Бабаш А.В., Шанкин Г.П. Криптография (распознано не всё)
.pdf81
Пусть разведка Р контролирует, то есть перехватывает и дешифрует, линию связи от корреспондента А к корреспонденту Б. Разведка, используя свои возможности, побуждает А отправить Б информацию по интересующе му Р вопросу. Таким образом Р получает требуемую информацию. Побудить А отправить нужное послание - дело непростое; успех зависит, в частности, от возможностей Р влиять на А. Приведем примеры такого действий.
Всамом начале XIX века из Петербурга русскому послу в Берлине сообщили: «В нашем распоряжении есть шифры, с помощью которых пере писываются король Пруссии со своим поверенным в делах в России. В слу чае, если у Вас возникнут подозрения в вероломстве министра иностранных дел Пруссии графа Кристиана фон Хаунвитца, то Ваша задача будет состоять
втом, чтобы под каким-то предлогом заставит его написать сюда письмо по интересующему нас вопросу. И сразу же, как только будет дешифровано его письмо или письмо его короля, я проинформирую Вас о содержании».
ВXVIII веке криптографические методы защиты информации про никли и во внегосударственные сферы. Их стали применять различные тай ные организации, уголовный мир и т.д. В России появились ложи масонских направлений, которые традиционно использовали криптографические мето ды. В связи с этим государственные криптографические органы России обра тили внимание и на эти организации.
Шифры, используемые этими организациями, как правило, не явля лись стойкими, что вполне объяснимо. Профессиональные криптографы по являлись в их среде крайне редко. Масоны, возродившиеся на Руси при Павле Петровиче, использовали свои традиционные «экзотические» шифры простой замены. Мать Павла, Екатерина II относилась к масонству крайне отрица тельно, но Павел, еще будучи великим князем, взял их под свое личное по кровительство. Екатерина II повелела взять переписку масонов под контроль. Соответствующее указание она передала московскому почт-директору И.В. Пестелю, отцу декабриста Павла Пестеля.
Итак, шифры масонов являлись недостаточно стойкими. Но следует принять во внимание следующий факт. Само открытое сообщение масоны формулировали в форме мистико-символического послания, истинный, смысл которого был доступен лишь «посвященному». Здесь появляются так назы ваемые «семантические шифры», в которых заменяется не форма, а содержа ние послания; форма же остается вполне осмысленной для любого читателя, а истинное содержание должен был понять лишь тот, кому сообщение направ
лено. |
' |
|
Вольные каменщикй придерживались следующего правила: «Символ |
представляет мысли свободу; догмат сковывает, подчиняет. Язык в ложах наших иносказательный». В одной из масонских инструкций указывалось: «Каменщик должен всячески вникать в таинственные обряды наших лож, где
82
каждый предмет, каждое слово имеет пространственный круг значений и сие поле расширяется, подобно как, всходя на высоту, по мере того как возвыша ется, то видимый нами горизонт расширяется».
В результате дешифрования масонской переписки был посажен в Шлиссельбургскую крепость один из руководителей масонского движения в России Н.И. Новиков - известный издатель, литератор и публицист. Позднее другой масон, сенатор Й.В. Лопухин, жаловался: «Открывали на почте наши письма, и всех моих писем копии, особливо к одному тогда приятелю, быв шему в чужих краях, отсылались к Государыне».
Таким образом, перехват и дешифрование повернулись внутрь страны и стали эффективным оружием в борьбе с «инакомыслящими». Эта практика в дальнейшем использовалась в России (как, впрочем, и в других странах)
весьма активно.
Параграф 1.3 Модели шифров по К. Шеннону. Способы представ
ления реализаций шифров
Одним из первых ввел и систематически исследовал простую и есте ственную математическую модель шифра К. Шеннон. Эту модель можно най ти, например, в его книге «Работы по теории информации и кибернетике», 1963 (раздел «Теория связи в секретных системах»). Он рассматривал так на зываемые «секретные системы», в которых смысл обобщения скрывается при помощи шифра или кода, но само шифрованное сообщение не скрывается, и предполагается, что противник обладает любым специальным оборудованием, необходимым для перехвата й записи передаваемых сигналов.
