Классическая модель криптографической системы

Алгебраическая модель шифра по К. Шеннону представляет собой (см. параграф 1.3) трехосновную алгебру А=(Х,К,У,f), где Х,К,У – конечные множества, которые названы множеством открытых текстов хÎХ, множеством ключей cÎК, множеством шифрованых текстов уÎУ, соответственно; f – функция шифрования, f: ХхК®У, обладающая свойством: при любом cÎК отображение f_c: Х®У, f_c(х)=f(х,c) – инъективно. Последнее условие К. Шеннона отражает возможность однозначного расшифрования шифрованного текста. Как правило, при таком определении шифра обычно дополнительно считают, что функция F – cюрьективна. В данной модели считатся, что при дешифровании противник знает шифр А=(Х,К,У,f), однако использованный при зашифровании ключ ему неизвестен. Таким образом, модель Шеннона предназначена для описания шифров с симметричным ключом (шифров с неизвестным ключом шифрования).

Уравнение шифрования записывается в виде:

f(х,c)=у, или f_c(х)=у, или cх=у.

Уравнение расшифрования записывается в виде:

f_c^-1(у)=х, или c^-1у=х.

Достоинством данной модели шифра является ее универсальность. Она описывает практически все известные шифры с симметричным ключом.

Недостатки математической модели заключаются в следующем.

1) Шифры с ассиметричным ключом (шифры с открытым ключом) этой моделью не покрываются.

2) Даже при моделировании шифров с симметричным ключом отображение f_c^-1 задано не вполне корректно. Если элемент у не принадлежит множеству f_c(Х)={у: у=f_c(х), хÎХ}, то значение f_c^-1(у) не определено.

3) Затруднительно определить понятия «истинный» и «ложный» ключ при дешифровании методом тотального перебора ключей. Действительно, если f(х,c)=f(х,c`), где c – ключ шифрования, а c` – опробуемый ключ, то как называть ключ c`, истинным или ложным?

3) Модель не учитывает наличие канала связи с помехами. Если произошло искажение передаваемого шифрованного текста у=f(х,c) и на прием пришло сообщение у`, то значение f<sub>c</sub><sup>-1</sup>(у`) может быть не определено по причине того, что у` не принадлежит f_c(Х), более того это значение может не принадлежать даже У.

4) Содержательная трактовка множества Х в некоторых случаях вызывает затруднение. По определению, это множество «текстов» х, для которых определено значение f(х,c) при любом cÎК, и они названы открытыми текстами. Но тексты, которые могут быть зашифрованы, в общем случае, делятся на «содержательные» (это подмножество Х_сÍХ и «бессодержательные» «хаотические», это множество Х\Х_с). Критерий истинности дешифрования, например, методом опробования ключей cÎК, обычно строится в проверке условия f_c^-1(у)ÎХ_с (критерий на содержательный текст). Если Х=Х_с (шифруются только содержательные тексты), то критерий вырождается в критерий: значение f_c^-1(у) определено или нет. Приведенные соображения говорят о целесообразности наряду с множеством Х ввести в модель и его подмножество Х_с содержательных текстов.

Алгебраическая обобщенная модель шифра. Целью данного пункта является описание новой модели шифра, уточняющей модели К.Шеннона, Диффи и Хелмана и свободной от указанных выше недостатков. Основная концептуальная идея построения такой модели, на наш взгляд, естественна и очевидна. Она состоит во введении шифра шифрования и шифра расшифрования, совокупность которых и составляет алгебраическую модель шифров.

Шифром зашифрования (алгеброй зашифрования) назовем алгебру А_ш=(Х,Х_с;К_ш,У,У_с,f), где Х_сÍХ, f: Х´К_ш®У – сюрьективное отображение, причем для каждого cÎК_ш отображение f_c:Х®У, f_c(х)=f(х,c) инъективно, а У_с=f(Х_с´К_ш). Множество Х_с трактуется как подмножество всех содержательных текстов из множества «открытых текстов» Х. Последнее множество состоит из текстов х, которые могут быть зашифрованы шифром, то есть тех х, для которых определено значение f_c(х) для всех cÎК_ш. Введение подмножества Х_сÍХ, как множества содержательных текстов, позволяет корректно вводить критерии на содержательные тексты.

Таким образом, шифр зашифрования есть некоторое уточнение модели шифра Шеннона А=(Х,К_ш,У,f).

Шифром расшифрования (алгеброй расшифрования) для А_ш назовем алгебру А_р=(У`,К<sub>р</sub>,Х`F), где УÍУ`, ХÍХ`, F: У`´К<sub>р</sub>®Х` – сюрьективное отображение, для которого выполняются следующие условия:

1) существует биекция j: К_ш®К_р;

2) для любых хÎХ, cÎК_ш из условия f(х,c)=у вытекает F(у,j(c))=х.

При отсутствии искажений в канале связи функция расшифрования F полностью определена на всем множестве У´К_р.

Введение множества Y` (а точнее, У`\У) обеспечивает возможность описания реакции приемной стороны на поступление искаженного шифрованного сообщения у`ÏУ.

Введение множества Х`\Х обеспечивает возможность описания результата расшифрования приемной стороной искаженного шифрованного сообщения у`ÏУ.

Отметим, что в определении шифра расшифрования не содержится требований инъективности функции F по переменной kÎК_р.

Алгебраической обобщенной моделью шифра назовем тройку (А_ш,А_р, j).

Отметим следующие положительные свойства этой модели.

1. Возможность моделирования шифров с асимметричным ключом.

Здесь учитываются следующие соображения:

- ключ cÎК_ш несекретен, а ключ k=j(c)ÎК_р является секретным;

- определение значения k связано с решением сложных проблем;

- синтез пар ключей (k, c) проводится достаточно просто.

Заметим, что здесь проявляется возможность классификации шифров по параметру сложности вычисления значения j(c) ключа расшифрования, что определяет основной параметр криптографической стойкости шифров с ассиметричным ключом.

2. Возможность моделирования шифров с симметричным ключом.

Глава 6.