Куприянов А.И., Сахаров А.В. Теоретические основы радиоэлектронной борьбы (2007) (1186259), страница 50
Текст из файла (страница 50)
Избыточность открытого текста обусловлена тем, что не все его символы равновероятны, а также тем, что многие символы встречаются в тексте в устойчивых сочетаниях (условные вероятности сочетаний символов открытого текста больше, чем произведения их безусловных вероятностей). По физическому смыслу и по определению Н(К) равно числу знаков в двоичном представлении ключа, а произведение ЛгоЛ вЂ” числу уравнений, которые можно составить для нахожления каждого неизвестного значения ключа. Для однозначного определения ключа (т, е.
всех его неизвеспеых знаков) нужно, чтобы число уравнений было бы не меньше числа неизвестных, т, е, чтобы НоЛ > Н (К), откуда и следует предельное значение Но (13.12). Из (13.12) также следует, что для увеличения информационной скрытности сообщений (для усложнения несанкционированной дешифрации) нужно не только увеличивать длину ключа, но и сокращать избыточность открытого текста, Соотношение (13.12) иллюстрирует полезность сжатия данных перед тем, как передавать их в шифрованной форме по радиоканалам, защищаемым от перехвата информации средствами радиоразведки. Действительно, избыточность открытого текста количественно определяется как Н(С) Л )ой(Л~е) где Н(С) — энтропия передаваемого сообщения, составленного из Л'символов, выбранных из алфавита объемом Лго. „ Если сообщение С вЂ” текст на естественном языке, то для него Л= 0,744 (английский язык) или Ь= 0834 (русский язык). Это значит, что при абсо- 13.
Д гйифрация дия информиционной скрытности 275 лютно случайном ключе из К символов того же алфавита„в котором представлен открытый текст, для однозначной несанкционированной К расшифровки криптоаналитикдолжен иметь Фр — — — — -(1,19 — 1,11)К сим- 1'я' волов криптограммы. По такому же количеству символов раскрывается секретный ключ. Таким образом, хорошие (стойкие к расшифровке) криптосистемы должны устранять избыточность передаваемых сообщений (использовать сжатие данных). Вывод о необходимости сжатия данных за счет устранения избыточности известен еше из донаучной, эвристической криптологии.
Идеальных способов сжатия данных нет. Но все применяемые на практике способы используют два основных подхода. 1. Из исходного открытого текста удаляются все наиболее часто повторяюшиеся символы. Зто прежде всего пробелы между словами, но также и другие частые символы. Уже в силу высокой априорной вероятности эти символы малоинформативны: без них нетрудно правильно понять переданное и расшифрованное сообщение. Если иметь в виду шифрованные тексты на естественных языках, самыми избыточными и потому опасными с точки зрения сохранения криптостойкости являются служебные пометки (подписи, даты, адреса, ~рифы секретности и прочие). Чем ллиннее эти пометки, чем больше они содержат символов, тем ниже стойкость криптограммы и, что еше хуже.
секретного ключа, которым она зашифрована. 2. Увеличивается энтропия шифрованного сообщения. 1(ля этого в исходном открытом тексте «разравниваются» вероятности различных символов. Иначе говоря, распределение вероятностей символов в шифруемом тексте делается по возможности более близким к равномерному. В текстах на русском языке чаше других попадается буква «0».
В английских текстах — «Е». Разравнивание вероятностей достигается за счет ращюмизации (когда исходный текст складывается по модулю 2 со специальной, не очень длинной последовательностью символов) или за счет применения многоалфавитных подстановок и перестановок.
При многоалфавитных подстановках открытый текст шифруется несколько раз, последовательно. Каждый раз символы шифруемого текста заменяются другими символами, выбранными из того же или другого алфавита. В результате многократного применения таких подстановок относительные частоты появления символов в криптограмме уже не отражают вероятностей появления символов в исходном тексте на естественном языке. Если распределение вероятностей символов становится точно равномерным, шифрованный текст приобретает максимальную энтропию и, следовательно, минимальную избыточность. В соответствии с (13.12) 276 Глана 73.