Рассматривается только дискретная информация, то есть считается, что сообщение, которое должно быть зашифровано, состоит из последова тельности дискретных символов, каждый из которых выбран из некоторого конечного множества. Эти символы могут быть буквами или словами некото рого языка, амплитудными уровнями квантованной речи или видиосигнала.
Ядром секретной системы является собственно шифр.
Алгебраическая модель шифра.
Пусть X, К, У - некоторые конечные множества, которые названы, со ответственно, множеством открытых текстов (открытых сообщений), множе ством ключей и множеством шифрованных сообщений (криптограмм). На прямом произведении ХхК множеств X и К задана функция (отображение) Г
83
ХхК—»У (Г(х,х)=у, хеХ, х^К, уеУ). Функции Г соответствует семейство ото бражений Гх: X—»У, хеК, каждое отображение задано так: для хеХ
# |
*х(х)=Г(х,х)- |
Таким образом, Гх - ограничение Г на множестве Хх{х}. Здесь {х} - множество,’ состоящее из одного элемента. Заметим, что задание семейства отображений (Тх)хек , Гх:Х—»У однозначно определяет отображение Г:ХхК—»У, в[х,хНс(х).
Введенная четверка А=(Х,К,У,!) определяет трехосновную универ сальную алгебру, сигнатура которой состоит из единственной функциональ-
• ной операции Т Определение. Введенная тройка множеств Х,К,У с функцией
Г:ХхКн>У
А =(Х ,К ,У Д - называется шифром (алгебраической моделью шифра), если выполнены два
условия: 1) функция Г- сюрьективна (осуществляет отображение «на» У); 2) для любого х^К функция Гх инъективна (образы двух различных
элементов различны).
Из 2) вытекает, что |Х|<|У|.
Запись Г(х,х)=у называется уравнением шифрования. Имеется в виду, что открытое сообщение х зашифровывается шифром на ключе %и получает ся шифрованный текст у. Уравнением расшифрования называют запись Гх''(у)=х (Г'(у,х)=х), подразумевая, что шифрованный текст у=Дх,х) расшиф ровывается на ключе х и получается исходное открытое сообщение х. Для краткости, в ряде случаев используют и более простые обозначения уравне ний шифрования и расшифрования, а именно, соответственно: %х=у и х *У=Х-
Требование инъективности отображений (Гх)х€к в определении шифра равносильно требованию возможности однозначного расшифрования крипто-. граммы (однозначного восстановления открытого текста по известным шиф рованному тексту и ключу). Требование же сюрьективности отображения Гне играет существенной роли и оно обычно вводится для устранения некоторых технических, с точки зрения математики, дополнительных неудобств, то есть для упрощения изложения. В ряде случаев мы будем отказываться от этого требования, если его наличие будет усложнять описание или анализ шифра. Таким образом, наличие или отсутствие сюрьективности отображения { в ис пользуемом определении шифра будет следовать из текста.
Введенная модель шифра отражает лишь функциональные свойства шифрования и расшифрования в классических (с точки зрения истории крип тографии) системах шифрования (в системах с симметричным ключом). В этой модели открытый текст (или шифрованный текст) - это лишь элемент абстрактного множества X (или У), не учитывающий особенностей языка, его
84
статистических свойств, вообще говоря, не являющийся текстом в его при вычном понимании. При детализации модели шифра в ряде случаев указыва ют природу элементов множеств. ф
Рассмотрим примеры.
Обозначим через I некоторый алфавит, а через I* - множество всех слов в алфавите I, то есть множество конечных последовательностей (М,12,...,ц.), ^е1^ е { 1,...,Ь },Ь е{1 ,2,....}
Шифр простой замены. Пусть Х=М - некоторое подмножество из I*,
а К - множество всех подстановок на I (К=§(1) - симметрическая группа под становок на I). Для каждого §еК определим , положив для (й,12,...Д0 из М
Г8( 11,12,-..,1 0 = § (1 |),§ 0 2 ),...,Е (1 0 - ПоЛОЖвМ ДОПОЛНИТвЛЬНО
Д11,12,...Дцё)= ^ ( 11,12,...ДО и У=Г(М)={Д11Д2,...Д^§): §е5(1), (11,12,...,ц.)еМ}. Таким образом, нами опреде
лен шифр А=(М, 8(1), У, Г) простой замены, более точно: алгебраическая мо дель шифра простой замены с множеством открытых текстов Х=М. Иногда в качестве шифра простой замены выступает шифр, в котором Хс1и12и...и1ь и
для шифрования открытых текстов длины к слов выбирается подстановка §к из 3(1).
Шифр перестановки. Положим X - множество открытых (содержа тельных) текстов в алфавите I длины, кратной Т. К=8т - симметрическая группа подстановок степени Т, для §е 8т определим ^ положив для (11Д2,...Дт)еХ
^(мДг,- •-Дт)= 08(1)Л(2)>- •. Д8(т>);
доопределим на остальных элементах из X по правилу: текст хеХ делится на отрезки длины Т, и каждый отрезок длины Т шифруется на ключе § по ука занному выше закону шифрования. Последовательность, составленная из букв образов зашифрованных слов, является шифрованным текстом, соответсветсвующим открытому тексту х и ключу §. Таким образом, нами определена функция Г:ХхК-»У и шифр перестановки (Х,5т,УД). Для шифрования текста длины, не кратной Т, его дополняют буквами до длины, кратной Т.
Шифр гаммирования. Пусть буквы алфавита I упорядочены в неко
тором естественном порядке. «Отождествим» номера этих букв с самими бу квами. То есть формально положим 1={1,2,...,п}, |1|=п. Положим, X - некото рое подмножество множества 1ь, Кс1ь.
Для ключа у=у1,у2,...,уь из К и открытого текста х= 11,12,..-Ль их X, по ложим, Гг(1|,12,...,11.)=УьУ2,...,Уь где у^+у, ш о<1(п),{1,...,Ь}. Часто под шиф
ром гаммирования понимают и следующие способы шифрования: УгЦ-Чу» УГУГ Ь шос!(п).__________ __
/,
Поточный шифр. Шифр поточной замены. Введем сначала вспомо
гательный шифр (1,Г,У,0 для шифрования букв алфавита I. Для ключа у| еГ, и буквы (открытого текста) 1е1 шифрованный текст имеет вид Гг)(1)=у. Обо
значим через К - множество ключей поточного шифра. Для натурального числа Ь введем отображение Ф: К—►Г1', для фиксированного ключа уеК по ложим Ф(х)=У|>У2,---,Уь- Поточный шифр (1Ь,К,Р,У ) для вспомогательного шифра (Х=1,К=Г,У,{) шифрует открытый текст 11,12,.. .,ц. на ключе уеК по
правилу •
Рх(11,12,...,10= ^ ( ц), ^2(12),...,
где ГУ0Н ( 1,у).
Поточным шифром замены мы называем поточный шифр, для кото рого опорный шифр имеет вид (Х=Т,К=Г,У=Т,Г), а (Гу)уег - семейство подста новок на I. Примерами поточных шифров служат шифры гаммирования, шифры простой замены. Поточный шифр с опорным шифром вида: 1=К={1,2,...,п}, !'С, у)=ч+у той |1| также называют шифром гаммирования. При этом условно различают программный шифр гаммирования, в случае |К|<|1|Ь, и случайный шифр гаммирования, в случае К=1ь, Ф - тождественное отображение. Более общее понятие поточного шифра состоит в том, что в ка честве множества открытых текстов рассматриваются все последовательности алфавита I длины, не превосходящей некоторого ЦО). Для шифрования тек стов длины Ь изпользуется гамма Фь(х)=УьУ2,- -,Уь- Таким образом, исполь зуются Ь функций Ф],) € {1 ,... ,Ц0)}.
Ряд специалистов, в частности Алиев Ф.К., считают, что приведенный шифр следует называть поточным лишь в случае, когда существует ключ ХеК, при котором не все функции Гуь ГУ2,..'., Гуь одинаковы. В противном слу
чае, шифр следует называть блочным шифром.
Произведение шифров.
Произведением шифров А^ХьКьУьГ,), А2=(Х2,К2,У2,^2), У|СХ2на зывают шифр А=(ХьК|ХК2,У2Д д л я которого Дх,(хьХ2))=Щ (х,Х1),Х2), (Х1,Х2)еК,хК2.
Транзитивность шифра.
Шифр А=(Х,К,У,() называют транзитивным, если при любых хеХ и у еУ найдется х<=К, при котором Дх,х)=у. Исходя из введенных определений, легко доказывается, что для транзитивного шифра |ХНУ|2|К|.
Основные параметры шифра (/Про/ и др.). Ряд требований к шиф
рам формулируется с использованием понятий, точное определение которых будет дано позднее. Тем не менее, на качественном уровне понимания эти па раметры можно трактовать следующим образом.
86
С т ойкост ь ш иф ра . Ряд шифров являются совершенными в том смысле, что
положение противника, стремящегося к их дешифрованию, не облегчается в результате перехвата шифртекста, то есть наличие криптограммы не умень шает неопределенности в возможном выборе открытого текста. Такие шифры относят к так называемому классу т еорет ически ст ойких шифров. Ряд шиф
ров, а это многие практически используемые шифры, таковы, что эта неопре деленность при перехваченной криптограмме полностью исчезает, то есть становится известным, что данная криптограмма может быть получена шиф рованием только единственного открытого текста (неизвестно только - како го). Уровень стойкости таких систем оценивается по затратам времени и сил, необходимых для получения этого единственного открытого текста. При больших затратах или малой вероятности успеха в дешифровании - говорят, что шифр практ ически ст ойкий.
О бъем клю ча . Ключ шифрования (он же ключ расшифрования) должен быть
неизвестен*противнику и находиться как в передающем пункте связи, так и в приемном пункте. Обычная практика использования ключа состоит в том, что он используется как одноразовый шприц - единожды, при шифровании лишь одного открытого текста. Для регулярной связи корреспондентов, следова тельно, надо иметь в их пунктах связи достаточно большое количество клю чей, то есть должна решаться задача секретной доставки ключей. Эта задача решается более просто, если объем каждого ключа сравнительно небольшой.
Эти операции должны быть по способу выполнения по возможности простыми. Если они выполняются вручную, то. их сложность приводит к большим затра там времени на их выполнение и появлению ошибок. При использовании шифровальной аппаратуры возникают вопросы о простоте технической реа лизации аппаратуры, ее стоимости, а также о достижении необходимой ско рости выполнения операций, связанных с процессами шифрования и расшиф рования.
Р азраст ание ч и сла о ш и б о к . В некоторых типах шифров ошибка в одной бу
кве, допущенная при шифровании, приводит к большому числу ошибок в расшифрованном тексте. Такие ошибки разрастаются в результате операций расшифрования, вызывая значительную потерю информации, и часто требуют повторного зашифрования текста и передачи новой криптограммы. Естест венно, при выборе шифра для связи стараются минимизировать это возраста ние числа ошибок.
П ом ехо уст о й чи во ст ь ш иф ра . При действии помех в линиях связи происхо
дит искажение текста криптограммы, что приводит при расшифровании к ис кажениям открытого текста, а зачастую и к нечитаемости текста. Свойство шифра противостоять разрастанию ошибок при расшифровании текстов.называют его пом ехоуст ойчивост ью.
87
И м ит ост ойкост ь ш иф ра . К активном действиям противника в канале связи
относят его попытки навязать абоненту сети связи ложную информация путем искажения шифрованного текста в канале связи, либо его замене на ранее переданный шифртекст, а также и другие действия противника, ведущие к принятию ложной информации. Шифры, обладающие свойством противосто ять таким попыткам навязывания ложной информации, называются имит о-
стойкими.
У вели чен и е объем а сообщ ения . Для некоторых шифров объем сообще
ния увеличивается в результате операции шифрования. Этот нежелательный эффект проявляется, например, при попытке выровнять статистику сообщения путем добавления некоторых вспомогательных симолов («пустышек»), или при рандомизации открытого сообщения, то есть, по сути, применения к нему некоторого пропорционального кода.
Основные свойства модели шифра.
Важным классом шифров являются введенные выше так называемые транзит ивные ш иф ры , то есть шифры, для которых уравнение Дх,х)=у раз
решимо относительно %еК ПрИ любых парах (х,у)еХхУ и так называемые I - транзитивные шифры, шифры, для которых система уравнений Дх0),х)=уО), )е {1,...,1} имеет решение относительно х<еК для любых подмножеств
(х(1),х(2),...,х(1)}сХ мощности I и любых подмножеств {у(1),у(2),...,у(1)}сУ
мощности I .
Эндоморфный шифр.
Другой важный класс шифров представляют так называемые эндо морф ны е ш иф ры (термин предложил К. Шеннон), то есть шифры (Х,К,У,0,
для которых множество открытых текстов X совпадает с множеством крипто грамм У. Для таких шифров (Х,К,У,0 каждое преобразование уеК являет ся биекцией X в X (подстановкой на X). Множество таких биекций обознача ют через П(К,{)={ГХ: %еК}, а сам эндоморфный шифр - через А=(Х,П(К,|)) и называют подст ановочной м оделью эндоморфного шифра.
При этом под ключом этого шифра понимают биекцию яеП(К,0. Уравнение шифрования записывают в виде ях=у, уравнение-расшифования записывают в виде я*'у=х.
Групповой шифр.
Эндоморфный шифр, у которого множество подстановок П(К,0 является смежным классом по некоторой подгруппе из 8(Х), называют групповы м ,
шифром.
Транзитивный шифр, для которого |Х|=|К| называют м иним альны м
шифром.
88
Для эндоморфных шифров А|=(Х,П(К1,Г|)) А2=(Х,П(К2,^2)) используют введенное ранее понятие произведения шифров А|-А2=(Х, П(КЬ^)- ЩКг,^), где Щ К^)- П(К2,Г2)={тг17Г2: я^Щ Кь^), я2€П(К2,Г2)}. Очевидно, произведение
эндоморфных шифров будет транзитивным шифром, если таковым яаляется хотя бы один из них.
Эквивалентные ключи шифра.
Определение. Ключи %, % шифра (Х,К,У,Г) называются эквивалент
ными, если при любом хеХ
Г(х,х)= Дх,х').
Вероятностная модель шифра. Одно из важнейших предположений,
К.Шеннона при исследовании секретных систем состояло в том, что каждому возможному передаваемому сообщению (открытому тексту) соответствует априорная вероятность, определяемая вероятностным процессом получения сообщения (см. ниже параграф 3.3 и главу 4) Аналогично, имеется и априор ные вероятности использования различных ключей шифра. Эти вероятност ные расределения на множестве открытых текстов и множестве ключей ха рактеризуют априорные знания криптоаналитика противника относительно используемого шифра. При этом Шеннон предполагал, что сам шифр извес тен противнику.
Определение. Вероятностной моделью шифра называется его алгеб
раическая модель с заданйыми дискретными независимыми вероятностными распределениями Р(Х)-(р(х), хеХ), Р(К)=(р(х), Хе К) на множествах X и К .
Естественно, вероятностные распределения на X и К индуцируют ве роятностное распределение Р(У)=(р(у),уеУ) на У, совместные распределения Р(Х,К), Р(Х,У), Р(У,К) и условные распределения Р(Х/у)=(р(х/у), хеХ) и Р(К/у)=(р(х/у),хеК).
Вероятностной модели шифра соответствует так называемая матрица ||р(у/х)|| размера |Х|х|У| переходных вероятностей шифра, составленная из условных вероятностей р(у/х) - вероятности зашифрования открытого текста х в криптограмму у при случайном выборе ключа х^К в соответствии с Р(К).
Совершенные шифры. При определении теоретической стойкости
шифра используют вероятностную модель шифра и следующие рассуждения. Зная шифр и априорные вероятности открытых текстов и ключей, об
ладая перехватом шифртекста уеУ, противник может вычислить условные вероятности р(х/у) при всех хеХ. Если при этом окажется, что один из эле ментов х(0) их X имеет значительную вероятность р(х(0)/у)=1-е, а все осталь
ные элементы их X, вместе взятые, имеют вероятность |
р(х / у) = г, то |
х*х(0)
89
это означает, что с надежностью 1-е найдено истинное открытое сообщение. В этом смысле говорят, что дешифрование сводится (равносильно) к вычисле нию апостериорных вероятностей р(х/у) при всех хеХ. Напротив, если ока жется, что при любом хеХ выполняется равенство р(х/у)=р(х), то перехвачен ная криптограмма у не несет никакой информации об открытом сообщении. Если это равенство выполняется дополнительно и при любом уеУ, то это свидетельствует о высокой способности шифра противостоять попыткам де шифрования, то есть о высокой криптостойкости шифра. Последние шифры К. Шеннон назвал «совершенными» шифрами.
