CC BY
12
14. Kiltz E., Lyubashevsky V., and Schaffner C., A concrete treatment of Fiat — Shamir signatures in the quantum random-oracle model // Adv. Cryptology — EUROCRYPT 2018. Springer, 2018. P. 552-586.
15. Albrecht M. R., Gopfert F., Virdia F., and Wunderer T. Revisiting the expected cost of solving uSVP and applications to LWE // ASIACRYPT 2017. LNCS. 2017. V. 10624. P. 297-322.
16. Albrecht M. R., Curtis B. R., Deo A., et al. Estimate all the {LWE, NTRU} schemes! // SCN 2018. LNCS. 2018. V. 11035. P. 351-367.
УДК 512.64, 519.21, 519.72 DOI 10.17223/2226308X/13/15
КОНСТРУКЦИИ НЕЭНДОМОРФНЫХ СОВЕРШЕННЫХ ШИФРОВ
Н. В. Медведева, С. С. Титов
Исследуются совершенные по Шеннону (абсолютно стойкие к атаке по шифр-тексту) шифры. Получены достаточные условия того, что таблицы зашифрования неэндоморфных (эндоморфных) совершенных шифров не содержат латинских прямоугольников (квадратов). Приведён пример таких конструкций.
Ключевые слова: совершенные шифры, эндоморфные шифры, неэндоморфные шифры.
Рассмотрим вероятностную модель Sb шифра [1]. Пусть X, Y — конечные множества соответственно шифрвеличин и шифробозначений, с которыми оперирует некоторый шифр замены, K — множество ключей, причём |X| = Л, |Y| = ß, |K| = п, где А > 1, ß ^ Л. Это означает, что открытые и шифрованные тексты представляются словами (¿-граммами, t ^ 1) в алфавитах X и Y соответственно. Согласно [2, 3], под шифром Sb будем понимать совокупность множеств правил зашифрования и правил расшифрования с заданными распределениями вероятностей на множествах открытых текстов и ключей. Шифры, для которых апостериорные вероятности открытых текстов совпадают с их априорными вероятностями, называются совершенными.
Описание эндоморфных (Л = ß) с минимально возможным числом ключей (|K| = = |Y|) совершенных шифров даёт теорема Шеннона, таблица зашифрования таких шифров — это латинский квадрат из равновероятных подстановок зашифрования [1].
Для неэндоморфных (Л < ß) минимальных совершенных шифров характерно большое многообразие таблиц зашифрования: они не сводятся только к латинским прямоугольникам размера ß х Л [4]. Для Л = 2, например, таблицы зашифрования могут быть составлены и из неравновероятных инъекций. Однако если все ключи равновероятны, то данный совершенный шифр является выпуклой оболочкой латинских прямоугольников, содержащихся в его таблице зашифрования, согласно аналогу теоремы Биркгофа [5]. Если Л > 2, то, даже для равновероятных инъекций зашифрования, неэндоморфный совершенный шифр может не содержать в своей таблице зашифрования латинских прямоугольников ß х Л [6].
Таким образом, при ß > Л возникает естественная задача описания минимальных по включению (т. е. шифров, содержащих минимально возможное множество ключей зашифрования с ненулевыми вероятностями) совершенных шифров, не сводящихся к латинским прямоугольникам размера ß х Л, которые можно рассматривать как непосредственное обобщение теоремы Шеннона. Данную задачу можно трактовать как задачу описания выпуклого полиэдра, соответствующего совершенным шифрам, через нахождение его вершин [5].
Подходом к решению такой задачи могут быть конструкции таблиц зашифрования, не содержащих латинских прямоугольников. Первым этапом решения задачи описания минимальных (по включению) совершенных шифров является построение таких конструкций для равновероятных ключей. При этом полезны достаточные условия отсутствия в таких таблицах латинских прямоугольников, тем более что в некоторых случаях эти условия оказываются необходимыми и достаточными.
Более того, эти условия могут быть частью общей конструкции искомых таблиц зашифрования, так как любые два её столбца можно рассматривать как шифр с Л = 2, к которому применим аналог теоремы Биркгофа [5, 7]. Тем самым построение таблицы зашифрования при Л > 2 можно трактовать как расширение таблицы с Л = 2. Для равновероятных ключей латинские прямоугольники ^ х 2 всегда содержатся в таблице зашифрования с Л ^ 3 и поэтому достаточные условия должны включать в себя не менее трёх столбцов таблицы.
Пример 1. Пусть таблица зашифрования с Л = 3 = |Х|, где X = {х^х2,х3} — множество (алфавит) шифрвеличин, содержит строки с ключами к, к?, кт с вероятностями Pi,Pj,рт соответственно и с шифробозначениями а,Ь, с, м^ад Е У, где У — множество шифробозначений, |У | =
к Х1 Х2 хз р
кг а Ь и Рг
кз V ь с Рз
кт а т с рт
Здесь шифробозначения а, Ь и с не входят в другие строки этой таблицы. Тогда данная таблица не может содержать латинских прямоугольников размеров ^ х 3.
Действительно, если такой прямоугольник имеется, то он содержит либо строку ключа к^ либо строку ключа кт, так как в столбце для шифрвеличины х1 шифробо-значение а больше не встречается. Если он содержит строку к^ то строка ключа кт в него не входит, поэтому он должен содержать строку к?, так как в столбце х3 шиф-робозначение с больше не встречается. Тогда в столбце х2 шифробозначение Ь будет встречаться дважды, что невозможно в латинском прямоугольнике.
Если же латинский прямоугольник содержит строку ключа ключа кт, то строка ключа ^ в него не входит из-за шифробозначения а в столбце х1. Тогда в нём содержится строка к? из-за шифробозначения Ь в столбце х2. Следовательно, в столбце х3 шифробозначение с будет встречаться дважды, что также невозможно в латинском прямоугольнике.
Пример 1 иллюстрирует утверждение 1.
Утверждение 1. Пусть а, Ь, с — различные шифробозначения, X = {х1, х2, х3} — множество шифрвеличин. При этом:
1) множество К ключей разбито на два непересекающихся подмножества К1 и К2, т. е. К = К1 и К2 и К1 П К2 = 0;
2) для любого ключа к Е К1 шифрвеличина х2 на ключе к зашифровывается в шифробозначение Ь, т.е. ек(х2) = Ь;
3) существует такой ключ к Е К1, что шифрвеличина х1 на ключе к зашифровывается в шифробозначение а, т.е. ек(х1) = а;
4) для любого ключа к Е К2 шифрвеличина х2 на ключе к зашифровывается в шифробозначение, отличное от шифробозначения Ь, т.е. (х2) = Ь;
5) существует единственный ключ к из К2, на котором шифрвеличина ж зашифровывается шифробозначением а, а шифрвеличина ж3 — шифробозначением с, т. е. вк (Х1) = а и вк (хз) = с. Тогда таблица зашифрования не содержит латинских прямоугольников ^ х 3.
Определение 1. Ключи к' и к" эквивалентны по шифрвеличине ж^, если ж на ключах к' и к'' зашифровывается в одно и то же шифробозначение, т. е.
к' = к'' ^ вк' (ж») = вк» (хг).
г
Определение 2. Попарно различные ключи к1, к2, к3,..., кп-1, кп образуют цикл длины п, если выполняются условия
к1 = к2 = к3 = ... = кп— 1 = кп = k1,
¿2 ¿3 ¿4 ¿п-1 ¿п ¿1
где ¿2 = ¿3, ¿3 = ¿4, ..., гга—1 = гп, гп = ¿1.
Обозначим через [к]г смежный класс ключа к по отношению эквивалентности =:
г
[к]» = {к' € К : вк' = вк (ж»)}.
Утверждение 2. Пусть в таблице зашифрования с А = 3 = |Х | ключи к1, к2, к3 образуют цикл длины три:
к1 = к2 = к3 = к1,
¿2 ¿3 ¿1
где ¿1, ¿2, ¿3 —попарно различны, и при этом [к3\ [к1]г2 = {к3}. Тогда инъекция ключа к1 не может быть строкой никакого латинского прямоугольника. Кроме того, если
N¿1 С ([к^ и N¿2) ,
то таблица зашифрования не содержит латинских прямоугольников.
