МИСЗКИ книга (1085503), страница 21
Текст из файла (страница 21)
Цикл расшифрования отличается от цикла шифрования обратным порядком ключевой последовательности. Основные характеристики алгоритмов РЕЯ, АЕЯ и ГОСТ 28147-89. Методы криптоанализа алгоритмов блочного шифрования. Базовым при использовании блочных шифров является режим простой замены. В связи с этим рассмотрим ряд вопросов, связинных с эксплуатацией блочных шифров в этом режиме и влияющих на нх криптографическую стойкость. Как отмечалось выше, серьезным недостатком режима простой замены является то, что шифрование одинаковых блоков исходного текста дает идентичные блоки шифротекста.
В результате крнптоаналитик лишь на основе шифрованных данных может делать выводы о свойствах исходного текста. Примером таких выводов может служить определение факха рассылки писем с одинаковым содержанием нескольким адресатам. Если некоторые блоки открытого текста повторились, то во всех зашифрованных сообщениях, незави<имо от используемых ключей, на одинаковых местах будут встречаться повторяющиеся блоки пшфрованных текстов.
Другой пример — передача ключей в зашифрованном виде по линиям связи. Повторение блоков в одном шифрованном тексте показывает, что часть битов в передаваемом ключе по- 126 вторнлнсь, и что в что в дальненшем трудоемкость п~" при их тотальном опробовании ость пер"'""ра ключей учета повторений. ванин может быть со кращена за счет К блочным шиф фрам, исполъзуемым в режиме мены, могут быть применены н н ые олылои длине шнфротекста можно примешпь меанализа, использующие статистические открытых текстов. Напр ер, ляя харакгеристики ков в ши о имер, вычисляя ер, ляя частоты появления блов шифрованном тексте и проводя опробование .~ытом тексте, можно составить ело ь соотв пиная ытого и шифрованного текстов.
Далее, разуч м избыточности открытых тектекст по смыслу с етом стон, найденные блоки открытого тек ми локами. При этом одновременно восстанав открытый текст и дополняется слов ь вваливается стандартность переписки. Наскнх и прочих документов. ндартны заголовки деловых б маг, умаг, юридиче- Е ще одна слабость блочных шиф в в шифров в режиме простой заровании осмысленных текстов связана с тем факюм, что в открытом тексте могут появляться не в !юлъзуемых соответств " ежл!~ 6 ся в оком сокращении ствии между блоками ств — ежду 6 к ми открытого и шифротекстов. днако эта слабость легко у имер стандартные алгоимер, использовать Сле дующим моментом, на который сл ет мание, является проб! и следует обратить внипри шифровани я пр !ема последнего испо лного блока данных и текстов, длины которых не блока.
При использован б х не кратны размеру должен быть каким-либо б ин лочного шиф а фр этот неполный блок пы. Если при этом алго -ли о разом дополнен до стандартной дним алгоритм дополнения выбран не пример, блок дополняется бр неудачно, на! <етветствующего блока ется одними нулями, то и о е пр пределеннн появляются дополнительны лока открытого текста у шп льные возможности. кр тЗапаяитика 127 ельно остановимся на методах впали кр за иптографнОтдельно вицнпе многократного искованных на принц пользования блочных фр шиф ов.
Р. Меркль и в ечи посередине, м е РЕБ показали, как, используя метод встречи нюхаю вскрыть схему двукра Рассмотрим метод вскрытия блочного ши зованнн двойного шифро иф вания в общем случае. ок М от ытого текста и е оложнм, что известны блок М открытого щ " С ф ванного текста. Алгоритм соответствующ щий ему блок шифро "1с их состоитиздвухэтапов.
ытняиеизвестныхключей ь и з вскрытия е пе ебиракпся все возможные варианты в й сляются значев нанта 1с ключа 1 вычи ключа 1гь Для каждого вар 1с помещаются в па- ния А)ЖГ)г) = Еъ1М), после чего значения номе мять по адр у ес АЗЖ()с). ожные варианты ключа е оп об ются возмо сляются значения А1Ж(х'). Если по этому адресу памяти записи ото ит п од к проверке следующего варианта ключей 1к,х'), удовлетворяющая ра- разу ется допустимая пара ключеи ет " амятн с номером АОК(Ы) могут пустимым ключом. щеб ется 2 К проверок Д ш еализацни данного алгоритма щебу Дл= Р , где К вЂ” общее чис- и столько же операций обращения к памяти, иом переборе ключей, для чей, для метода встречи п и обращения ется порядка 4 оперн|пгй иблизительно равносилънымв стим, что такой резкий эффект по сложности).
Заметим, остигается за счет использов ания большой (и трудоемкости д специальным абрам организованной) памяти. 128 Помимо перебора ключей и метода встречи посередине, при исследованиях блочных шифров успешно применяются методы линейного и дифференциального анализа. Идея метода линейного анализа состоит в линеаризацнн уравнений шифрования, то есть замене сложных преобразований, описывающих алгоритм шифрования, их приближениями в классе линейных функций. Под приближением в классе линейных функций (или линейным аналогом) понимается линейная функция, значения которой для достаточно большого числа наборов аргументов совпадают со значениями данной функции шифрования.
