CC BY
166
Известил Саратовского университета. ¿009. Т. 9. Сед Физика, вып. ¿
Слисок литературы
1. Свердлов ДМ, Коенер М.А., Крайнев ЕЛ. Колебательные спектры многоатомных молекул М.: Наука, 1970. 560 с.
2. Березин В.И. Прямые и обратные задачи спектроскопии циклически* й комплексных соединений: Дие. ... д-ра фи э.-мат. наук, Саратов, 19R3. 336 с,
3. Мынкин В И. Теория строения молекул. Ростов н/Д; Феникс, 1997.386 с.
4. Yoshida Н„ Takeda К., Okamura J. е1 al. New Approach to Vibrational Analysis oi Large Molecules by Density Functional Theory: Waven umber- Li near Scaling Method // J. I'hys. mem. A. 2002- Vol. ¡06, №Ш P.3580--35S6.
5. Frisch M.J., Trucks G. Щ SchlegelJLB. et al Revision Д.7. Gaussian. Inc., Pittsburgh (PA), 2003.
6. Элькин М.Д. Кинематическая ангармоничности в электронно-графических исследоваггшх геометрии молекул // Журн. структ, химии. i986. Т.27. С.42-46.
7. Элькин М.Д. К вопросу об использовании функции плотности вероятное!л н ангармонической теории рассеяния электронов молекулами // Жури, структ. химии. 1989. Т.30, №6. С.33-37.
8. Элькин М.Д.. Костерина Э.К. Внутримолекулярная динамика и её математическое описание в задачах молекулярной спектроскопии и газовой электронографии // Хим. физика. 1994. Т. 10, №1. С.38-42.
9. Березин КВ. Кнatгтово-механические модели и решение на их основе прямых и обратных спектральных задач для многоатомных молекул; Дие. ... д-ра физ.-мат, наук. Саратов, 2004. 264 с.
УДК 530.182
КРИПТОГРАФИЯ ГЛАЗАМИ ФИЗИКА
Ю.Н.Зайко
Приведены результаты исследования криптоалгоритмов DES (США) и ГОСТ 28147-69 {Россия} методами нелинейной динамики. Исследуются точечные отображения, задаваемые важными элементами криптоалгоритмов - блоками подстановок (S-бло-ками). Продемонстрировано явление возврата. Исследована эргодичность рассматриваемых отображений. Оценка качества S-блока может быть выполнена с помощью отображения первого возвращения. Приведены результаты статистического исследования S-блоков. Показано, что отбор S-блоков ГОСТ из всего множества подстановок не связан с их случайным и равновероятным выбором из указанного множества. Ключевые слова: криптография, подстановка, отображение., цикл, нелинейная динамика, явление возврата, эргодичность, ключ, S-блои, динамический хаос, лавинный эффект, перестановка.
Cryptography from the Physicist's Point of View Yu.N. Zayko
The results of treating of crypto algorithms such as DES (USA) and GOST 28147-89 (Russia) with the help of noniinear dynamics methods are presented. Poini maps which are generated by the blocks
10. Краснощекое C.B.. Степанов Н.Ф. Масштабирующие множители как эффективные параметры для коррекции не эмпирического сильного ноля// Жури. физ. химии. 2007. 1К1, №4. Шё80-'б89.
11. Элькин М.Д.. Эрман Щ.А., Нулин В.Ф. Структурно-динамические модели и ангармонический анализ колебательных состояний гшичлегшых циклических соединений // Вести Сарат. гос. темь ун-та. 2006. №4, нып.4.С.38-44.
12. Элькин U.M. 'Эрман М.А. Струкзурно-динамические модели и ангармонический анализ колебательных состояний нвйихлорзамещеиных дибензо-n-диоксинов И Журн. прикл. спектроскопа и. 2007 Г. 74, № I. С.21-24.
