенство
,),(
\LYyp
YYy−=′∑
′∈λ (4.3.3)
из которого следует искомое неравенство:
.),(max\ L
LYyppYYyL −
−≥′=
′∈ µλ
Если этот максимум достигается на ,0y то противник выби-рает его в своей попытке обмана.
Определение 4.3.2. Будем говорить, что шифр удовле-творяет условию L -стойкости к попытке обмана, если для любого ,0, Lii ≤≤ выполняется равенство
.iipi −
−=µλ
(4.3.4)
В ряде работ (например, [Soe88], [Sti90], [Mitt94],
[Cas98]) изучались шифры, одновременно удовлетворяющие условию )(LU ′ -стойкости и условию L -стойкости к попытке обмана. Наибольшее внимание уделялось случаям, когда
1−=′ LL или .LL =′ Первое сочетание наиболее естествен-но в случае, когда противник может вставить новое сообще-ние в канал связи, но не может модифицировать наблюдаемые сообщения. Если же противник может модифицировать со-общения, то естественно изучать второй случай.
Сформулируем ряд результатов в этом направлении.
Обобщения теоремы Шеннона________________________________
103
Теорема 4.3.3. Если шифр В∑ удовлетворяет условию )(LU -стойкости и условию )1( −L -стойкости к попытке
обмана, то .LCµπ ≥
Доказательство . Пусть .),1( 0 YyLYY ′∉−∈′ Р Пред-положим, что ).( 0 LYyY Р∉∪′
Как и в теореме 4.3.1, вероятность того что при попытке обмана шифртекст y будет принят как аутентичный, при ус-ловии что наблюдается множество криптограмм ,Y ′ вычисля-ется по формуле (4.3.2). Аналогично (4.3.3), справедливо равенство
,1),(
\+−=′∑
′∈LYyp
YYyλ
причем одно из слагаемых этой суммы ),( 0 Yyp ′ равно нулю. Если бы все остальные слагаемые были не больше от-ношения
),1(:)1( +−+− LL µλ
то их сумма была бы строго меньше .1+− Lλ Значит, для некоторого YYy ′∈ \
,11),(
+−+−
>′LLYyp
µλ
и
,11),(max1 +−
+−>′=− L
LYyppyL µ
λ
Глава 4
104
что противоречит условию )1( −L -стойкости к попытке об-мана. Следовательно, ).()( LYLY =Р
Так как шифр В∑ удовлетворяет условию )(LU -стойкости, для любого )(LYY Р∈′ и любого )(LXX ∈′ справедливо неравенство ,1),( ≥′′ YXK откуда
,)()( LCLYLY µπ ==≥ Р
что и требуется.
В [Soe88] шифр ,В∑ имеющий ровно LCµ ключей, удов-
летворяющий условию )(LU -стойкости и условию )1( −L -стойкости к попытке обмана, назван оптимальным )1,( −LL -шифром.
Примеры )(LU -стойких шифров, выдерживающих по-пытки обмана, дает конструкция перпендикулярного массива
).,,2(1 µλPA Имеет место, например, следующий результат. Теорема 4.3.4. Если существует перпендикулярный мас-
сив ,2),,,2(1 >λµλPA то существует шифр ,В∑ для ко-торого
,, µλ == YX и ,2
µCK =
причем )2(U -стойкий и 0 -стойкий к попытке обмана. Доказательство . Рассмотрим данный перпендикуляр-
ный массив в качестве матрицы зашифрования для .В∑ Если строка матрицы с номером k имеет вид ),,...,( 1 λyy то пола-
Обобщения теоремы Шеннона________________________________
105
гаем .,1,)( λ== iyxe iik Будем использовать ключ k с ве-роятностью
.)1(2)( −= µµkp
Как и в лемме 4.2.9, при 2>λ каждый символ содер-
жится ровно 2)1( −µ раз в каждом столбце массива. Отсюда следует, что
.)1(
22
1)(max)(
0 µλµµ
µλ =−
⋅−
⋅== ∑∈ yKky
kpp
Из определения перпендикулярного массива
),,2(1 µλPA следует, что для любых yy ′, и любых xx ′, в матрице имеется лишь одна строка (пусть ее номер k ) та-кая, что
YyyxexeX kk ′=′=′=′ ,)(),(
или, что то же самое,
.1),( =′′ YXK Тогда
=−
===′′ ∑′′∈ )1(
2)()()(),( µµ
kpkpXYpYXKk
=′⋅−
= ∑∈′ )2(
)()1(
2
XXXp
µµ
Глава 4
106
).()()()(:),(
YpkpXpYXekX k
′=⋅′= ∑′=′′
Следовательно, B∑ является )2(U -стойким шифром.
Частные виды перпендикулярных массивов ),,2(1 µλPA можно использовать для построения оптимальных )1,2( -
шифров .B∑ Следуя [Sti88], назовем перпендикулярный массив
),,2(1 µλPA циклическим (и обозначим его ),,2(1 µλCPA ), если вместе с каждой строкой он содержит в качестве строк все ее циклические сдвиги.
Примером )5,5,2(1CPA является следующая матрица:
0 1 2 3 4 1 2 3 4 0 2 3 4 0 1 3 4 0 1 2 4 0 1 2 3 0 2 4 1 3 1 3 0 2 4 2 4 1 3 0 3 0 2 4 1 4 1 3 0 2
Теорема 4.3.5. Если существует перпендикулярный мас-
сив ),,,2(1 µλCPA то существует оптимальный )1,2( -шифр
В∑ с параметрами ., µλ == YX
Обобщения теоремы Шеннона________________________________
107
Доказательство . Пусть ).,,2(1 µλCPAA = Построим
В∑ так же, как в теореме 4.3.3. Достаточно проверить, что .)1()1(1 −−= µλp
Имеем:
=⋅
⋅=′
∑
∑
∈
′∈
)(
),(
))(()(
))(()(),(
yKkk
yyKkk
ydpkp
ydpkpyyp (4.3.5)
.))((
))((
)(
),(
∑
∑
∈
′∈=
yKkk
yyKkk
ydp
ydp
Так как y встречается в каждом столбце матрицы A
ровно 2)1( −µ раз,
.2
12
1)())(()(
−=
−
= ∑∑
∈∈
µµXxyKk
k xpydp
Вычислим сумму в числителе (4.3.5).
Из определения перпендикулярного массива следует, что
,),( 2λCyyK =′
так как в любой паре столбцов множество , yy ′ содержится в некоторой строке, и ровно один раз. Множество строк с но-мерами из ),( yyK ′ разбивается на подмножества по λ строк, отличающихся друг от друга лишь циклическими сдви-
Глава 4
108
гами. При этом в каждом таком подмножестве )(ydk пробе-гает все .X Поэтому
.2
1)())((2
),(
−=
= ∑∑
∈′∈
λλλC
xpydpXxyyKk
k
Тем самым,
,)1()1(1 −−= µλp что и требуется.
Относительно вопроса о существовании циклических перпендикулярных массивов известно не слишком много. В [Sti88], например, указывается следующий результат (приве-дем его без доказательства).
Теорема 4.3.6. Пусть λ четно, ).2(mod1, λµµ ≡= mp
Тогда существует циклический перпендикулярный массив ).,,2(1 µλCPA
В [Soe88] для построения оптимальных )1,( −LL -
шифров использованы штейнеровы системы (см. определение 2.3.3) и конечные геометрии. Имеет место, например, сле-дующий результат (который мы приводим без доказательст-ва).
Теорема 4.3.7. Штейнерова система )1,,( λµ−L опре-деляет оптимальный )1,( −LL -шифр В∑ с параметрами
)!()!(!,, LLKYX −−=== µλµµλ .
В [Soe88] теорема 4.3.2 уточняется следующим образом.
Обобщения теоремы Шеннона________________________________
109
Теорема 4.3.8. Если шифр В∑ удовлетворяет условию )(LU ′ -стойкости и условию L -стойкости к попытке обма-
на, то
.1
1
+
′+ ⋅≥ L
LL
CCC
λ
λµπ (4.3.6)
Доказательство . Так же как в теореме 4.3.2, доказыва-
ется, что ).1()1( +=+ LYLYp (4.3.7)
Выберем произвольное подмножество ),1( +∈′ LYY p а в
нем произвольное подмножество Y ′′ мощности .L′ Так как шифр В∑ является )(LU ′ -стойким, для любого
)(LXX ′∈′′ справедливо неравенство
.1),( ≥′′′′ YXK (4.3.8)
Заметим, что если ,21 XX ′′≠′′ то
.),(),( 21 ∅=′′′′∩′′′′ YXKYXK (4.3.9)
Из (4.3.7) (4.3.9) следует, что при всех возможных вы-борах подмножеств XYY ′′′′′ ,, мы получим не менее
LL
LL CCC ′′
++ ⋅⋅ λµ 11
(не обязательно различных!) ключей. Очевидно, что при этом подсчете один и тот же ключ k будет учтен столько раз, сколько имеется различных дополнений множества Y ′′ до
Глава 4
110
некоторого подмножества 1+L мощности 1+L внутри множества )(Xek . Поскольку число указанных дополнений
равно ,1 LLLC ′−+′−λ то
,11
1
LLL
LLL
L
CCCC
′−+′−
′′+
+ ⋅⋅≥
λ
λµπ
откуда следует неравенство (4.3.6).
