Решенные билеты (1085496), страница 15
Текст из файла (страница 15)
Определение: Ключи (k,s), (k,s)- изоэквивалентные (эквивалентные на приеме с точностью до простой замены), если биекции g1: XX, g2: YY: g1*A(k,s)g2*=A(k,s), где g*(y1,…,yl)=(g(y1),…,g(yl)).
Под Близкими ключами понимают ключи, которым при расшифрованиисоответствуют близкие в том или ином понимании открытые сообщения. Ключ (k,s) называется -близкий к (k,s) на длине l, если нормированное расстояние Хеминга: (
, A(k,s)A(k,s)(
)),
Xl, (т.е. с p=1), и 01. В частности, при X=Y понятие -близости на длине l совпадает с понятием l-эквмвалентности. Пусть Pl- некоторое вероятностное распределение на множ-ве SXl. введем следующую величину: dk,k: SXl[0,1], где dk,k(s,
)=
(
, A(k,s)A(k,s)(
))- близость между открытым сообщением и расшифрованным с помощью k1. Для k,kK, и ,[0,1] рассмотрим неравенства: 4* Pl(dk,k)1-; 5* El(dk,k) Определение: Ключ k- -близкий на длине l к ключу k с уровнем , если выполнено неравенство 4*; и -близкий на длине l в среднем, если выполнено неравенство 5*. Заметим, что все рассмотренные бинарные отношения на множ-ве KS или K- бинарные отношения эквивалентности, кроме отношений -близость.
Рассмотрим следующие неравенства: 6* (А)m(A)l(A) и 7* (А)m(A)l(A). Если X=Y => A=A-1, (А)= (А), m(A)= m(A), l(A)= l(A).
Определение: длина различимости (A)-это min l: 2-х неэквивалентных ключей: (k',s') не ~ (k,s) в А существует хотя бы одно открытое сообщение длинны l, Xl, что А(k,s)(
)A(k,s)(
). Другими словами, при l<(A)- есть хотя бы пара неэквивалентных ключей в А, которые все открытые сообщения длины l шифруют одинаково. При l<(A)- по паре: (открытое сообщение; шифрованное сообщение)- невозможно найти p=1 ключей. ] A=
; Ak- состояния S => (A)2S-1.
Определение: длина единственности l(A)- это min l 0, такое, что все входные последовательности- диагностические, т.е. (k',s') не ~ (k,s) в А и
Xl выполняется неравенство A(k,s)(
)A(k,s)(
). Другими словами при длине l
l(A) по любому
Xl и соответствующих
=A(k,s)(
) ключ (k,s) определен однозначно с точностью до эквивалентности. С другой стороны: При l<l(A) хотя бы одна пара (открытое сообщение; шифрованное сообщение), по которой вы не найдете ключа с точностью до эквивалентности. Для шифросистем: колонной замены или гаммирования – неравенства 6* и 7* обращаются в равенство => l(A)< и l(A)=(A) соответственно.
Пусть m=m(A)< (память), т.е. : XmYm+1X и для (k,s) KxS, и для
(y1,…,yl)Yl, lm+1, выполняется неравенство xm+1,…,xl= M()(x
,…,x
,y
,…,y
) (ym+1,…,yl), где x1,…,xl=А(k,s)(y1,…,yl). Начиная с m+1 такта шифратор приема можно заменить на автомат М(П):
Если мы можем реализовать такую процедуру, то говорят, что мы производим бесключевое чтение вперед. Если A- подстановочный, то память m(A') = m(revA'), - функция памяти revA; Имеем кусок открытого сообщения (xi,...,xi+m-1):
-
Безключевое чтение назад. Для невозможности реализации этого метода необходимо, чтобы память была достаточно большой: m
log|x|(|K|x|S|).
Вопрос 36.
Теоретико-автоматная характеризация шифросистем колонной замены.
Последовательность суммарных шифров зависит только от ключа (k,s) и не зависит от открытого сообщения.
Определение1:Шифросистема (А, А)- шифросистема колонной замены, если приведенная форма шифратора передачи есть внутренне автономный автомат . При X=Y-
равносильна
. Получаем: 1*
=
=(
)-1. Шифросистемы колонной замены получили наибольшее распространение в практике т.к. они не распространяют искажение.
Теорема1. Пусть (A, A)- произвольная шифросистема, X=Y, тогда шифросистема приема A не распространяет искажений , когда (A, A)- шифросистема колонной замены(ШКЗ).
Доказательство: т.к. X=Y => A=A-1- инъективный, по следствию (] A- инъективный автомат => А- не распространяет искажений A/~- внутренне автономный) => нераспространение искажений инъективным автоматом А - внутренне автономен (1*)
-внутренне автономен => (A, A)- ШКЗ по определению.
Теорема2: Пусть (A, A)- ШКЗ, Г={f(k,s)(k,s)KS}- множ-во всех суммарных шифров шифратора передачи, тогда а) n(A) : ГnГ: шифратор передачи А- представляется автоматом
Причем, при n<(A) такой не существует. б) (А)=m(A)=l(A)- если (А, А)- шифросистема гаммирования.