13. Элькин Щ.Д., Эрман Е.А., Пулин В.Ф. Колебательные спектры конформеров бензофеиона // Жури, ирикл. спектроскопии. 2007. Т. 74, №5. С. 563-568.
14. Элькин М.Д, Джаямухамбетот Е.А., Гречухина ОН. Проявление мелсмолекулярного взаимодействии в димерах урацилй // Изв. Сарат. vn-та. Нон. сер. 2008. Сер. Физика. Т.8, NÜ2. С.24-30.
15. Элькин П.М., Пулин OB., Джалмухамбетова Е.А. Теоретический анализ чеаутомериых форм пурина // Жури, ирикл. спектроскопии. 2008. Т.75, № I. С.23-27-
16. Элькин U.M., Эрман Е.А:, Пулин О.В Квантоао-Хими-ческий расчет нормальных колебаний молекул чамешенных иятичлеиных халько re и-гетероциклических соединений с учетом энгармонизма анализ структуры и спектров пяти членных циклических соединений // Журн. ирикл. спектроскопии. 2009 С. 171Ы75.
17. Ama! G., Nielsen H.H., Tarrago tí. Rotation-vibration of polyatomic molecules. N.Y.; Pergamon Press, 1971. 580 c.
Iii. Герцбер? Г. Электронные спектры и строение многоатомных молекул. M.: Мир, 1969. 772 е.
of substitutions (S-blocks) are investigated. The phenomenon of return Is demonstrated. The ergodicity of these maps are treated. An estimation of quality of S-block could be made by maps of firs: return. The results of statistical treating of S-blocks are presented. Key words: cryptography, substitution, mapping, cycle, nonlinear dynamics, return, ergodicity. key, S-box, dynamical chaos, avalanche effect, permutation.
Введение
Криптография является одним из основных средств защиты информации. Зашифровать информацию можно легко и, самое главное, быстро - сейчас для этого могут быть использованы различные алгоритмы как в программном, так и в аппаратном исполнении (о некоторых оговорках сказано ниже). Выполнить обратное преобразование без знания секретной информации - ключа,
ФГОУ ВПО Поволжская академия государственной службы им. П.А. Столыпина E-mail: zymiok@rambter,ru
т.е. взломать шифр при современном состоянии криптоанализа, значительно сложнее. Например, для взлома блочного симметричного криптоалгоритма DES (Data Encryption Standard, США, длина ключа 56 бит) методом распределенных вычислений по данным конкурса компании RSA Data Security, проведенного в 1997 г., потребовалось 140 дней, а для криптоалгоритма RC5 с той же длиной ключа - 210 дней. С деталями подобных атак можно познакомиться в [1, 2]. Там же приведены результаты и прогнозы аналогичных атак на асимметричные криптосистемы, требующие значительно больших временных и вычислительных ресурсов.
Если оценивать степень защиты информации по отношению (стоимость взлома)/ (стоимость защиты), то криптографические методы далеко превосходят все прочие.
Правительства всех стран давно используют криптографию для защиты дипломатической и военной информации. Что же касается коммерческой, и. особенно, частной информации, то здесь правительства проявляют сдержанность, предлагая для использования криптосистемы с явно заниженными криптографическими свойствами, например понижая длину ключа. Есть и другие способы затормозить широкое использование криптографии. Билль Сената CILIA № 266, требующий предоставления правительству права получать простое текстовое содержание разговора, данных и других видов связи и Указ Президента РФ № 334 [3] о необходимости использования только сертифицированных криптографических средств, по сути дела, являются только разными по форме мерами установления государственного контроля за использованием криптографии в целях защиты конфиденциальной, и в том числе личной, информации.
1. Сертифицированные криптографические средства
В США к таким средствам относился уже упоминавшийся выше криптонгоритм DES, разработанный в IBM под руководством X. Фейстеля под названием Lucifer в 1976 г. и опубликованный в ! 977 г. [4]', а в
1 В 2000 г. ему на смену пришел AES (Advanced En» crypîion Standard) [6].
