Куприянов А.И., Сахаров А.В. Радиоэлектронные системы в информационном конфликте (2003) (1186258), страница 80
Текст из файла (страница 80)
2. Увеличивается энтропия шифрованного сообщения. Для этого в исходном открытом тексте «разравниваются» вероятности различных символов. Иначе говоря, распределение вероятностей символов в шифруемом тексте делается по возможности более близким к равномерному. В текстах на русском языке чаще других попалается буква «0». В английских текстах «Е».
Разравнивание вероятностей достигается за тле Н(С) — энтропия передаваемого сообщения, составленного из Ф символов, выбранных из алфавита объемом 1, Если сообщение С вЂ” текст на естественном языке, то для него д=0,744 (английский язык) или А=0,834 (русский язык).
Это значит, что при абсолютно случайном ключе из К символов того же алфавита, в котором представлен открытый текст, для однозначной несанкпионированной расшифровки криптоаналитик должен иметь !9.4. Стойкость к имитируюшич и лезииформируюшим помехам 489 счет рандомизации (когда исходный текст складывается по модулю 2 со специальной не очень длинной последовательностью символов), или за счет применения многоалфавитных подстановок и перестановок. При многоалфавитных подстановках открытый текст шифруется несколько раз, послеловательно. Каждый раз символы шифруемого текста заменяются другими символами, выбранными из того же или другого алфавита.
В результате многократного применения таких подстановок, относительные частоты появления символов в криптограмме уже не отражают вероятностей появления символов в исходном тексте на естественном языке. Если распределение вероятностей символов становится точно равномерным, шифрованный текст приобретает максимальную энтропию и, следовательно, минимальную избыточность. В соответствии с (19.63) такая криптосистема булет иметь максимальное расстояние единственности, а значит и наивысшая при используемом ключе криптостойкость. Практически цри шифре с равновероятными символами криптоаналитик не сможет использовать лля несанкционированной расшифровки частотный анализ криптограммы.
Перестановки перемешивают символы исходного открьггого текста, причем способ перемешивания определяется секретным ключом, известным только законным абонентам системы передачи информации. При перестановках частоты появления отдельных символов в шифровке не изменяются по сравнению с соответствуюшими частотами в исходном открытом тексте, но статистические связи разрушаются. Расстояние единственности (19.63) — это теоретическая мера стойкости шифра, исходяшая из предположений о том, что криптоаналитик при расшифровке действует некоторым наилучшим для себя образом. Но такая характеристика совершенно не учитывает того, каким ресурсом должен обладать криптоаналитик для успешного раскрытия шифра по криптограммам с заданным расстоянием единственности. Поэтому Шеннон определил рабочую характеристику шифра И(Л) как средний объем работы (в часах, машинных операциях или других удобных единицах для ЭВМ известного типа и класса), необходимой для криптоанализа и раскрытия криптограммы на основе Ф знаков шифрованного текста.
При этом ))(д) определяется для наилучшего криптоаналитического алгоритма. Наиболее интересна потенциальная оценка рабочей характеристики Н(Г), представляюшая средний объем работы по криптоанализу при неограниченном объеме шифрованного текста. Применяя эту оценку, обычно говорят и пишут «шифр требует лля раскрытия стольких-то лет», а имеют в виду, что при неограниченном количестве знаков перехва- 490 Глава 19. Помехозащита радиосистем передачи информации ченной криптограммы, при наилучшем из известных алгоритмов криптоанализа и при использовании самой быстродействующей из известных ЭВМ нужно затратить столько-то лет непрерывной работы для раскрытия шифра, Это оценка не доверительной вероятности успеха несанкционированной расшифровки криптограммы Р, ф, а доверительного интервала времени, по истечении которого раскрытие шифра (ключа и открытого текста) произойдет с вероятностью Р„, =1.
Для криптозащиты используют блочные и поточные шифры. Блочный шифр преобразует олинаковые блоки исходного открытого текста в одинаковые криптограммы. Это нелостаток шифра, который проявляется при повторных передачах шифрованных сообщений. От недостатков блочных шифров свободны поточные шифры, в которых шифрующее преобразование каждого символа исходного сообщения меняется от символа к символу. У большинства поточных шифров секретный ключ К не сам изменяет сообщение в процессе шифрации, а управляет работой генератора ключевого потока. И уже этот генератор формирует последовательность (поток) символов (й,Кь..КЖ), взаимолействуюших с символами шифруемого сообщения по правилу (19.54): (19.65) Ш,= С„Е К„; и я 1;М.
Так образуется линейный поточный шифр. Поскольку операции сложения и вычитания по модулю 2 совпалают: Са=(Ш„) '= Ш„9 Кгя ие 1:йг, (19.бб) одинаковыми оказываются схемы шифраторов и дешифраторов. Длина М генерируемой под управлением ключа последовательности может быть гораздо больше длины ключа. Если Ф очень велико (ключевая последовательность не короче исходного шифруемого сообщения), может показаться, что для такого поточного шифра справедлива граница Шеннона и он оказывается принципиально не раскрываемым, т.е, совершенно секретным. Но это не совсем так. Для совершенной секретности требуется, чтобы длина шифруемого сообщения была не короче длины секретного ключа, а не порождаемой им последовательности ключевого потока.