Отметим в заключение, что для построения имитостой-ких )(LU -стойких шифров помимо циклических перпенди-кулярных массивов, в [Sti90] использован еще один частный класс перпендикулярных массивов.
Определение 4.3.9. Перпендикулярный массив
),,( µλω tPAA = называется аутентификационным перпен-
дикулярным массивом (и обозначается ),,( µλω tAPA ), если выполняется следующее условие:
“для любого ,, ttt ≤′′ и любого подмножества элемен-
тов ,, 11 +′=′ tyyY L в строках матрицы ,A содержащих ,Y ′ любое подмножество из ,Y ′ состоящее из t′ элементов,
входит во все возможные подмножества из t′ столбцов матрицы одинаковое число раз”.
Приведем (без доказательства) обзор некоторых резуль-
татов из [Sti90]. Теорема 4.3.10. Если существует ортогональный массив
),,( µλω tAPA , то существует шифр B∑ , удовлетворяющий
Обобщения теоремы Шеннона________________________________
111
условиям )(LU -стойкости, )1( −L -стойкости к попытке обмана, и имеющий параметры
.,, tCKYX µωµλ ⋅===
Доказывается частичное обращение этой теоремы:
Теорема 4.3.11. Если существует шифр B∑ с парамет-
рами ,, µλ == YX ,tCK µ=
удовлетворяющий условиям )(LU -стойкости и )1( −L -стойкости к попытке обмана для любого распределения
)(XP и ,12 −≥ tλ то существует перпендикулярный мас-сив ).,,(1 µλtAPA
Имеется ряд частных результатов о оптимальных )1,( −LL - и ),( LL -шифрах.
Теорема 4.3.12. Перпендикулярный массив
),,2(1 µλAPA существует тогда и только тогда, когда λ нечетно и )2(mod1 λµ ≡ является степенью простого чис-ла. Следовательно, для любых указанных значений µλ, су-ществует оптимальный )1,2( -шифр.
Теорема 4.3.13. Для любого натурального числа d суще-
ствуют перпендикулярные массивы )17,8,3(1 +dAPA и
).131,32,3(1 +dAPA Следовательно, существуют оптималь-ные )2,3( -шифры с параметрами
Глава 4
112
,1+= qλ ,1+= dqµ где .31,7∈q
Теорема 4.3.14. Для любого числа ,q являющегося сте-пенью простого числа, и для любого 2≥d существует оп-тимальный )1,1( -шифр с произвольным распределением
),(XP имеющий параметры
.)1()1(,)1()1(,1 1 −−=−−=+= + λµµπµλ qqq d
Теорема 4.3.15. Для любого простого числа Ферма 12 += nq существует оптимальный )2,2( -шифр с произ-
вольным распределением ),(XP имеющий параметры
.)2(2)2)(1(,1)1(, −−−=+−== λµµµπµλ dqq
Дальнейшие результаты о свойствах аутентификацион-ных перпендикулярных массивов ),,( µλω tAPA , основанные на теории схем и теории групп подстановок, получены в [Bie94], [Tr95] и [Bi96]. В [Tr95] приведена таблица (состоя-щая из 154 позиций) известных массивов ),,( µλω tAPA для
.t 3≥ В [Cas98] изучаются, в частности, )(LU -стойкие шифры
с минимальными значениями вероятностей ,,0, Lipi = и обладающие минимальным (в определенном смысле) числом ключей. Предлагаются конструкции таких шифров на основе ортогональных массивов. В связи с их громоздкостью мы их не приводим.
Обобщения теоремы Шеннона________________________________
113
В [Cas98] уточняется также теорема 4.2.11: Теорема 4.3.16. Пусть B∑ )(LU -стойкий шифр и
шифр B∑′ отличается от B∑ лишь распределением вероят-
ностей на множестве открытых текстов. Тогда шифр B∑′
также )(LU -стоек и имеет равное с B∑ значение вероят-ности .1−Lp
114
Г л а в а 5 Понятие совершенного шифра для других криптоатак
Выше рассматривались условные вероятности ),/( YXp ′′ )/( XYP ′′ в случае, когда .YX ′=′ Рассмотрим
подобные величины для множеств ,, YX ′′ не обязательно имеющих одинаковые мощности. При этом будем рассматри-вать лишь случай, когда ,YX ′≤′ исходя из естественного предположения о том, что все, что шифруется и передается по линии связи, перехватывается оппонентом.
Пусть XX ′′′, подмножества множества X и / XXXP ′′⊂′′ вероятность выбора X ′ из ,X при ус-
ловии, что .' XX ′′⊂ Обозначим эту вероятность )./( XXp ′′′ Она вычисляется по формуле
,)(
)()/(
)()( 1∑
′′∩∈
′=′′′
XВLXXXp
XpXXp(
( (5.1)
где
,,, 2121 LLLXLX ≤=′′=′
и )(XВ ′′ множество всех подмножеств множества .X ′′ Пусть ),(),( 21 LYYLXX Р∈′∈′ причем .21 LL ≤ То-
гда вероятность )/( XYp ′′ того, что получено множество криптограмм Y ′ при условии, что на некотором ключе шифровалось множество открытых текстов, содержащее ,X ′ вычисляется согласно формуле полной вероятности:
Понятие совершенного шифра для других криптоатак___________
115
,),()/()/(
),( 2∑
′′⊂′∈′′′′′⋅′′′=′′
XXLXXXXpXYpXYp (5.2)
где через ),( XXp ′′′ обозначена вероятность
).)\()\(( XXXXp ′′′′
Это так, поскольку при заданном подмножестве открытых текстов X ′ получение множества криптограмм Y ′ возможно лишь при зашифровании на некотором ключе множества от-крытых текстов X ′′ той же мощности, что и ,Y ′ содержаще-го .X ′ В связи с этим вероятность )/( XYp ′′′ следует “взвесить” условной вероятностью ( ) ( )( ).\\ XXXXp ′′′′
Можно проверить, что
.1)/()( 2
=′′∑∈′ LYY
XYpР
В самом деле, в соответствии с (5.2) и (5.1)
=′′′⋅′′′=′′ ∑ ∑∑∈′
′′⊂′∈′′∈′ )( )()( 2 22
),()/()/(LYY
XXLXXLYY
XXpXYpXYpРР
=
⋅′′′
= ∑∑ ∑∑ ′′′∈∈′
′′⊂′∈′′
′∩−∈),()( )(
)\()(
)()(
)\(
2 212
YXEeLYYXX
LXXXXBLLXX
epXp
XXp
p (
(
Глава 5
116
,11)\()(
1
)()\()(
1
)()\()(
1
)()\()(
1
)(
)( ),()(
)( )( ),(
)( )( ),(
2
22
2 2
2 2
=
⋅′′′=
=
′′′⋅=
=
⋅′′′⋅=
=
⋅′′′⋅=
∑∑
∑ ∑∑∑
∑ ∑ ∑∑
∑ ∑ ∑∑
′′⊂′∈′′
∈′ ′′′∈′′⊂′
∈′′
′′⊂′∈′′ ∈′ ′′′∈
∈′′′⊂′
∈′′ ′′′∈
XXLXX
X
LYY YXEeXX
LXXX
XXLXX LYY YXEe
X
LYYXX
LXX YXEeX
XXpXp
epXXpXp
epXXpXp
epXXpXp
(
(
(
(
(
(
(
(
p
p
p
где во внешней сумме X
( пробегает множество значений из
).\()( 12 XXBLLX ′∩− Условная вероятность )/( YXp ′′ определяется через ве-
роятность )/( XYp ′′ обычным образом. Теперь, следуя [Sti88], введем еще одно условие совер-
шенной стойкости шифра. Определение 5.1. Будем говорить, что шифр В∑ удов-
летворяет условию )(LS -стойкости (или является )(LS -стойким), если при любых )(LYY ′∈′ Р и ),(LXX ′′∈′ таких что LL ≤′ и LL ′≤′′ выполняется равенство
).()/( XpYXp ′=′′ (5.3)
Понятие совершенного шифра для других криптоатак___________
117
Буква S в названии условия (которое можно было на-звать также совершенной L -кратной стойкости по Стинсо-ну) – это первая буква фамилии Stinson.