России - криптоалгоритм ГОСТ 28147 - 89, разработанный в 1989 г. [5]. Они достаточно подробно описаны, например в [1, 2], Оба являются симметричными блочными шифрами, т.е. совершают криптографические преобразования с блоками текста длиной 64 бита и имеют СТочи длиной 64 (аффективно 56) и 256 бит соответственно. Оба используют схему преобразования, разработанную Фей-стелем, заключающуюся в циклической перестановке правой и левой частей блока с одновременным побитовым сложением по модулю 2 очередной правой части и текущего ключа. Отличие только в числе циклов: у DES 16 циклов, а у ГОСТ 32 цикла. Другие детали преобразований мы опустим (они подробно описаны в [1, 2]), Остановимся только на преобразованиях 32-битных отрезков шифртекста с помощью подстановок, реализуемых с помощью S-блоков (S - substitution). К. Шеннон доказал [7]. что эффективное преобразование блоков шифртекста может быть достигнуто путем чередования линейных операций перестановок битов, сохраняющих число значащих битов, и нелинейных операций, размножающих значащие биты, и реализуемых S-блоками2. Для лилейных операций в DES используются Р-блоки (Р - permutation), а в ГОСТе - циклический сдвиг [2]. Из сказанного следует, что между двумя криптоалгоритмами много общего, что неудивительно, если учесть, что ГОСТ являлся российским ответом на DES [8, 9].
Целью кришопреобразований, примененных в обоих алгоритмах, является достижение лавинного эффекта, заключающегося в том, что каждый бит шифртекста зависит от каждого бита открытого текста и каждого бита ключа. В DES для этого нужно 5 циклов. тогда как в ГОСТ - 8. Однако ГОСТ состоит из 32 Цйклов, a DES - только из 16. После 8-ми циклов в DES наблюдается пик лавинного эффекта - каждый бит шифртекста является случайной функцией всех битов открытого текста и ключа. Успешные атаки па DES с тремя, четырьмя и шестью циклами подтвердили значение лавинного эффекта [2].
2 В книге ¡Г.Дж. А. Слоана «Коды, исправляющие ошибки, и криптография» (М: Мир, 1983) отмечается, что подобное чередование операции эквивалейтне «преобра-даванию пекаря», широко известному в нелинейной динамике.
Выше уже приводились данные результатов атак на блочные криптоалгоритмы, в том числе и на алгоритм RC5, отличающийся от DES длиной блока (от 32 до 128 бит), ключа (от 0 до 2048 бит) и числом циклов преобразований (от 0 до 255), а также друга-ми деталями [2]. По этим же данным можно сделать заключение о значительном влиянии на криптостойкость длины ключа. Продолжительность атаки на КС5 с длиной блока 32 бита и числом циклов 12 варьировалась от 313 ч (длина ключа 48 бит) до 3.5 ч (дайна ключа 40 бит).
Итак, криптостойкость алгоритма шифрования определяется в основном двумя элементами: ключом и таблицами подстановок [2], исследованию которых и будет посвящено дальнейшее изложение.
2. Блоки подстановок
Блоки подстановок или S-блоки представляют собой таблицы десятичных чисел от 0 до 15 размером 1x16 (ЕОСТ) или 4x16 (DES). Это связано с особенностями преобразований. В ЕОСТ на вход S-блоков поступает 32-битный отрезок шифртекста, который разбивается на восемь 4-битиых отрезков по числу S-блоков, которые затем каждый по отдельности преобразуются на своем блоке и на выходе снова собираются в 32-битный отрезок. На вход S-блоков DES поступает не 32, а 48-битный отрезок шифртекста. полученный из 32-битного после перестановки с расширением [2]. Он разбивается на восемь 6-битных отрезков, каждый из которых посту пает на вход одного из восьми S-блоков, представляющих аналогичные таблицы размером 4x16. Два крайних бита 0-й и 5-Й, записанные в десятичной системе, определяют номер строки таблицы, по которой преобразуются биты с 1-го по 4-й. Объединенные преобразованные 32-битные отрезки поступают на вход Р-блоков.