Ооеснеченне ннфорееанионнон сериа~носта РЭС такая криптосистема будет иметь максимальное расстояние единственности, а значит, и наивысшую при используемом ключе криптостойкость, Практически при шифре с равновероятными символами криптоаналитик не сможет использовать для несанкционированной расшифровки частотный анализ криптограммы. Перестановки перемешивают символы исходного открытого текста, причем способ перемешивания определяется секретным ключом, известным только законным абонентам системы передачи информации, При перестановках частоты появления отдельных символов в шифровке не изменяются по сравнению с соответствующими частотами в исходном открытом тексте, но статистические связи разрушаются.
Расстояние единственности 1! 3.12) — это теоретическая мера стойкости шифра, исходяцзая из предположений о том, что криптоаналитик при расшифровке действует некоторым наилучшим лля себя образом. Но такая характеристика совершенно не учитывает того, каким ресурсом должен облалать криптоаналитик для успешного раскрытия шифра по криптограммам с заданным расстоянием единственности. Поэтому рабочая характеристика шифра измеряется И'(7зг) как средний объем работы гв часах, машинных операциях или других удобных елиницах для ЭВМ известного типа и класса), необходимой лля криптоанализа и раскрытия криптограммы на основе лГ знаков шифрованного текста.
При этом Ис(Ф) определяется для наилучшего криптоаналитического алгоритма. Наиболее интересна потенциальная оценка рабочей характеристики И'( ). представляющая средний объем работы по криптоанализу при неограниченном объеме шифрованного текста. Применяя зту оценку, обычно говорят и пишут «шиФр требует для раскрытия стольких-то лет», а имеют в виду, что при неограниченном количестве знаков перехваченной криптограммы, при наилучшем из известных алгоритмов криптоанализа и при использовании самой бысзродействукицей из известных ЭВМ н>жно затратить столько-то лет непрерывной работы для раскрытия шифра. Это оценка не ловерительной вероятности успеха несанкционированной расшифровки криптограммы Рннф, а ловерительного интервала времени, по истечении которого раскрытие шифра 1ключа и открытого текста) произойдет с вероятностью Рннфв 1.
Для криптозащиты используют блочные и поточные шифры. Блочный шифр преобразует одинаковые блоки исходного открытого текста в одинаковые криптограммы. Это недостаток шифра, который проявляется при повторных передачах шифрованных сообщений. От недостатков блочных шифров свободны поточные шифры, в которых шифрующее преобразование каждого символа исхолного сообщения меняется от символа к сим- 277 73 7. Шифрация дяя информационной анрытноово волу. У большинства поточных шифров секретный ключ К не сам изменяет сообщение в процессе шифрации.
а управляет работой генератора ключевого потока. И уже этот генератор формирует последовательность (поток) символов (К,К2... Кн), взаимодействующих с символами шифруемого сообщения по правилу (13.4). Шн =Сн О+Кд, Дгп!: )'и'. (13.14) Так образуется линейный поточный шифр. Поскольку операции сложения и вычитания по модулю 2 совпадают; Сд -— (Шн) =Шл, О+Кн; йгп1:)У. одинаковыми оказываются схемы шифраторов и дешифраторов. Длина Ф генерируемой под управлением ключа последовательности может быть гораздо больше длины ключа.
Если %очень велико (ключевая последовательность не короче исходного шифруемого сообщения). может показаться, что для такого поточного шифра справедлива граница Шеннона н он оказывается принципиально не раскрываемым, т. е. совершенно секретным. Но это не совсем так. Для совершенной секретности требуется, чтобы длина шифруемого сообщения была не короче длины секретного ключа, а не порождаемой им последовательности ключевого потока. Технические приемы и методы построения генераторов ключевого потока не отличаются от методов создания генераторов поднесуших кодовых последовательностей, расширяющих полосу при создании сигналов с большой базой для обеспечения структурной скрытности.
Точно так же для генераторов ключевого потока стоит проблема линейной сложности— проблема определения структуры обратных связей в генераторе на основе максимально короткого регистра сдвига с тем, чтобы получить ключевую последовательность максимальной длины. Большая линейная сложность— это необходимое условие криптостойкости системы с линейным поточным шифром. Разрешение этой проблемы сводится либо к выбору регистра-генератора очень большой длины, либо к применению таких ключевых потоков, в которые нелинейно объединяются последовательности с выходов нескольких независимых регистров-генераторов. Линейная сложность сформированной таким образом поточной ктючевой последовательности может быть очень большой только в том случае, если последовательности разных генераторов некоррелированы между собой и незначительна корреляция каждой из них с результирующей последовательностью.