Ясно, что (5.3) равносильно равенству
),()/( YpXYp ′=′′ (5.4)
которым бывает удобнее пользоваться. Непосредственно из введенных определений следует Лемма 5.2. Если шифр В∑ удовлетворяет условию )(LS -стойкости, то он удовлетворяет и условиям )(LU ′ - и )(LS ′ -стойкости для любого L′ из интервала .1 LL ≤′≤ Заметим, что условие )(LS -стойкости, вообще говоря,
сильнее условия )(LU -стойкости. В самом деле, любой шифр
B∑ удовлетворяет условию )(λU -стойкости (где E=λ ).
Это следует из того, что для любого )(λРYY ∈′
( )
)./()()()(
)()()(
)(:)(:
)(:,
XYpepepXp
epXpYp
YXeeYXee
YXeeX
′==⋅=
=⋅′=′
∑∑
∑
′=′=
′=′′
При этом мы воспользовались упомянутым в § 4.1 равенством
.1)( =Xp Вместе с тем, шифр В∑ не обязан быть )(λS -стойким.
Чтобы убедиться в этом, достаточно рассмотреть любой не совершенный (по Шеннону) шифр, который, тем самым, не является )1(U -стойким, и тем более )(λS -стойким.
Глава 5
118
Лемма 5.3. Шифр В∑ удовлетворяет условию )(LS -стойкости тогда и только тогда, когда он удовлетворяет условию )(LU ′ -стойкости для любого .1, LLL ≤′≤′
Доказательство . Необходимость условия была отме-
чена в лемме 5.2. Проверим достаточность. Пусть ),(),( 12 LYYLXX Р∈′∈′ причем .12 LL ≤ В соответствии с
формулой (5.2),
ст.)−′′⊂′
∈′′=′′′⋅′′′=′′ ∑)((),( 11
),()/()/(LU
XXLXX
XXpXYpXYp
=′′′⋅′= ∑′′⊂′
∈′′XX
LXXXXpYp
),( 1
),()(
).(),()(),( 1
YpXXpYp
XXLXX
′=′′′⋅′= ∑′′⊂′
∈′′
Это доказывает достаточность условия леммы.
Следующее определение вводит условие стойкости шиф-ра для упорядоченных наборов открытых и шифрованных текстов. Пусть ).(LXx ∈
Определение 5.4. Будем говорить, что шифр В∑ удов-
летворяет условию )(LO -стойкости, если при любых )(),( LYyLXx Р∈∈ выполняется равенство
).()/( xpyxp = (5.5)
Отметим, что буква O в этом определении это первая
буква слова Ordered (упорядоченный).
Понятие совершенного шифра для других криптоатак___________
119
Ясно, что вместо равенства (5.5) может быть использова-но равенство ).()/( ypxyp = Очевидно также, что )(LO -стойкий шифр обязан обладать свойством транзитивности, согласно которому для любых )(),( LYyLXx Р∈∈ должен существовать элемент Ee∈ такой, что .)( yxe =
Лемма 5.5. Если эндоморфный шифр В∑ удовлетворяет
условию )(LO -стойкости, то он удовлетворяет и условию )(LO ′ -стойкости для любого .LL <′
Доказательство . Пусть ),1(),1( −∈−∈ LYyLXx Р и
)(),( LXxx ∈ вектор, полученный добавлением к x до-полнительной координаты ),(\ xXx supp∈ где )(xsupp множество элементов, составляющих вектор .x Пусть также
),( yy вектор из ),(LYР полученный аналогичным образом из вектора .y Введем обозначение
.)(:),( yxeEeyxE =∈=
По условию XXe =)( для любого ,Ee∈ поэтому вы-
полняется равенство .)(
),(XXe
yxEe=
∈I
Выберем произвольный элемент
).(\)(),(
0 yXeyyxEe
supp
∈
∈I
Непосредственно проверяется равенство множеств
Глава 5
120
,)),(),,((),()(\
0UxXx
yyxxEyxEsupp∈
=
причем, если ,xx ′≠ то
.)),(),,(()),(),,(( 00 ∅=′∩ yyxxEyyxxE
Рассмотрим вероятность )./( xyp Согласно (4.1.3′),
.)()/(),(
∑∈
=yxEe
epxyp
Отсюда следует, что
( ).),/(),()/()(\
0∑∈
=xXx
xxyypxypsupp
Пользуясь условием )(LO -стойкости, получаем:
( ) ),/(),/(),(
)),(()1(),()/(
)(\0
0)(\
0
xypxxyyp
yypLyypxyp
xXx
xXx
′=′=
=⋅+−==
∑
∑
′∈
∈
supp
suppλ
где x ′ любой вектор из ).1( −LX
Пусть qxyp =)/( для любого ).1( −∈ LXx Тогда, пользуясь свойством транзитивности шифра, получаем равен-ства
.)()()()(
)1()1(qxpqxpxypyp
LXxLXx=⋅=⋅= ∑∑
−∈−∈
Понятие совершенного шифра для других криптоатак___________
121
Следовательно, для любых элементов ),1( −∈ LXx )1( −∈ LYy Р выполняется равенство ),()/( ypxyp = что и
требуется. По-видимому, лемма 5.5 справедлива и без условия эн-
доморфности шифра. Лемма 5.6. Если эндоморфный шифр В∑ удовлетворяет
условию )(LO -стойкости, то он удовлетворяет и условию )(LS -стойкости. Доказательство . Согласно леммам 5.3 и 5.5, достаточ-
но доказать, что условие )(LO -стойкости влечет условие )(LU -стойкости. Пусть ).(),( LYYLXX Р∈′∈′ Рассмотрим вероятность
)./( XYp ′′ Непосредственно проверяется, что для любого вектора y такого, что Yy ′=)(supp выполняется соотноше-ние
,),(),()(:
UXxx
yxEYXE′=
=′′supp
причем ,),(),( ∅=′∩ yxEyxE
если .xx ′≠ В силу этого, если ,)( Yy ′=supp то
),()(!
)/()(
)()/(
)(: )(()(:),(
),(
YpypL
xypep
epXYp
Xxx LOXxxyxEe
YXEe
′=⋅=
===
==′′
∑ ∑∑
∑
′= −′=∈
′′∈
supp ст.)supp
что и требуется. Лемма доказана.
Глава 5
122
Отметим, что, вообще говоря, условие )(LO -стойкости сильнее условия )(LS -стойкости. Это вытекает из следующе-го примера.
Пример 5.7. Рассмотрим шифр В∑ , для которого
,,,,,,,,, 210210210 eeeEyyyYxxxX ===
,)( kji yxe =
где ).3(modjik += Пусть 31)( =iep для любого .2,0=i Покажем, что (независимо от распределения вероятно-
стей на X ) данный шифр удовлетворяет условию )2(S -стойкости, но не удовлетворяет условиям )3(S -стойкости и
)2(O -стойкости. Для удобства рассмотрим матрицу зашифрования:
x0 x1 x2
e0 y0 y1 y2
e1 y1 y2 y0
e2 y2 y0 y1
В определении 5.1 будем различать три случая:
;2,1)2;1)1 =′=′′=′=′′ LLLL .2)3 =′=′′ LL В случае 1) надо показать, что ).()/( iji xpyxp = Име-
ем:
Понятие совершенного шифра для других криптоатак___________
123
.)(
)()/()/(
j
iijji yp
xpxypyxp
⋅=
Из условия следует, что найдется единственный элемент ,ije −
связывающий ix и jy : .)( jiij yxe =− Поэтому
.31)()/( == −ijij epxyp
С другой стороны,
,31)(31)(2
0=⋅= ∑
=iij xpyp
что и требуется. Пусть в случае 2)
.,,,,, 213202101 yyYyyYyyY ===
Тогда .,,)2( 321 YYYY =Р Вероятность )/( ji Yxp вычислим по формуле
,)(
)()/()/(
j
iijji Yp
xpxYpYxp
⋅=
где для любого 2,0=j
.31)],(),(),([31)( 211010 =++⋅= xxpxxpxxpYp j
Вычислим )./( ij xYp Пусть, например, ,1YYj =
.0xxi = Тогда
Глава 5
124
,31
),(),(),/,(),(
),(),(),/,(),(
)/(
2010
201020
2010
101010
=+
⋅+
++
⋅=
xxpxxpxxyypxxp
xxpxxpxxyypxxpxYp ij
поскольку
).,/,()(31
)(),/,(
10100
12010
xxyypep
epxxyyp
===
==
Таким образом,
).()/( iji xpYxp = Пусть в случае 3)
.,,,,, 213202101 xxXxxXxxX === Тогда
).(31
)(31)(
)()/()/( i
i
j
iijji Xp
XpYp
XpXYpYXp =
⋅=
⋅=
Тем самым, условие )2(S -стойкости для данного шифра вы-полнено. Вместе с тем, условие )2(O -стойкости не выполня-ется. В самом деле,
,0)),((
)),(()),/(),(()),/(),((
01
1010010110 =
⋅=
yypxxpxxyypyyxxp
так как
.0)),/(),(( 1001 =xxyyp
Понятие совершенного шифра для других криптоатак___________
125
С другой стороны, .0)),(( 10 >xxp Несложно проверить, что рассматриваемый шифр не
удовлетворяет условию )3(S -стойкости. Определения 4.2.1, 5.1 и 5.4 относились лишь к атакам на
основе шифртекста, когда по L данным криптограммам тре-бовалось получить информацию о передаваемых открытых сообщениях. Далее рассмотрим вопрос о совершенной стой-кости шифра к атаке на основе известного открытого текста.