Доказательство: Пусть =(X, KS, Г, h,
);
((k,s),x)=f(k,s);- не зависит от входа =>
/~ -автономен; Отношения
в А и
совпадают => (A)=(
) => т.к. было упражнение, где доказано, что
- представляется
() , без узла: y<--<--x; следует A- представляется
(). Для б): Пусть
X=(A), A(k,s)(
)=A(k,s)(
), тогда по определению шифросистемы гаммирования следует, что совпали последовательности суммарных шифров:
(k,s)(
)=
(k,s)(
) => это равенство справедливо для любой последовательности xX , последовательность суммарных шифров не зависит от x0 => ключи (k,s) и (k,s) эквивалентны.
последовательность является диагностическим экспериментом, а l-минимальное, тогда =(A)l(A) следует в силу ранее определенного неравенства (А)m(A)l(A) теорема доказана.
При таком представлении ключами являются ( ). Их всего Гn
KS-налицо уменьшение трудоемкости подбора. (А)logГ(KS), при малых длинах различимости. Из определения 1 и равенства 1* => при X=Y всякая ШКЗ (А-1, А) может быть представлена с точностью до эквивалентности шифраторов при фиксированном долговременном ключе k в следующем виде:
блок: (1)(1) - совпадают с автономным автоматом, реализующим hk: SS, в блоке (2)- реализуется суммарный шифр f(k,s) в данном такте, в блоке (2)- обратное к нему биективное преобразование, т.е. f(k,s)= f-1(k,s): При X=Y={0,1) 2 тождественных подстановки: => , что блоки (2) и (2) совпадают и представляются в виде:
, где , k: SX, получаем следующее утверждение:
Утверждение: При X=Y={0,1} всякая ШКЗ (с точностью до эквивалентности шифраторов) является инволютивной шифросистемой и шифросистемой гаммирования. S={0,1}n.
Вопрос 37.
Характеризация эквивалентности ключей шифросистем колонной замены.
Шифросистема (A',A) удовлетворяет следующим условиям: X=Y и h- не зависит существенно от ключа (k,x)KX, т.е. получаем соответствие 1* h=h((k,s),x)=h(s); h: SS - это шифросистема колонной замены, т.к. h не зависит от x.
Утверждение: Если выполнено 1* h- одноцикловая подстановка множ-ва S; k1,k2-- два долговременных ключа; s1,s2 - два разовых ключа; hd(s1)=s2, где d - расстояние от s1 до s2. Справедливы следующие утверждения: а) (k1,s1)~(k2,s2) f(k1)(s,x)=f(k2)( hd(s),x) ,s,x; б) k1~k2 d 0: f(k1)(s1,x)=f(k2)(hd(s),x),s,x; в) (k1,s1), (k2,s2)- изоэквивалентны g1: XX, g2:YY- подстановки: f(k1)(s,x)=g2(fk2(hd(s),g1(x))) ,s,x
Доказательство: а): (k1,s1)~(k2,s2) выходные последовательности при начальных состояниях совпадают для любой входной последовательности f(k1)( hi(s1),x)= f(k2)(hi (s2),x), i
0 ,x f(k1)( hi(s1),x)= f(k2)(hd(hi(s1)),x)
i
0 ,x, а т.к. h- одноцикловая => hi-пробегает все S => f(k1)(s,x)= f(k2)(hd(s),x); x,s. Эквивалентность ключей - разовое состояние между ними.
б) по определению понятия эквивалентности долговременных одноцикловых ключей, получаем, что k1~k2 s1,s2: (k1,s1)~(k2,s2) => (а) для некоторого d.
в) Определение изоэквивалентности для рассматриваемого ШС означает: g2(f(k2)(hi (s2),g1(x)))=f(k1)( hi(s1),x) i 0,x; далее точно также как и в доказательстве пункта а) приходим к равенству: g2(f(k2)(hd (s),g1(x)) = f(k1)(x) x,s.
Вопрос 38.
Характеризация близости ключей шифросистем колонной замены.
Пусть Pl- равномерное распределение на множ-ве SXl; Pl(s,x)=S-1*X-l; fk(s,x)=g (s)(x); k: SГ; {f(k,s)(k,s)KS}={gГ}; gg’, . Пусть (A-1, A)- шифросистема гаммирования, т.е. различные суммарные шифры g не имеют одинаковых переходов, => для
Xl, sS, k,kK выполняется равенство: (
,A-1(k,s)A(k,s)(
))={A-1(k,s),A(k,s)- биективны}=( A(k,s)(
),A(k,s)(
))=
(()k(h-1(s)),k(hi-1(s))) => если h- биективна, то среднее значение k - Eldkk=S-1(k,k); где - расстояние Хэмминга: (k,k)={sSk(s)k(s) };
Утверждение: Для шифрсистемы гаммироваания при условии h=h((k,s),x)=h(s) с биективной функцией h и функцией выходов, представленной в виде: fk(s,x)=g (s)(x); {gg’, }: Следующие свойства равносильны для k,kK, {0,1} и длины lN: