Куприянов А.И., Сахаров А.В. Теоретические основы радиоэлектронной борьбы (2007) (1186259), страница 49
Текст из файла (страница 49)
На соперничество и борьбу криптографии и криптоанализа проектируется конфликт радиоэлектронной разведки и радиозашиты. Хотя криптография и криптоанализ неизмеримо старше РРТР и РЭМ (легенда связывает первое применение криптозашиты информации с именем Цезаря, цшфровавшего письма Цицерону и другим друзьям в Риме около 2000 лет назад), научная эра развития криптолоп1и началась именно в наше время и была обусловлена развитием телекоммуникаций на основе применения методов и средств радиоэлектроники, т. е. развитием РСПИ. Криптология является довольно специфичной и весьма деликатной областью знания и практической леятельности.
Вследствие малого количества и ограниченного распространения обшедоступных публикаций по криптологии необходимо ввести минимальную терминологию. Исходное сообшение, информационную стойкость которого нужно обеспечить, называется открытым текстом. В результате шифрации обра- 2ЗО Глава 13. Ооеслечеиие информационнов скрисвиости РЭС зуется кдилвогразтма (шифрограмма, шифровка). Для шифрации и лля расшифровки используется ключ. Этот ключ должен быть известен источнику сообшений (перелатчику) и получателю (приемнику), причем известен только им олним. Поэтому в традиционных системах секретной связи ключ передается только по очень надежному каналу, особым образом зашишенному от утечки информации (например, перевозится в бронированном автомобиле под охраной, в кейсе, пристегнутом наручником к руке курьера). Но последние лостижения современной криптологии позволяют создавать системы с облегченными требованиями к зашита ключа, хотя и с худшими потенциальными характеристиками информационной стойкости.
Это так называемые криптосистемы с открытым ключом или двух- ключевые криптосистемы. (15]). Процесс образования и передачи криптограммы иллюстрируется блок-схемой (рис. 13,1). Канал утечки информации С Ш С=Ш '(Ш, К) Источник Шн Канал передачи „а Получатель информации фр т р информации ' " раш информации Защищенный канал Источник ключа Рис. 13.1. Сисмема аередачи информации с секремиым кивком Шифратор, формируя криптограмму Ш(С-с К), преобразует исходный текст С и послеловательность символов ключа К по правилу Ш(С+К)эпос) Лт„ (13. 1) где Лтс — число символов алфавита, которым представляется шифруемый текст.
Чаше всего размеры алфавитов ключа и исходного сообшения одинаковы: Лс= Л' . Если системой передачи шифрованной информации используются двоичныс сигналы, когда размерность алфавита Л',= Лк= 2, правило работы лешифратора выглядит совершенно симметрично с (13.1); С=Ш"'(Ш,К)=(Ш+К)глас)2=(ШЮК), (132) тле Ш (Ш,К) — функция, обратная той, которую реализует шифратор. Обычно считается, что радиоразведке (точнее — криптоаналитику) известен алгоритм преобразования сообшения в шифраторе, а также полностью доступна криптограмма (это правило Керкхоффа ]15]), т. е. счи- Глава 73.
Обесиененае ынформааионной скрысаносеаа РЭС тается, что шифрованный сигнал Ш(С,К) достоверно обнаружен, идентифицирован и принят без помех и искажений. Вся неизвестность заключена в исходном открытом тексте С и в конкретном выбранном при шифрации ключе, Информацию об открытом тексте можно получить только на основс знания (статистической) связи перехваченной шифровки и исходного открытого текста.
Действия развелки (криптоаналитика) направлены на наилучшее использование этой связи. Действия систелеы зашиты от перехвата сообщений разведкой состоит в таком выборе ключа, чтобы в максимальной степени разрушить связь между шифрограммой и открытым текстом. Криптограф в процессе работы решает две нетождественные задачи.
Во-первых, ему нужно обеспечить секретность информации, т. е, скрыть содержание передаваемых сообщений от несанкционированного приема. Во-вторых, он должен обеспечить подлинность (аутентичность) передаваемых сообщений, т. е. высокую вероятность того, что принимаемые абонентом сообщения посланы именно собственным передатчиком, а не сформированы системой радиопротиводействия. Потенциальные, предельно достижимые характеристики доступности для средства радиоразведки смысла и содержания передаваемой информации и соответственно характеристики зашшценности от этих средств могут определяться на основе положений шенноновской теории связи в секретных системах [28[.
Теоретически достижимую предельную способность шифра обеспечивать защиту информации можно характеризовать условной вероятностью Раиф — — Р(С~Ш), т. е, вероятностью восстановления открытого текста (сообщения) С при том условии, что была принята криптограмма Ш. Это последнее условие, естественно, содержит в себе и условие достоверного обнаружения и идентификации (на основе измерения и анализа параметров) сигнала защищаемой радиосистемы передачи информации. Для совершенно секретной (по Шеннону) шифросистемы вероятность Р(С~Ш), такая же, как и априорная вероятность сообшения С: Р(С[Ш) = Р(С) (13.3) для всех возможных криптограмм Ш и всех возможных сообшении С.
Практически условие (13.3) означает, что шифровка Ш не имеет вероятностной связи с исходным сообщением С и знание шифрограммы не добавляет сведений о сообщении, Следуя Шеннону [28[, можно в качестве меры неопрелеленности скрываемого шифром сообшения принять его безусловную энтропию Н(С) и условную энтропию Н(С[Ш) при том условии, что криптоаналитик имеет длина Ы Ооеспечение ин4чорнанионной снрьипносми РЭС 272 в своем распоряжении результат перехвата шифрованной информации Ш.