По Мэсси ([God90]) суть такой атаки порядка L состоит
в том, чтобы на основании данных 1−L пар открытых и шифрованных текстов, полученных на одном ключе, опреде-лить открытый текст еще одной криптограммы ,y получен-ной на том же ключе. Атака считается успешной, если найдется открытый текст ,x для которого апостериорная ве-роятность того, что он соответствует ,y отлична от его апри-орной вероятности. Такая постановка задачи возникает, например, при использовании блочного шифра в режиме про-стой замены.
Формализуем сказанное. Пусть В∑ рассматриваемый шифр;
),1( −′∈′ LXx )1( −′∈′ LYy p
данные cовокупности открытых и соответствующих им шифрованных текстов, полученных на некотором одном (не-известном) ключе; y еще одна данная криптограмма, по-лученная на том же ключе из некоторого (неизвестного) открытого текста ).(\ xXx ′∈ supp Пусть
).,(),,( xxxyyy ′=′= Будем случайно выбирать x ′ и ,y после чего случайно выбирать ).(\ xXx ′∈ supp Этот выбор
Глава 5
126
определяет условные вероятности )( xxp ′ и ,),( xyxp ′ ис-ходя из формул
,)/(
)/()/(
)/()(),/(),(
),(),,(),/(
,)(),()/(
xypxypxxp
xypxpxxypxxp
xypxyxpxyxp
xpxxpxxp
′⋅′
=
=′⋅′′⋅′
=′′
=′
′′
=′
где (по аналогии с (5.2)) вероятность )/( xyp ′ определяется формулой
( )( ).)(\)),/(()/()(\
∑′∈
′⋅′=′xXx
xXxpxxypxypsupp
supp
Определение 5.8. Будем говорить, что шифр В∑ удов-
летворяет условию )(LM -стойкости (или является )(LM -стойким), если для любых указанных выше ,, yx и любого
LL ≤′ выполняется равенство
.)(),( xxpxyxp ′=′ (5.6)
Ясно, что равенство (5.6) равносильно равенству
)./()/( xypxyp ′= (5.6′)
Легко видеть, что из условия )(LM -стойкости следует условие )(LM ′ -стойкости для любого .LL ≤′
Понятие совершенного шифра для других криптоатак___________
127
Лемма 5.9. Если шифр В∑ удовлетворяет условию )(LO -стойкости, то он удовлетворяет и условию )(LM -
стойкости. Доказательство . Проверим для подходящих yxx ,, ′
справедливость равенства (5.6′). Согласно условию, ).()/( ypxyp = Следовательно,
( )
( )
( ) ,)()())(\()(
))(\()(
))(\()),/(()(
)(\
)(\
)(\
xypypxXxpyp
xXxpyp
xXxpxxypxyp
xXx
xXx
xXx
==′⋅=
=′⋅
=′⋅′=′
∑
∑
∑
′∈
′∈
′∈
supp
supp
supp
supp
supp
supp
откуда следует (5.6′).
Заметим, что обратное утверждение неверно. Чтобы убе-диться в этом, достаточно рассмотреть следующий пример.
Пример 5.10. Пусть шифр В∑ таков, что
,,,,,,,, 21021010 eeeEyyyYxxX === причем
.2,0,31)();3(mod,)( ===+= iepkjiyxe ikji
Данный шифр удовлетворяет условиям )2(S - и )2(M - стойкости, но не удовлетворяет условию )2(O -стойкости.
Для проверки свойства )2(S -стойкости будем использо-вать те же обозначения и рассуждения, что и в примере 5.7. Матрица зашифрования имеет следующий вид:
Глава 5
128
x0 x1
e0 y0 y1
e1 y1 y2
e2 y2 y0
В определении 5.1 рассмотрим три случая: 1) ;1=′=′′ LL 2) ;2,1 =′=′′ LL 3) .2=′′=′ LL
В случае 1) рассуждения те же, что и в примере 5.7. В
случае 2) для любого 3,1=j
.3/1)()(
)()()()()(
1
)(:)(
:),(
=⋅=
⋅=⋅′=
−
==′
′∑∑
j
YXeeYXe
eXj
epXp
epXpepXpYpj
j
Вместе с тем,
.3/1)()/()/( 1 === −jjij epXYpxYp
Поэтому ).()/( iji xpYxp = В случае 3):
).(31
)(31)(
)()/()/( XpXp
YpXpXYp
YXpj
jj =
⋅=
⋅=
Обратимся к проверке условия )2(M -стойкости. Имеет смысл рассматривать лишь строки x и y длины
2. По условию x и y таковы, что найдутся Ee∈ и
Понятие совершенного шифра для других криптоатак___________
129
),,( txt ′= для которых .)( yte = Строкой x может быть ли-бо ),,( 10 xx либо ).,( 01 xx Если ),,( 10 xxx = то )( 0xx =′ и
.xt = Тогда y может быть одной из трех строк: ).,(),,(),,( 022110 yyyyyy Аналогично для ),( 01 xxx =
получается xt = и
).,(),,(),( 021201 yyyyyyy∈
Имеем равенства:
.)),(),((3/1)())(),(( 10100010 xxyypepxyyp ===
Аналогично можно убедиться в том, что равенство (5.6′) выполняется и во всех других случаях.
Как и в примере 5.7,
,0)),/(),(( 1001 =xxyyp
хотя =)),(( 01 yyp .3/1 Тем самым, свойство )2(O -стойкости и в данном случае не выполняется.
Подведем некоторые итоги. Имеет место следующая иерархия различных понятий
стойкости шифров к атакам, основанным на совокупности криптограмм, полученных на одном ключе:
)1()1()1()1(
)()()()(
−⇒−⇒−⇐−
⇓⇓⇓⇓
⇒⇒⇐
LULSLOLM
LULSLOLM
Глава 5
130
Стрелки означают, что одно условие стойкости является след-ствием другого. Импликации
)()( LSLO ⇒ и )1()( −⇒ LOLO
доказаны лишь для эндоморфных шифров. По-видимому, они справедливы и без требования эндоморфности. Импликация
)1()( −⇒ LULU может не выполняться. Далее будут указа-ны дополнительные условия, при которых она имеет место.
131
Г л а в а 6 Свойства )(LU - и )(LS -стойких шифров
Теорема 4.3.1, дающая комбинаторное описание множества
E для )(LU -стойкого шифра, может быть уточнена и исполь-зована для описания конструкции )(LS -стойкого шифра.
Теорема 6.1. Пусть XY = и E множество подстано-
вок на ,X рассматриваемое как множество правил зашифро-
вания для шифра В∑ с числом ключей ,LCλπ = удовлетворяю-щего условию )(LU -стойкости. Тогда при LL ≤' шифр удов-летворяет также условию )(LU ′ -стойкости тогда и только
тогда, когда число LCλ делится на число ,LC ′λ и для любой пары
)(, LXYX ∈′′ существует в точности LL CC ′= λλω : подста-новок Ee∈ таких, что .)( YXe ′=′
Доказательство . Пусть LL ≤′ и, как и ранее,
)(:),( YXeEeYXE ′=′∈=′′
для L′ -подмножеств ., YX ′′ Шифр В∑ является )(LU ′ -стойким тогда и только тогда, когда для любых )(, LXYX ′∈′′
⇔′=′′⇔′=′′ )()()()( YpXYpXpYXp
).(),(
)()(),(
YpC
YXEYpep L
YXEe′=
′′⇔′=⇔ ∑
′′∈ λ
(6.1)
Глава 6
132
При этом мы воспользовались условием )(LU -стойкости, а также свойством (i) теоремы 4.3.1, согласно которому
.1)( LCep λ= Пусть выполняется условие )(LU ′ -стойкости. Зафикси-
руем Y ′ и заставим X ′ пробегать все LC ′λ возможные L′ -
подмножества из .X Тогда подмножества ),( YXE ′′ обра-зуют разбиение множества .E В самом деле, из условия
XX ′′≠′ следует, что
.),(),( ∅=′′′∩′′ YXEYXE
Любая биекция Ee∈ отображает некоторое подмноже-ство X ′ на данное ,Y ′ поэтому
.),(U
XEYXE
′=′′
Из (6.1) и сказанного выше следует, что условие )(LU ′ -
стойкости влечет равенство
LCYpYXE λ⋅′=′′ )(),(
для любого ).(LXX ′∈′ Поэтому, во-первых,
,),( ∅≠′′ YXE и, во-вторых,
),(),( YXEYXE ′′′=′′
для любых ).(, LXXX ′∈′′′ Отсюда следует, что
Свойства U(L)- и S(L)-стойких шифров_________________________
133
.),( LCE
YXE ′=′′λ
( LC ′λ это число различных L′ -подмножеств X ′ из .X )
Таким образом
,),( L
L
CC
YXE ′=′′=λ
λω (6.2)
что и требуется.
