Расстояние единственности шифра гаммирования с неравновероятной гаммой

Использован материал книги [Грушо А.А., Применко Э.А., Тимонина Е.Е. Анализ и синтез криптоалгоритмов. Курс лекций, Москва, 2000]. Пусть алфавит открытых текстов I= Z/m =(0,1,…,m-1) и X= (Z/m)ⁿ – множество открытых текстов (тестов подлежащих шифрованию) шифра гаммирования с множеством ключей K таких, что каждый знак гаммы может принимать значения из фиксированного подмножества С множества Z/m мощности r. Таким образом, множество содержательных открытых текстов M_n и шифрованных текстов Y погружены в пространство (Z/m)ⁿ всех последовательностей длины n в алфавите Z/m. Следуя Шеннону, операцию дешифрования можно представить графически в виде ряда линий, идущих от каждого шифртекста yÎY к различным xÎ(Z/m)ⁿ. В сделанных выше предположениях каждый yÎ Y связан ровно с k = r различными xÎ V . Обозначим их . Среди них имеется открытый содержательный текст х . Если мы знаем признаки открытого содержательного текста (например, читаемость) и среди ровно один текст х удовлетворяет этим признакам, то тем самым процедура дешифрования завершена. Однако возможна ситуация, когда несколько текстов среди удовлетворяют признакам содержательного открытого текста. Тогда цель дешифрования – получение достоверной информации недостигнута. Ясно, что на возможный исход дешифрования влияет r. Если r = 1, то от y ведет всего одна линия к х и, по условию, этот текст и есть содержательный. Проблемы неоднозначности здесь нет. Если r = m, то от у ведет m различных линий ко всем элементам V . Значит, любой текст из M_n является возможным открытым содержательным текстом, что не дает нам возможности достигнуть цели дешифрования и этот случай обязательно порождает неоднозначность прочтения криптограммы. Для того, чтобы понять при каких r возможно однозначное дешифрование, а при каких r невозможно, рассмотрим следующую модель. На множестве ключей задана равномерная мера, т.е. любая допустимая гамма появляется с вероятностью 1/½K½. Мы также предположим, что для любого заданного шифртекста у, полученного из открытого текста х , все линии, связывающие у с , кроме (у, х ), получены случайным и равновероятным выбором с возвращением из (m – 1) возможностей.

Обозначим x случайную величину, равную 1, если х является открытым текстом, и 0 в противном случае. Тогда число открытых текстов h без х среди равно

h = x -1.

Тогда Еh = Еx -1. Для всех х , которые не равны х , Еx = . В случае х = х , Еx = 1. Тогда

Еh = (k-1) .

Если соотношение параметров таково, что Еh <<1, то по оценке Маркова

P(h £ 1) ³ Еh <<1.

Это означает, что появление ложных открытых текстов маловероятно или что х выделяется однозначно с большой вероятностью. Для изучения соотношений между параметрами необходимо оценить ½M_n½.

Четвертый подход к оценке расстояний единственности шифра. Вернемся к началу раздела, посвященному расстояниям единственности шифра по открытому тексту и ключу. Там отмечалось, что расстояния единственности шифра – это, соответственно, целочисленные минимальные корни уравнений

2^H(M_L^/E_L⁾=1,

2^H(К/E_L⁾=1,

то есть корни уравнений Н(М_L/E_L)=0 и Н(К/E_L)=0, если они существуют. В разделе «Второе определение Шеннона …» говорилось о том, что прямой подсчет расстояний единственности шифра, как правило, затруднителен, в связи с чем выше были рассмотрены и другие формализации понятий расстояний единственности по открытому тексту и ключу.

Ниже даются верхние приближенные оценки указанных корней на основе результатов работ:

· Ю.С. Харин, В.И. Берник, Г.В. Матвеев. Математические основы криптологии, Минск, БГУ, 1999;

· C.M. Meyer, S.M. Matyas. Cryptography: A New Dimension in Computer Data Security. John Wiley & Sons, 1982.

Пусть L₀ – минимальное натуральное число, при котором Н(М_L/E_L)=0. Имеем

Н(Е_L,М_L,К)=Н(Е_L)+Н(M_L/ Е_L)+Н(К/М_L,Е_L),

Н(Е_L,К,М_L)=Н(Е_L)+Н(К/ Е_L)+Н(М_L/К,Е_L).

Так как при известном шифрованном тексте и известном ключе открытый текст восстанавливается расшифрованием однозначно, то Н(М_L/К,Е_L)=0. С учетом этого из данных уравнений находим

Н(M_L/Е_L)=Н(К/Е_L)-Н(К/М_L,Е_L)

и заключаем, что

Н(M_L/Е_L)£Н(К/Е_L).

Следовательно, любая верхняя оценка минимального корня уравнения Н(К/Е_L)=0 (расстояния единственности по ключу) будет верхней оценкой и для L₀ – расстояния единственности по открытому тексту. Для получения такой оценки используем формулу для ненадежности ключа:

Н(К/Е_L)=Н(M_L)+Н(К)–Н(Е_L).

Найдем одно из натуральных чисел L, при котором

Н(К/Е_L)=Н(M_L)+Н(К)–Н(Е_L)=0.

Имеем Н(M_L)£log₂|M_L| (энтропию измеряем в битах) и Н(К)=log₂|К| при равновероятном распределении на множестве ключей К. При рассматриваемых условиях справедливо неравенство

Н(M_L)+Н(К)–Н(Е_L)£ log₂|M_L|+log₂|К|–Н(Е_L).

Искомую верхнюю оценку величины L₀ теперь можно получить, если решить уравнение

log₂|M_L|+log₂|К|–Н(Е_L)=0

относительно L.

Введем дополнительные предположения относительно рассматриваемого шифра. Предположим, что

1) Значение L достаточно велико, именно – оно таково, что мощность |M_L| множества открытых текстов приблизительно равна 2^НL и они все равновероятны (см. теоремы Шеннона, Н – энтропия на букву).

2) Вероятностные распределения на M_L и К индуцируют равномерное распределение на множестве Е_LÍO^L (O – алфавит шифрованных текстов.

Из предположения 1) вытекает, что log₂|M_L|@LН, а из 2) получаем

Н(Е_L)=log₂|E_L|.

Уравнение

log₂|M_L|+log₂|К|-Н(Е_L)=0

теперь можно переписать в виде

LH+log₂|К|-log₂|E_L|@0.

Представим |E_L| в виде |E_L|=V^L, где V зависит от L, V=V(L). Тогда уравнение принимает вид

LH+log₂|К|-Llog₂V@0.

Откуда получаем искомую верхнюю приблизительную оценку расстояний единственности шифра

L` @ , V=V(L).

В случае Н(M_L)=LН, Н(К)=log₂|К|, Н(Е_L)=L log₂|V| имеем L₀=L`.

При отказе от предположения 2) для вычисления L` используют в ряде публикаций неравенство

LH+log₂|К|–Н(Е_L)³LH+log₂|К|–Llog₂V

с последующим определением L` как корня уравнения LH+log₂|К|–Llog₂V=0, который, вообще говоря, не обязан быть в случае строгого неравенства оценкой искомого корня L₀ уравнения LH+log₂|К|-Н(Е_L)=0.

В заключение отметим, что мы рассматриваем поточные шифры, для которых существуют расстояния единственности. Очевидно, например, для шифров с эквивалентными ключами расстояние единственности по ключу отсутствует.

Глава 14.