Технические приемы и методы построения генераторов ключевого потока не отличаются от методов создания генераторов поднесуших кодовых последовательностей, расширяющих полосу при создании сигналов с большой базой лля обеспечения структурной скрытности. Точно также для генераторов ключевого потока стоит проблема линейной слож- 49! )9.4. Стойкость к имитирующим и дсзиифорл5ируюи2им помехам ности — проблема опрелеления структуры обратных связей в генераторе на основе максимально короткого регистра слвига с тем, чтобы получить ключевую последовательность максимальной длины. большая линейная сложность — это необходимое условие криптостойкости системы с линейным поточным шифром. Разрешение этой проблемы сводится либо к выбору регистра-генератора очень большой ллины, либо к применению таких ключевых потоков, в которые нелинейно объединяются последовательности с выходов нескольких независимых регистров-генераторов.
Линейная сложность сформированной таким образом поточной ключевой послеловательности может быть очень большой только в том случае, если последовательности разных генераторов некоррелиронаны между собой и незначительна корреляция кажлой из них с результирующей последонательностью. Этот вывод можно получить на основе тех жс рассуждении, ко2орые привели н разд. 2 к формулировке принципов построения расширяющих послеловательностей лля созлания широкополосных сигналов.
Осознание различия между практической и теоретической стойкостью криптосистем познолило поставить неожиланный и на первый взгляд парадоксачьный вопрос: раз уж имеет смысл стремиться к обеспечению только практической стойкости шифра, нельзя ли ее лостичь при отказе от сложностей создания и распространения секретного ключа". Положительный отнет на этот вопрос позволяет существенно упростить криптосистему за счет отказа от специального защищенного канала перелачи ключа.
Работа криптосистемы с открытым ключом основывается на испол ьзовании односторонних функций. Подобные функции легко вычисляются по известным аргументам при шифрации и расшифровке. Но по известным их значениям очень трудно определить аргументы (вычислить обратную функцию) при криптоанализе. Хорошим примером односторонней функции может служить дискретное возведение в степень [30]: ()9.67) К = а(шос! р).
Если а и р известны, то сообщение С нетрудно зашифровать ключом, полученным в соответствии с этим алгоритмом (нетрудно получить К как результат дискретного возведения в степень (!9.б7)). Даже при очень больших р, К вычисляется путем возведения в квадрат и умножения. Например, а53 з?т!6„4, ~ 2 ( 2)2 ((( 2)2)2)2 (((( 2)2)2)2)2 ()9 бз) 492 Глава 19. Помсхоза?пита радиосистем передачи ииформаиии т.е. нужно выполнить пять операций умножения типа а" а и три операции перемножения полученных величин. Всего для вычисления ал потребуется примерно 21оя?р (и не более того) операций умножения. Расшифровка для определения С при известном Ш, но неизвестных а и р потребует вычисления обратной функции К= !од,Ш(К) (вог! р), или С = !оя„Ш(С) (вог) р) (!9.б9) т.е.
дискретного логарифмирования. Доказано, что если не только р велико, но и (р — 1) имеет большой простой множитель (например, если 0,5(р — 1) — простое число), вычисление дискретного логарифма потребует примерно,/р операций умножения. Разумеется, )р» 21оя?р (19.70) и функция дискретного возведения в степень при некоторых условиях на а, р и оговорках, сделанных относительно (р- 1), действительно является односторонней функцией. Зти условия сводятся к следующим: число р должно быть простым, а число а а ]1; р] таким, что все его степени (по вос( р) принимают значения из множества [1: р — 1]. Иначе говоря, а должно быть примитивным элементом поля Галуа 6Р(р). Такие а всегда существуют. Например, для р= 7 и а=3: а'= 3; а'= 2; аз= 6; а4=4; аз= 5; ас=! (гпос1 р=7).
Работу криптосистемы с открытым ключом можно иллюстрировать на примере обмена шифрованными сообщениями между двумя абонентами. Условно это абоненты А и Б. Предположим, эти абоненты желают передать друг другу конфиденциальные сообщения соответственно С„и Св соответственно. Для организации такого обмена абонент А выбирает случайное число Х, а (1; р — 1] и держит его в секрете, но вычисляет значение дискретной экспоненты: П,=а "(вос( р).
(19.71) Число П, сообщается всем, с кем абонент А собирается устанавливать связь. Можно сказать, что в системе связи П„(это такой же реквизит абонента А, как имя, адрес и номер телефона). Точно также поступает и абонент Б, но, разумеется, выбирая другое число Ха и вычисляя другое Пм Если А и Б обмениваются конфиденциальными сообщениями, каждый из них вычисляет К,а = сгг''В = (П„)~а(вос) р) = (Пв)Х(вос) р) (19. 72) 493 19.4.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