Достаточность. Пусть для любых YX ′′, выполняется условие (6.2). Тогда (с учетом того, что ∅≠′′ ),( YXE для любых YX ′′, )
.11)(
)()()(
)(
)( ),(
LLXX
L
L
L
LXX YXEe
CCC
CXp
epXpYp
′′∈′
′
′∈′ ′′∈
∑
∑ ∑
=
⋅⋅′=
=⋅′=′
λλ
λ
λ
Отсюда следует (6.1), а также условие )(LU ′ -стойкости.
Теорема доказана. Следствие 6.2. Пусть XY = и E множество
подстановок на ,X рассматриваемое как множество правил
зашифрования для шифра В∑ с числом ключей ,LCλπ = удовлетворяющего условию )(LU -стойкости. Тогда если
В∑ удовлетворяет условию )(LS -стойкости, то
λλλλ ,2
1,...,1
2,1 −−+−+−
LL
LL
(6.3)
Глава 6
134
возрастающая последовательность целых чисел. Доказательство следует из теоремы 6.1 и леммы 5.3. Условие (6.3) является, таким образом, необходимым ус-
ловием )(LS -стойкости шифра с параметрами
., LCEYX λπλ ====
Можно заметить, что для любого Ν∈L существует ,Ν∈λ для которого выполнено условие (6.3). Например, в
качестве такого λ можно взять число
( ) .1,...,3,2... −LКОН
Рассмотрим более подробно множество подстановок, удовлетворяющих свойству (ii) теоремы 4.2.4.
Согласно теореме 6.1, изучение )(LS -стойких шифров в случае, когда
,,, LCXYX λπλ ===
эквивалентно изучению )1,(L -однородных множеств подста-новок19) на множестве из λ элементов, которые являются также ( )LL CCL ′′ λλ :, -однородными для каждого .LL ≤′
Рассмотрим более подробно некоторые свойства ),( ωt -однородных множеств подстановок.
Лемма 6.3. Если множество подстановок E является ),( ωt -однородным на ,X то E является также ),( ωλ t− -
однородным на .X
19) Определение дано в п.4.2.6.
Свойства U(L)- и S(L)-стойких шифров_________________________
135
Доказательство . Пусть E является ),( ωt -однородным множеством подстановок на X и пусть XX ′′′, произ-вольные )( t−λ -подмножества из .X Обозначим
.\ XXX ′=′¬ Тогда легко заметить, что
),()()()( XeXeXeXe ′′¬=′¬⇔′′=′
откуда и следует требуемое утверждение.
Лемма 6.4. Если E является ),( ωt -однородным множе-
ством подстановок на X , то tCλωπ ⋅= . Доказательство . По условию при фиксированном
)(tXX ∈′ и любом )(tXX ∈′′ существует в точности ω подстановок Ee∈ , для которых XXe ′′=′)( . Поэтому
.),( ω=′′′ XXE Всего же имеется tCλ t -подмножеств .X ′′ Коль скоро при XX ′′′≠′′
,),(),( ∅=′′′′∩′′′ XXEXXE
и ,),( EXXE
X=′′′
′′U
откуда следует требуемое равенство.
Лемма 6.5. Если E является ),( ωt -однородным множе-ством подстановок на ,X причем ( ) ,2:11 +≤≤ λt то E является также ),( ω′′t -однородным на X для любого
,tt ≤′ где
( ) .: tt CC ′⋅=′ λλωω
Глава 6
136
Доказательство . Пусть множество подстановок E яв-ляется ),( ωt -однородным на .X Для )1( −t -подмножеств
YX ′′, и числа ,1,0, −= tss обозначим через ),,( sYXN ′′ величину
.)(: sYXeEe =′∩′∈
Методом индукции по s покажем, что (при ( ) 2:11 +≤≤ λt ) величина ),,( sYXN ′′ не зависит от выбо-
ра ., YX ′′ Пусть .0=s Рассмотрим такой элемент Ee∈ что
.)( ∅=′∩′ YXe Выберем Xx∈ таким, чтобы ( ).)(\)( YXeXxe ′∪′∈
Ясно, что .\ XXx ′∈ Дальнейшие рассуждения проиллюст-рируем рисунком 6.
"X )"(Xe 'X )'(Xe x⋅ )(xe⋅ 'Y
Рис.6
Всего имеется )1(2 −− tλ способов выбора такого Xx∈ (по сути, выбирается )(xe , а по нему восстанавливает-
ся x ), поэтому в X имеется ровно столько же t -
Свойства U(L)- и S(L)-стойких шифров_________________________
137
подмножеств X ′′ таких, что XX ′⊃′′ и .)( ∅=′∩′′ YXe Отсюда следует, что при заданных
,, YX ′′ ,1−=′=′ tYX
число пар ),( eX ′′ таких, что
,)(,, ∅=′∩′′′⊃′′=′′ YXeXXtX равно
( ) ).0,,()1(2 YXNt ′′⋅−−λ
Подсчитаем число таких пар ),( eX ′′ другим способом, воспользовавшись тем, что E является ),( ωt -однородным множеством подстановок. Для фиксированного 'Y число спо-собов выбрать )(Xe ′′ таким, чтобы ,)( ∅=′∩′′ YXe равно
.)1(t
tC −−λ
Число способов выбора xXX ∪′=′′ совпадает с числом способов выбора XXx ′∈ \ и равно ).1( −− tλ Для каж-дой из выбранных пар )(, XeX ′′′′ имеется (в силу однород-ности) ровно ω подстановок ,e для которых
).(: XeXe ′′→′′ Поэтому искомое число пар ),( eX ′′ равно
( ) .)1( )1( ωλ λ ⋅⋅−− −−t
tCt
В результате получаем равенство
.)1(2
))1(()0,,( )1(
−−
−−⋅⋅=′′ −−
ttC
YXNt
t
λλω λ
Глава 6
138
(Обратим внимание на то, что при этом ,0)1(2 >−− tλ так как ( ) .2:1+≤ λt )
Шаг индукции: предположим, что ,0>s и что проверяе-мое утверждение верно для любого .0, sss <′≤′ Подсчитаем число пар ),,( eX ′′ для которых выполняются условия
.)(,, sYXeXXtX =′∩′′′⊃′′=′′ (6.4)
При этом возможны два случая: когда
,)()( YXeYXe ′∩′′=′∩′ и когда
.)()( YXeYXe ′∩′′≠′∩′
В первом случае e таково, что .)( sYXe =′∩′ Соответ-ствующее множество X ′′ получается дополнением к X ′ од-ного элемента ,x такого, что )(xe не лежит ни в ,X ′ ни в
).(XeY ′∪′ Поэтому имеется st +−− )1(2λ способов выбо-ра такого .x
Ясно, что во втором случае
.1)( −=′∩′ sYXe Выберем опять X ′′ так, чтобы выполнялись условия (6.4). При этом X ′′ получается добавлением к X ′ любого одного элемента ,x такого что ).(\)( XeYxe ′′∈ Поэтому всего име-ется
stst −=−−− )1(1 таких подмножеств .X ′′ Таким образом, имеется в точности
Свойства U(L)- и S(L)-стойких шифров_________________________
139
)1,,()(),,())1(2( −′′⋅−+′′⋅+−− sYXNstsYXNstλ (6.5)
пар ),,( eX ′′ для которых выполняются условия (6.4). Найдем число таких пар ),( eX ′′ другим способом, поль-
зуясь тем, что E является ),( ωt -однородным множеством подстановок.
При фиксированных YX ′′, st − элементов в )(Xe ′′ выбираются из YX ′\ и s элементов из .Y ′ Поэтому име-ется
st
stt CC 1)1( −
−−− ⋅λ
различных множеств ).(Xe ′′ Далее, xXX ∪′=′′ можно выбрать )1( −− tλ способами (при этом x любой элемент из XX ′\ ). Для каждой пары )(, XeX ′′′′ имеется ровно ω различных подстановок. Поэтому число искомых пар ),( eX ′′ равно
.))1(( 1)1( ωλ λ ⋅⋅⋅−− −−
−−st
stt CCt (6.6)
Получаем равенство (6.5) = (6.6), в котором величина
)1,,( −′′ sYXN не зависит от выбора YX ′′, по предполо-жению индукции. Следовательно, и ),,( sYXN ′′ также не зависит от выбора ,, YX ′′ что и требуется.
Положив теперь ,1−= ts получим искомый результат. В самом деле, равенство YXe ′=′)( выполняется тогда и толь-ко тогда, когда .1)( −=′∩′ tYXe Согласно сказанному вы-
ше, число таких подстановок Ee∈ не зависит от ,, YX ′′ что свидетельствует об однородности множества .E Число 'ω находится применением леммы 6.4:
Глава 6
140
,1−⋅′=⋅= tt CC λλ ωωπ
откуда следует требуемая формула для .1−=′ tt Переходя от 1−t к 2−t и т. д., аналогичным образом получаем фор-мулу для любого .tt ≤′
Теорема 6.6. Пусть XY = и E множество подста-новок на ,X рассматриваемое как множество правил за-
шифрования для шифра В∑ с числом ключей ,LCλπ = удовлетворяющего условию )(LU -стойкости, и
( ) .2:11 +≤≤ λL (6.7)
Тогда В∑ удовлетворяет также условию )(LU ′ -стойкости при любом ,L′ таком что
LL ≤′≤1 или .λλ ≤′≤− LL Доказательство . По теореме 4.2.5 E является ),L( 1 -
однородным множеством подстановок. Согласно лемме 6.5, при выполнении условий (6.7), E является также и ),( ω′′L -однородным, где LL ≤′≤1 и
.L
L
CC
′=′λ
λω
Тогда, согласно теореме 6.1, В∑ является )(LU ′ -стойким шифром.
Кроме того, по лемме 6.3 E является также ),L( ωλ ′′− -однородным множеством подстановок. Если ,LL ≤′−λ то,
Свойства U(L)- и S(L)-стойких шифров_________________________
141
согласно теореме 6.1, В∑ является )L(U ′−λ -стойким шиф-ром, что и требуется.
В заключение отметим (см. [Sti90]), что для )(LS -стойких шифров справедливы все результаты § 4.3 по оценке вероятностей имитации и подмены, которые были сформули-рованы для )(LU -стойких шифров. В дополнение к этому в [Cas98] получена нижняя оценка числа ключей )(LS -стойкого шифра, имеющего минимальное значение вероятно-сти .1−Lp
Теорема 6.7. Если для шифра В∑ выполняется условие )(LS -стойкости, ,1 λ≤≤ L и выполняется равенство
,1 µλ=−Lp
то имеет место оценка
.L
LC
⋅≥λµπ λ
142
Г л а в а 7 Построение )L(O - и )L(M -стойких шифров
Для шифров, удовлетворяющих условию )(LO -стойко-
сти, справедливы следующие аналоги лемм 4.2.2 и 4.2.3, ко-торые доказываются совершенно аналогично.
Лемма 7.1. Если шифр В∑ удовлетворяет условию )(LO -стойкости, то для любого ,1, LLL ≤′≤′ и любых
строк )(LYy ′∈ Р и )(LXx ′∈ справедливо неравенство .1),( ≥yxE
Лемма 7.2. Если шифр В∑ удовлетворяет условию )(LO -стойкости, то
.)(LYР≥π Более того, если ,)(LYР=π то
(i) 1),( =yxE для любых );(),( LYyLXx Р∈∈
(ii) )()( ypep = для любых ),(, LYyEe Р∈∈ таких, что ).(Xey ⊂supp
Теорема 7.3. Если шифр В∑ удовлетворяет условию )(LO -стойкости, то
.)!()!1(
L−−⋅
≥λλµπ
Построение O(L)- и M(L)- стойких шифров______________________
143
Более того, если
,)!()!1(
L−−⋅
=λλµπ
то (i) при )()()( 21 ypepep == для любых Eee ∈21, ли-
бо ),()( 21 XeXe = либо ;)()( 21 ∅=∩ XeXe (ii) если )()( 21 XeXe = , то )()()( 21 ypepep == для
любого ),(Р LYy∈ такого что ).(1 Xey ⊂supp Доказательство . Согласно лемме 7.2 достаточно дока-
зать, что
.)!()!1()(
LLY
−−⋅
≥λλµ
Р (7.1)
Выберем Yy∈ и соответствующие XxEe ∈∈ , такие,
что .)( yxe = Так как ,)( λ=Xe то в )(Xe можно постро-
ить 11−−
LAλ различных продолжений множества y до L -строки разрешенных элементов. В свою очередь, имеется ровно µ способов выбора .y Отсюда следует неравенство (7.1).
Пусть
,)!()!1(
L−−⋅
=λλµπ
и, следовательно,
=)(LYР .)!()!1(
L−−⋅
λλµ
Глава 7
144
Так как каждый y является первым элементом в не ме-нее чем )!(:)!1( L−− λλ разрешенных L -строках, и всего их ровно
,)!()!1(
L−−⋅
λλµ
то ясно, что y начинает в точности )!(:)!1( L−− λλ разре-шенных L -строк.
Пусть .1>L Если ),()( XeXey ′∩∈ то в )(Xe и )(Xe′ можно построить больше, чем )!(:)!1( L−− λλ разре-
шенных L -строк, чего быть не может. Следовательно, ),()( XeXe =′ откуда следует (i). Свойство (ii) следует из ут-
верждения (ii) леммы 7.2. Нижняя оценка числа ключей )(LO -стойкого шифра
приводится в теореме 7.3. Рассмотрим сначала случай, отве-чающий минимальным значениям параметров, когда
λµ = и .)!(
!L−
=λλπ
В этом случае можно отождествить X и ,Y рассматривая отображения Ee∈ как подстановки на множестве .X Кроме того, согласно (ii) теоремы 7.3 все ключи должны быть равно-вероятными. При такой договоренности имеется возможность получить чисто комбинаторный критерий того, что LAλ под-становок на X образуют )(LO -стойкий шифр.
Теорема 7.4. Пусть E множество подстановок на
множестве ,YX = отвечающих ключам шифра В∑ , для которого )!.(:! L−= λλπ Тогда такой шифр является
Построение O(L)- и M(L)- стойких шифров______________________
145
)(LO -стойким в том и только том случае, когда выполня-ются следующие условия:
(i) для любой пары ),( yx L -строк из )(LX выполня-ется равенство ;1),( =yxE
(ii) !:)!()( λλ Lep −= при любом .Ee∈
Доказательство . Необходимость (i) следует из (ii) тео-ремы 7.3, а необходимость (ii) следует из (i) леммы 7.2.
Пусть выполняются (i) и (ii) и ).(, LXyx ∈ Тогда
.)(!
)!()(
)()()(
)()()()/(
))(()2.
)(((
ypLxp
ypxpep
ypxpxypyxp
iyxeопр
⋅−⋅
=
=⋅
=⋅
==
λλ
7 лемма.)
Кроме того,
.!
)!(!
)!()(
)()()(
))(()(
:),(
)(:),(
λλ
λλ LLxp
epxpyp
iiyxe
xe
yxexe
−=
−⋅′=
=⋅′=
∑
∑
=′′
=′′
В последнем равенстве используется то обстоятельство,
что для любого )(LXx ∈′ сущеcтвует единственная подста-новка Ee∈ , для которой yxe =′)( , поэтому в сумме
∑
=′′′
yxexexp
)(:),()(
Глава 7
146
будет учтен каждый x ′ и ровно один раз. Отсюда получаем равенство ),()( xpyxp = что и требуется.
Уточнением теоремы 7.4 является следующее утвержде-ние.
Теорема 7.5. Пусть E − множество подстановок на множестве ,X отвечающих ключам шифра В∑ , такого что
)!(:! L−= λλπ и удовлетворяющего условию )(LO -стойкости. Тогда для любого LL ≤′ и для любых
)(, LXyx ′∈ существует ровно
)!()!(
LL
−′−
=λλω
подстановок ,Ee∈ для которых .)( yxe =
Доказательство . Согласно лемме 5.5, любой эндо-
морфный )(LO -стойкий шифр является и )(LO ′ -стойким при .LL ≤′ Пусть )(, LXyx ′∈ и пусть, как и ранее,
.)(:),( yxeEeyxE =∈= Из условия )(LO ′ -стойкости имеем равенство
.!