Определение. Шифр (Х,К,У,!) с вероятностными распределениями
Р(Х)=(р(х), хеХ), Р(К)=(р(х), Xе К) называется совершенным (при нападении на хеХ по перехвату уеУ), если при любых хеХ и уеУ
р(х/у)=р(х). Используя формулу условных вероятностей
р(х,у)=р(у/х)р(х)=р(х/у)р(у), легко показывается, что совершенность шифра равносильно условию
р(у/х)=р(у)
при любых х е X, у е У.
Несложно доказывается, что свойство совершенности шифра
(Х,К,У,Р), у которого |Х|=|К|=|У|, равносильно двум условиям: 1) р(х)= ~ ~ ~ »
I К |
Х^К; 2) уравнение Г(х,х)=у однозначно разрешимо относительно х^К при
любых хеХ и уеУ.
ЗАМЕЧАНИЕ. Заменив в рассуждениях, предваряющих определение совер шенных шифров, открытый текст х на ключ х> то есть считая, что противник, зная криптограмму у, будет пытаться рассчитать вероятности р(х/у) для всех
Х^К мы аналогичным образом придем к классу шифров, обладающих свойст вом
р(хЛ0=р(х)
при любых х<=К, уеУ. Такие шифры, называют (%/у)-совершенными. Нетрудно показать, что для таких шифров |Х|=|У|. Шифр, у которого
|Х|=|У| с равновероятным распределением на множестве Х-открытых текстов является (х/у)-еовершенным.
Одним из примеров совершенных шифров является шифр гаммирова ния Х=У=К=11' с равновероятным выбором ключа - гаммы. В качестве со вершенных шифров выступают следующие шифры простой замены с множе ством ключей К=8(1) (8(1) - симметрическая группа подстановок на I) с рав новероятным выбором ключа: 1) Х=1 - алфавит текста; 2) X - множесво всех слов алфавита I длины Ь, не содержащих одинаковых букв. Примером одно
90
временно совершенного шифра и (х/у)-совершенного является'шифр гаммирования, в котором Х=К=У=1Ь с равновероятными распределениями на X и К.
Возникают вопросы: если есть совершенные шифры, то зачем строить новые, какие недостатки имеют совершенные шифры? Ответ следующий: ес ли шифр совершенный, то он транзитивен (это несложно доказывается). Сле довательно, |У1<|К|, откуда вытекает, что у совершенного шифра должна быть большой «длина ключа»..Действительно, пусть, например, Х=1ь, У=1т, К=1к.
Тогда |Х|<|У|<|К|, откуда к>Ь (длина ключа не меньше длины открытого тек ста). Чтобы уменьшить объем рассылаемых ключей, и строят другие несо вершенные шифры.
Способы представления реализаций шифров. В современном мире,
говоря о реализациях шифров, обычно употребляют термины: шифратор, шифрсистема, алгоритм шифрования, программа шифрования. Последние два понятия общеизветны и не требуют объяснений. Первый термин употребляет ся для указания собственно устройства, реализующего процесс шифрования и расшифрования заданного шифра. Термин же шифрсистема используется в более широком смысле, как обозначение всего устройства, включающего в себя как устройства, предназначеннные для предварительной обработки шиф руемых «текстов», так и ряд других вспомогательных устройств ввода и вы вода информации. Термины же криптосхема, шифрующий автомат - явля ются специфическими и малоизвестными.
Криптосхема. Для записи законов функционирования шифратора используют схемное описание, состоящее из прямоугольников с надписями узлов и бло ков шифратора. При заданном их математическом описании функционирова ния, описание функционирования шифратора задается указанием связей меж ду отдельными блоками и узлами. Совокупность блоков с заданными связями и описанием функционирования каждого блока обычно и называют криптбсхемой шифратора. В таких описаниях преследуют цель указать принцип
функционирования шифратора и обычно не указывают конкретные, числен ные значения всех параметров узлов и блоков.
В таком виде может быть представлена принципиальная криптосхема поточного шифратора.