Из утверждения 2 следует достаточное условие отсутствия латинских квадратов в таблице зашифрования эндоморфного совершенного шифра с А ^ 3.
Утверждение 3. Если в таблице зашифрования ключи к1,к2,...,кп образуют цикл нечётной длины, то данная таблица не содержит латинских прямоугольников.
Таким образом, на основе отношения эквивалентности на множестве ключей получены достаточные условия того, что в таблице зашифрования неэндоморфных совершенных шифров отсутствуют латинские прямоугольники. В частности, получены достаточные условия того, что таблицы зашифрования эндоморфных совершенных шифров не содержат латинских квадратов.
ЛИТЕРАТУРА
1. Шеннон К. Теория связи в секретных системах // Работы по теории информации и кибернетике. М.: Наука, 1963. С. 333-402.
2. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001.
3. Зубов А. Ю. Совершенные шифры. М.: Гелиос АРВ, 2003.
4. Медведева Н. В., Титов С. С. Аналоги теоремы Шеннона для эндоморфных неминимальных шифров // Прикладная дискретная математика. Приложение. 2016. №9. С. 62-65.
5. Медведева Н. В., Титов С. С. Описание неэндоморфных максимальных совершенных шифров с двумя шифрвеличинами // Прикладная дискретная математика. 2015. №4 (30). С.43-55.
6. Медведева Н. В., Титов С. С. Геометрическая модель совершенных шифров с тремя шифрвеличинами // Прикладная дискретная математика. Приложение. 2019. №12. С.113-116.
7. Birkhoff G. D. Tres observations sobre el algebra lineal // Revista Universidad Nacional Tucuman. 1946. Ser. A. V.5. P. 147-151.
УДК 519.7 DOI 10.17223/2226308X/13/16
ПОСТРОЕНИЕ РАЗЛИЧИТЕЛЕЙ ДЛЯ ИТЕРАТИВНЫХ БЛОЧНЫХ ШИФРОВ НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ
А. А. Перов, А. И. Пестунов
Предлагается новый универсальный подход к построению атак-различителей на итеративные блочные шифры, подразумевающий использование нейронных сетей, предназначенных для классификации растровых изображений. Описываются два метода, основанных на идее представления шифртекстов после разного числа раундов шифрования в виде растровых изображений с последующим обучением нейронной сети распознавать эти изображения. Показано, что для ряда современных блочных шифров предлагаемый подход более эффективен, чем универсальные различители, основанные на статистических тестах.
Ключевые слова: блочный шифр, машинное обучение, нейронная сеть, статистический анализ, атака-различитель.
В работе предлагается новый универсальный подход к построению атак-различи-телей на итеративные блочные шифры, где используются нейронные сети, предназначенные для классификации растровых изображений. Идея данного подхода возникла в результате наблюдения того, что преобразованный в растровое изображение (графический эквивалент) шифртекст имеет различную текстуру (паттерн) в зависимости от числа раундов. При этом с ростом числа раундов такая текстура становится менее выраженной и приближается к случайной.
В рамках этого подхода предлагаются два метода: «эталонный» и метод соседних раундов. В первом нейронная сеть используется для выявления различий в текстурах графических эквивалентов шифртекста при различном числе раундов и эталонной последовательности, неотличимой от случайных чисел. Второй метод предполагает выявление различий в текстурах графических эквивалентов соседних раундов и, что является его достоинством, не требует наличия эталонной последовательности, однако, забегая вперед, отметим, что «эталонный» метод оказался немного более эффективен. В экспериментах в качестве эталонной последовательности использован шифртекст полнораундового шифра AES256.
Для реализации предлагаемых методов необходимо выполнить процесс обучения свёрточной нейронной сети на графических эквивалентах шифртекстов (алгоритм 1).
Для формирования выборки выполняется шифрование на разном числе раундов, что даёт выборку выходных последовательностей блочных шифров с разными статистическими свойствами. На шагах 2-3 алгоритма 1 с помощью криптографической программной библиотеки «УНИБЛОКС-2015» выполняется шифрование в режиме