)!(),()(
)/()(
),( )( λλ LyxEep
xypyp
yxEe ii
′−⋅==
==
∑∈ т.7.3
(7.2)
Если зафиксировать y и заставить x пробегать все
)!(:! L′−λλ возможных значений элементов из ),(LX ′ то получим разбиение
Построение O(L)- и M(L)- стойких шифров______________________
147
U)(
),(LXx
yxEE′∈
=
множества .E А так как левая часть в (7.2) постоянна, то
)(),( LXyxEE ′⋅=
и
,)!()!(
!)!(
),(LLLE
yxE−
′−=
′−⋅=
λλ
λλ
что и требуется.
Определение 7.6. Множество E подстановок на мно-жестве X называется ),( ωt -транзитивным в том и толь-ко том случае, если для любой пары строк )(, tXyx ∈ существует ровно ω подстановок из ,E для которых
.)( yxe = Согласно теореме 7.4, выяснение свойства )(LO -
стойкости шифра с )!(:! L−= λλπ ключами в точности эк-вивалентно выяснению свойства )1,(L -транзитивности мно-жества подстановок на множестве из λ элементов. Поэтому задача построения )(LO -стойкого шифра с минимальным числом ключей (а по лемме 5.9 и )(LM -стойкого шифра) равносильна задаче построения )1,(L -транзитивного множе-ства подстановок мощности )!.(:! L′−λλ Из теоремы 7.5 сле-дует также, что всякое )1,(L -транзитивное множество подстановок является и
Глава 7
148
−−
)!()!(,
Lii
λλ
-транзитивным
для любого ,i .1 Li ≤≤
Случай 1=L был уже рассмотрен ранее. При 2≥L примеры соответствующих множеств подстановок дает тео-рия групп подстановок.
Если E подгруппа симметрической группы ,λS то E является ),( ωt -транзитивным множеством подстановок тогда и только тогда, когда E является t -транзитивной группой. В самом деле, очевидно, что условие ),( ωt -транзитивности множества подстановок E влечет условие его t -транзитивности. Обратно, пусть E t -транзитивная группа подстановок и ).(tXx ∈ Рассмотрим стабилизатор
ExxeEeEx <=∈= )(:
точки x в группе E и разложим E в смежные классы по подгруппе :xE
,...1 nxx eEeEE ⋅∪∪⋅= где
,)(tXn = ).()( tXxxe ii ∈=
Тогда
),( iix xxEeE =⋅ и
.),( ω==⋅= yxEeEE xx
Построение O(L)- и M(L)- стойких шифров______________________
149
Свойство )1,(t -транзитивности отвечает точно t -тран-зитивной группе. Известны два семейства простых примеров t -транзитивных групп это группы λS и .λA Симметриче-ская группа λS точно λ -транзитивна. Она дает примеры ми-нимальных по ключам )(λO - и )(λM -стойких шифров. Знакопеременная группа λA точно )2( −λ -транзитивна и дает примеры минимальных по ключам )2( −λO - и
)2( −λM -стойких шифров. Точно 2 - и 3 -транзитивные группы известны для беско-
нечного множества значений .λ Например (см. [Глу90]), при ,np=λ где p простое число, полная аффинная группа
),1( λAGL точно 2 -транзитивна, а проективная линейная группа ),2( λPGL точно 3 -транзитивна.
Ситуация резко меняется для .4≥t Кроме λS и ,λA t -транзитивными группами являются только группы Матье20):
,, 1211 MM 2423 , MM (группа iM действует на множестве из i элементов). Группы 2311, MM 4 -транзитивны, группы 2412 , MM 5 -транзитивны. При этом 11M точ-но 4 -транзитивна, 12M точно 5 -транзитивна, 2423 , MM не являются точно 4 -транзитивными (и 5 -транзитивными).
В 1873 г. К .Жорданом доказано, что при 6≥t точно t -транзитивных групп, отличных от ,, tt AS не существует. Та-ким образом, 11M и 12M (порядков 7920 и 95040 ) един-ственные нетривиальные примеры точно t -транзитивных групп для .4≥t
20) Они были найдены французским математиком Э.П.Матье
(1835−1890) и носят его имя.
Глава 7
150
Укажем задание групп Матье образующими элементами, как подгрупп симметрических групп соответствующих степе-ней ([Хол62]):
>=< 5432111 ,,,, aaaaaM , где
),9,7)(8,6)(5,4)(10,1(),6,7,8,4)(9,3,5,2(),8,9,6,5)(7,3,4,2(
),9,8,7)(6,5,4)(3,2,1(
4321
====
aaaa
).9,8)(6,5)(7,4)(12,1(),8,7)(9,5)(6,4)(11,1(
65==
aa
,, 61112 >=< aMM причем стабилизатор точки 12 в
12M совпадает с .11M
,,23 >=< baM где
).15,20,21,19,14()22,11,10,17,7)(4,18,13,12,3)(8,6,9,16,2(
),22,21,...,2,1,0(
⋅⋅=
=ba
,,2324 >=< cMM
где
),18,14)(21,12)(16,10()20,8)(13,7)(19,6)(9,5)(17,4)(15,3)(11,2)(22,1)(23,0(
⋅⋅=c
причем стабилизатор точки 23 в 24M совпадает с .23M
Для получения других примеров )1,(t -транзитивных множеств подстановок нужно отказаться от групповой струк-
Построение O(L)- и M(L)- стойких шифров______________________
151
туры множества .E Конструкция таких множеств, называе-мых точно t -транзитивными множествами подстановок, рассматривалась, например, в [Nom85], [Bie96]. В [Nom85] приводятся примеры )1,(t -транзитивных множеств, не яв-ляющихся смежными классами по подгруппе группы .λS
Теперь несколько слов об )(LO -стойких шифрах, для которых
)!(!L−
⋅=λλ
λµπ и .λµ ≥
Рассмотрения в случае 1=L совпадают с проведенными
ранее рассуждениями для )(LU -стойких шифров. При ,1>L t⋅= λµ для ,Ζ∈t согласно пункту (i) теоремы 7.3. Кроме
того,
,,1
λ===
i
t
ii YYY U
разбиение множества ,Y такое что iYXe =)( для любого
Ee∈ и .,1 ti∈ Если ,)(: ii YXeEeE =∈= то
Ut
iiEE
1==
разбиение множества .E Согласно (ii) теоремы 7.3, из ра-венства )()( 21 XeXe = следует, что ).()( 21 epep = Тогда
каждая тройка )~,~,~( ii EYX образует )(LO -стойкий шифр. Поэтому изучение )(LO -стойких шифров с параметрами
Глава 7
152
)!(!L−
⋅=λλ
λµπ и λµ ≥
сводится к уже рассмотренному случаю .λµ =
Для )(LO -стойких шифров справедлив аналог теоремы 4.3.16 ([Cas98]).
Теорема 7.7. Пусть B∑ )(LO -стойкий шифр и шифр
B∑′ отличается от B∑ лишь распределением вероятностей
на множестве открытых текстов. Тогда шифр B∑′ также
)(LO -стоек и имеет равные с B∑ значения вероятностей
.1,0, −= Lipi В [Cas98] предложены конструкции на основе ортого-
нальных массивов )(LO -стойких шифров, обладающих наи-
меньшими значениями вероятностей ,,0, Lipi = и минимальным (в некотором смысле) числом ключей.
В [Mit96] получена нижняя оценка ключей )(LM -стойкого шифра.
Теорема 7.8. Число ключей π )(LM -стойкого шифра
удовлетворяет неравенству
.)(1
0∏−
=−≥
L
iiλπ
153
Дополнение
Шифртекст несет не только информацию об открытом тексте, но и об использованном ключе. Поэтому целью крип-тоаналитика может быть получение информации о ключе. Лучшими для защиты от криптоатаки на основе одной крип-тограммы являются условия, при которых
)()( kpykp = (1)
для любых ., YyKk ∈∈
Назовем шифр ,В∑ удовлетворяющий условиям (1), со-вершенным по ключу. В связи с этим совершенный шифр бу-дем называть совершенным по открытому тексту.
Поскольку условное вероятностное распределение )/( KYP определяется формулой
=∈∃= ,,0
,)(:),()( случае противном в если yxeXxxpkyp k
то (1) равносильно равенству
)())(( ypydp k = (2) для любых ., YyKk ∈∈
Выражая вероятность )(yp по формуле (2.2.7), получаем критерий совершенности шифра в форме равенства
∑∈′
′ =⋅′)(
))(())(()(yKk
kk ydpydpkp (3)
для любых ., YyKk ∈∈
Дополнение
154
Теорема 1. Если транзитивный шифр В∑ является со-вершенным по ключу, то XY = и )(),( YPXP равно-мерные распределения.