Чем выше вероятность совпадения значений линейного аналога со значениями функции шифрования при случайном и 1жвновероятном выборе аргументов, тем лучше качество аналога. Таким образом, линейный анализ сводит задачу определения ключей к решению системы линейных уравнений, в которой правые части уравнений известны с некоторой вероятностью. Из общих принципов математической статистики вытекает, что если распределение значений правых частей уравнений системы отлично от равномерного распределения, и имеется достаточно большое число уравнений, то решение такой системы линейных уравнений может быть найдено статиспгческнми меюдами. Блочные шифры строятся, как правило, по итеративному принципу. Поэтому даже использование на каждой итерации функций, не имеющих хороших линейных аналогов, не гаралпирует их отсутствия в результирующем преобразовании.
Проблема построения блочных шифров, для которых удается доказать оюутствие линейных аналогов, является весьма сложной задачей современной прикладной криптографии. Методы дифференциального (или иначе, разностиого) лналнза строятся в предположении, что крнптоаналитик имеет для анализа несколько текстов, зашифрованных на одном ключе, н дополнительно предполагается известной информация о том, как различаются между собой открытые тексты (при этом сами открытые тексты могут быть неизвестны).
В этом случае крип~оаналичик получает информацию о том, как заданные отличим в открытых текстах проявляются в шифротекстах, или, другими словами, как разность аргументов шифрующего преобразования 129 отражается на изменении его значений. Поскольку шифрующее преобразование однозначно определяется ключом„то информация о зависимостях между разностями значений аргументов и разностями соответствующих значений функции шифрования может быль использована при построении алгебраических и статистических методов вскрытия ключей алгоритма шифрования. 3.
Шифры гаммнроваиия. В основе шифров гаммирования лежит метод «наложения» ключевой последовательности — гаммы — на открытый текст. «Наложение» заключается в позначном (побуквенном) сложении или вычитании по тому или иному модулю. Хотя данные шифроснстемы относятся к многоалфавнтным системам замены, шифры гаьмнровашя имеют целый ряд особенностей н заслуживают отдельного Рассмотрения. В силу простоты своей технической реализации и высоких криптографических качеств этн шифры получили широкое распространение. Исторически первый шифр гаммирования совпадал, по сути, с шифром Виженера, однако без использования самой таблицы Виженера. Как упоминалось в историческом экскурсе, таблица Внженера представляет собой квадрат, каждая строка и каждый столбец которого — некоторая перестановка знаков данного алфавита. Произвольная такая табшпш называется латинским квадратом.
Идя по пути обобщения, введем понятие шифра табличного гаммирования. Шифр табличного гаммироваиия в алфавите А = (аь...,а„) определяется произвольным латинским квадратом з, на А и способом получения последовательности букв из А, называемой гаммой шифра. Буква ш открытого текста под действием знака гаммы аг переходит в букву аь шифрованного текста, содержащуюся в тй строке и 1-м столбце квадрата 1. (подразумевается, что строки и столбцы в Е занумерованы в соответствии с порядком следования букв в алфавите А). В случае шифра Виженера уравнение шифрования имеет внд: Ь;=(а+10 пкх(л, а (у1 представляет собой периодическую последовательность, образованную повторением некоторого ключевого слова. 130 На ряду со сложением используется и вычнтани гаммы. Соотв вычитание знаков ь оответствующие уравнения пгнфрования пршшмакп.
яид: Ь;-(а;у) пюд л или Ь; — (11-а;) щи в. Шнф ы фр гаммирования с приведенными уравнениями шифрования обычно называют шифрами модульного гаммиро1ш них. лии ши о Если для расшифрования достаточно заменить в ур авнефрования а~ ва Ьь то такие шифры называются обратимымн. К Риптоаналнз пРоизвольного шифра табличного г г«наш во многом схож с ож с криптоанализом шифра модульного "ьгмнрования. Рассмотрим основные идеи анализа на прн "'нфра с уравнением Внженера. Пронумеруем буквы алфавита А числами от О до усть Рь " и зг вероятности появления знака 1 в отта > г ~с, гамме и в шифРованном тексте соответственно.
то лие вероятностных распределений на знаках о „ы о тек распределение вероятностей знаков „фр 3 з,~ >1/ — 1 б которой Разность 1 — г' берется по модулю л Из этой формулы следует, что если г = Пл и и " "" — 1 то и $=1й при всех 1 = О...л — 1. Это озиа фросе вро о свой а неог ~ гся от самой равновероятной гаммы. Это обстояте «:тявкает шансов ятельство не сов криптоаналитику использовать диаграмму по«горяемости б кв от у крытого текста, поскольку при наложении ~ яммы эта информация как бы стирается.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