Естественно, что неопределенность исходного сообщения не уменьшается после получения хоть каких-то сведений, поэтому н(с) > н(с~ш). (13.4) Если система обеспечивает абсолютную, пределыю достижимую информационную стойкость, то Н(С) = Н(С1Ш): прием шифровки не уменьшает неопределенности относительно исходного открытого сообшения, что прямо следует из (13.3). Шифрограмма формируется при помоши секретного ключа, неизвестного криптоаналитику.
По принципу действия именно этот ключ вносит в шифрограмму неопределенность относительно шифруемого сообшения, Поэтому совместная неопределенность маскируемого сообшения и ключа не меньше, чем неопретеленность сообщения н (с~ш) > н(с, к~ш).
(13.5) Используя определения и известные свойства условной энтропии, следует считать, что Н(С, К~Ш) = Н(К~Ш) ъ Н (С, К~Ш), (13.6) но Н(С, К1Ш)=0, так как если криптоаналитик располагаети шифровкой, и ключом к ней, он находится в условиях ничуть не хуже условий законного получателя информации, и никакой неопределенности относительно сообшения у него не остается. С другой стороны, знание шифровки не должно добавлять сведений не только о сообшении, но и о ключе, поэтому н(с, к)ш) < н(к!Ш) < н(к). (! 3.7) Неравенство (13.7) отражает уже использованное выше условие того, что дополнительные данные (наличие перехвата шифрограммы) не уменьшают неопределенности (энтропии) как открытого сообшения, так и секретного ключа.
Формально из определения условная энтропия не может быть больше безусловной. Поэтому, объединяя (13.5) и (13.7), можно получить границу Шеннона для совершенно секретных систем: н(с) < н(к). (1 3.8) В содержательных терминах (13.8) означает, что неопределенность секретного ключа для разведки должна быть не меньше неопределенности сообщения, а зашишенность информации —. предельно достижимой.
И если эта граница достигается, вероятность несанкционированного доступа к зашишаемой информации оказывается не выше априорной вероятности сообшения. 73. л шифрацию длю информацюоююой скрытюооли 273 Ключ — это некоторая последовательность символов. Если К знаков ключа выбираются из алфавита объемом Лк символов, то всего можно сформировать )У к разных ключевых последовательностей, обеспечив тем самым Н (К) < — ~~ Н )ой (Ю„~ ) = К 10К Н„ (13 9) к причем равенство в (13.9) справелливо только для абсолютно случайного выбора ключа, когда вероятность Р(К) = Н, ~, Точно так же, если шифруемое сообщение представлено М символами алфавита, имеющего объем Л'„то Н (С) < М!Окгт (13.10) Соотношения (13.
9) и (13.10) совместно устанавливают, что граница Шеннона (13.8) достигается при К > М, т. е. для достижения потенциальной защищенности информации ключ не должен быть короче шифруемого текста. В частности, из этого условия следует, что одну и ту же ключевую последовательность символов нельзя использовать повторно. разумеется, предельные условия, при которых вероятность раскрытия содержания передаваемой информации не превосходит априорной вероятности сообщения, на практике могут и не достигаться. Формально это означает, что условная энтропия ключа уменьшается по мере накопления информации, т.
е. по мере увеличения объемов данных перехвата радиоразведкой шифрованных сообщений. Условную энтропию Н (К ~Шн Шт ... Шл ) можно рассматривать как функцию числа!Ч знаков перехваченных шифровок: Н(К!Шп Ш, ... Шл) = Н(Н). (13.11) При некотором Н= Юс может оказаться, что Н ~К~Ши Шт ... Шл„) = 0 (точнее, Н(К!Шн Ш) ...
Шл)!< в, где с — оговоренная малая величина). В криптоанализе наименьшее число гтл, для которого выполняются требования малости условной энтропии ключа Н (!гл ) = 0 при большом объеме накопленных криптограмм, называется расстоянием единственности. Это расстояние показывает, какой длины должна быть перехваченная криптограмма, чтобы по ее анализу можно было бы свести к нулю (приблизительно, но с заданной наперед точностью приближения) неопределенность ключа. В этом смысле Юл правильнее было бы называть не расстоянием, а длиной единственности. Физически неопределенность уменьшается за счет накопления информации.
Если, конечно, хоп какая-то информация о ключе в криптограмме присутствует, т. е., если г'(К!Ш) ~ О, 274 Грани 73. Ооеененение ин4ориационной снрыенноеени РЭС Информации о ключе в шифровке тем больше, чем выше избыточность открытого текста. Действительно, если текст состоит из повторения одного и того же символа (прсдельно высокая избыточность), то вся криптограмма в соответствии с (13.1) фактически и есть ключевая последовательность или ее отрезок. Напротив, если открытый текст совершенно случаен и все символы его равновероятны, избыточность равна нулю. В таких условиях. принимая криптограмму, ничего нельзя сказать о ключе. Естественно, что расстояние единственности должно увеличиваться с увеличением энтропии ключа. В соответствии с принятой Шенноном моделью шифрации расстояние единственности определяется соотношением Н(К) (13.12) Л где Н(К) — энтропия ключа, а Л вЂ” избыточность открытого текста.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