Доказательство . Пусть Yy∈ и .,...,)( 1 NkkYK = Тогда из (3) следует цепочка равенств
)).(()(...))(()(
))((...))((
1
1
1 ydpkpydpkp
ydpydp
N
N
kNk
kk
++=
=== (4)
Пусть .,1)),(( Niydpp
ik == Тогда
.)(1)()()()(
KyKkpkpppyKkyKk
=⇔=⇔
= ∑∑
∈∈
Равенство KyK =)( означает, что y содержится в каж-
дой строке матрицы зашифрования. Поскольку это верно для любого ,Yy∈ то ,XY ≤ так как длина строки матрицы
зашифрования равна .X С другой стороны, для любого
шифра ,XY ≥ следовательно, .XY = Условие транзитивности шифра означает, что в (4)
,)(),...,(
1Xydyd
Nkk =
откуда следует равномерность распределения ).(XP Равномерность распределения )(YP следует из того, что
для любого Yy∈
.1)(1))(()()()( X
KpX
ydpkpypKkyKk
k ==⋅= ∑∑∈∈
Дополнение________________________________________________
155
Совершенный по ключу шифр может не быть транзитив-ным и может иметь не равномерное распределение ).(XP
Пример. Рассмотрим шифр ,В∑ для которого =X ,4,3,2,1== Y а матрица зашифрования имеет вид
1 2 3 4 k1 1 2 3 4 k2 2 1 3 4 k3 1 2 4 3
Пусть ,8/3)()(,8/1)()( 4321 ==== xpxpxpxp а распределение )(KP произвольно. Непосредственно про-веряется, что этот шифр не является транзитивным, но явля-ется совершенным по ключу.
Представляют интерес шифры, обеспечивающие совер-
шенную стойкость по открытому тексту и по ключу. Теорема 2. Если шифр В∑ является совершенным по
открытому тексту и по ключу, то XY = и )(),( YPXP
равномерные распределения. Если при этом ,XK = то и распределение )(KP равномерное.
Доказательство . Первое утверждение следует из тео-
ремы 1. Пользуясь критерием совершенности шифра по от-крытому тексту, имеем:
.1)()()/(
),(Xkpypxyp
yxKk=⇔= ∑
∈
Дополнение
156
Согласно теореме Шеннона, из условия следует равенство 1),( =yxK для любых ., YyXx ∈∈ Отсюда следует рав-
номерность распределения ),(KP что и требуется.
Справедливо частичное обращение теоремы 2. Теорема 3. Пусть В∑ транзитивный шифр, удовле-
творяющий условиям ,KYX == и имеющий равномерные
распределения ).(),( KPXP Тогда В∑ является совершен-ным по открытому тексту и по ключу.
Отметим, что свойства шифра быть совершенным по от-
крытому тексту и по ключу являются независимыми. В самом деле, как мы знаем, свойство совершенности шифра по от-крытому тексту не зависит от распределения ),(XP в то вре-мя как совершенным по ключу шифр может быть лишь в случае, когда )(XP равномерное распределение. Приве-денный выше пример показывает, что совершенный по ключу шифр может быть не транзитивным, и, следовательно, не со-вершенным по открытому тексту.
В более общей форме можно ставить задачу о нахожде-нии ключа на основе ряда криптограмм, полученных на од-ном ключе.
157
Литература
[Алф01] Алферов А.П., Зубов А.Ю., Кузьмин А.С., Чере-мушкин А.В. Основы криптографии. М.: “Гелиос АРВ”, 2001.
[Анд99] Андреев Н.Н., Петерсон А.П., Прянишников К.В., Старовойтов А.В. Основоположник оте-чественной засекреченной телефонной связи. Радиотехника (1998) 8, 8 12.
[Баб02] Бабаш А.В., Шанкин Г.П. Криптография (ас-пекты защиты). М.: СОЛОН-Р, 2002.
[Бра99] Брассар Ж. Современная криптология. М.: ПОЛИМЕД, 1999.
[Глу90] Глухов М.М., Елизаров В.П., Нечаев А.А. Алгеб-ра (учебник). М.: в/ч 33965, 1990.
[Гор86] Горбатов В.А. Основы дискретной математики. М.: Высшая школа, 1986.
[Коф75] Кофман А. Введение в прикладную комбинато-рику. М.: Наука, 1975.
[Мэс88] Мэсси Жд.Л. Введение в современную крипто-логию. ТИИЭР, т. 76, 5 (1988), 24 42.
[Неч99] Нечаев В.И. Элементы криптографии. Основы теории защиты информации. — М.: Высшая школа, 1999.
[Рио63] Роирдан Дж. Введение в комбинаторный ана-лиз. М.: ИЛ, 1963.
[Сач77] Сачков В.Н. Комбинаторные методы дискрет-ной математики. М.: Наука, 1977.
[Хол62] Холл М. Теория групп. М.: ИЛ, 1962. [Хол70] Холл М. Комбинаторика. М.: Мир, 1970. [Шен63] Шеннон К. Теория связи в секретных системах
// В кн.: Работы по теории информации и ки-бернетике. М.: ИЛ, 1963.
[Bie95] Bierbrauer J. Monotypical uniformly homogene-ous sets of permutations. Arch. Math. (1992)
Литература
158
V.58, 338 344. [Bie94] Bierbrauer J., Edel Y. Theory of perpendicular ar-
rays. Journal of combinatorial designs (1994) V.6, 375 406.
[Bie95] Bierbrauer J. The uniformly 3-homogeneous sub-sets of PGL2(q). Journal of algebraic combina-torics (1995) V.4, 99 102.
[Bie96] Bierbrauer J., Black S., Edel Y. Some t-homogeneous sets of permutations. Designs, codes and cryptography (1996) V.9, 1, 25 38.
[Cas98] Casse L.R.A., Martin K.M., Wild P.R.. Bounds and characterizations of authentication/secrecy schemes. Designs, codes and cryptography (1998) V.13, 2, 107 129.
[God90] Godlewsky P., Mitchell C. Key-minimal cryptosys-tems for unconditional secrecy. Journal of Cryptology (1990) 1, 1 25.
[Mas87] Massey J., Maurer U., Wang M. Non-expanding, key-minimal, robustly-perfect, linear and bilinear ciphers. Procceedings of Crypto’87; Advances in Cryptology (1987), 237 247.
[Mit94] Mitchell C.J., Walker M., Wild P. The combina-torics of perfect authentication schemes. SIAM Journal 102 107.
[Mit96] Mitchell C.J., Piper F.C., Walker M., Wild P. Au-thentication schemes, perfect local randomizers, perfect secrecy and perfect sharing schemes. Designs, codes and cryptography (1996) V.7, 1/2, 101 110.
[Nom85] Nomura K. On t-homogeneous permutation sets. Archiv der mathematik, 44 (1985), 485 487.
[Ree96] Rees R.S., Stinson D.R.. Combinatorial characterizations of authentication codes II. De-signs, codes and cryptography (1996) V.7, 3, 239 259.
Литература_______________________________________________
159
[Ros93] Rosenbaum U. A lower bound on authentication after having observed a sequence of messagas. Journal of Cryptology (1993) V.6, 135 156.
[Rub96] Rubin F. One-time pad cryptography. Cryptologia, (1996) VXX, 4, 359 364.
[Sim84] Simmons G.J. Authentication theory / coding theory // Procceedings of Crypto’84; Advances in Cryptology (1984), 411 431.
[Soe88] De Soete M. Some constructions for authentication-secrecy codes. Procceedings of EuroCrypt’88; Advances in Cryptology (1988), 57 75.
[Sti95] Stinson D.R. Cryptography: Theory and practice. CRC Press, N.Y., 1995.
[Sti92] Stinson D.R. Combinatorial characterizations of authentication codes. Designs, codes and cryptography, (1992) 2, 175 187.
[StiTei90]
Stinson D.R., Teirlinck L. A construction for authentication secrecy codes from 3-homogeneous permutation groups. European journal combinatorics (1990) V.11, 73 79.
[Sti88] Stinson D.R. A construction for authentication secrecy codes from certain combinatorial designs. Procceedings of Crypto’87; Advances in Cryptology (1988), 355 366.
[Sti90] Stinson D.R. The combinatorics of authentication and secrecy codes. Journal of Cryptology (1990) 2, 23 49.
[Tra95] Tran van Trun. On the constraction of authentication and secrecy codes. Designs, codes and cryptography (1995) V.5, 3, 269 280.