Отличие S-блоков DES и ЕОСТ еще и в том, что для DES S-блоки являются частью стандарта, т.е. не меняются от сеанса к сеансу, тогда как стандарт ГОСТ не определяет способ генерации S-блоков. Однако общим для обоих криптоалгоритмов является то, что способ составления S-блоков является их секретной частью.
Очевидно, что от качества Я-блоков зависит качество всего криптоалгоритма и, в первую очередь, его криптостойкость.
Приведем для дальнейшего исследования 5-блоки ГОСТ [1, 2] (табл. 1). используемые в приложениях ЦБ РФ [!].
Таблица I
SI 4 !0 9 2 13 8 0 14 6 11 1 12 7 15 5 3
S2 14 M 4 12 6 13 15 Ш 2 3 8 1 0 7 5 9
S3 5 8 1 13 ici 3 4 2 14 15 12 7 6 0 9 11
S4 7 13 10 I (I 8 9 15 14 4 6 12 11 2 5 3
S 5 6 12 7 t 5 15 13 8 4 10 9 14 0 3 11 2
S6 4 11 ¡0 il 7 2 1 13 3 6 8 j 9 12 15 14
S7 13 11 4 1 3 ¡5 5 9 0 10 14 7 6 8 2 12
ss ï 5 13 0 5 7 10 4 9 2 3 14 6 11 8 12
Целью настоящей публикации является попытка выяснить, почему S-блоки, реализуемые криптоалгоритмами DES и ГОСТ, имеют именно такой вид, а не какой-либо другой, иными словами, попытаться хотя бы в общих чертах охарактеризовать алгоритм их выбора из множества всех возможных подстановок из 16-ти элементов.
Долгое время эта тема была предметом многочисленных обсуждений, и в 1992 г. IBM раскрыла секрет конструирования S-блоков. Однако указанные попытки не прекращались даже после этого, поскольку рекомендации IBM носили эвристический характер [1]. В [1] рассматриваются различные предложения но выработке S-блоков - от «ручного» конструирования на основе интуиции до случайного выбора или выбора па основе строгой математической теории. Анализ S-блоков. основанный на предположении об их случайном выборе, таит опасность, связанную с тем, что «проблема усложняется из-за способности человеческого сознания находить в случайных данных структуры, которые в действительности не являются структурами» [1J,
В любом случае создатели криптоалгоритмов исходили из условия их устойчивости против известных методов криптоанализа и возможностей вычислительной техники [ 1].
В литературе [1, 2] встречаются утверждения, что выбор S-блоков ГОСТ осуществляется случайным образом. Как показано ниже, есть определенные свидетельства против этого.
Другой не менее важной целью является оценка качества Я-блоков. Общепризнано, что существуют «слабые» 8-блоки. Тривиальный Пример - тождественная подстановка, не меняющая 4-битный отрезок шйфртек-ста. Другой не столь очевидный пример приведен в статье [10]:
Э = (9, 8,3, 10, 12, 13,7. 14,
0-1,11,2,4,5,15,6). (1)
Его слабость становится явной, если записать его в двоичном виде в форме таблицы (табл.2).
Таблица 2
1 0000 0001 0010 ООН 0100 0101 оно ош
¡001 1000 0011 5010 ! 100 1101 ОН 1 ПК!
] 1000 1001 1010 1:011 поо НО) 1110 1111
0000 0001 1011 0010 0100 0101 111 ! оно
Здесь \ - двоичное значение преобразуемого элемента, 5{ 1 ) - его значение после подстановки. Из табл. 2 видно, что преобразование оставляет два бита из четырех неизменными1, Кроме этого таблица замен может содержать обходные пути других типов, позволяющие расшифровать сообщение более эффективным образом, чем полным перебором по возможным значениям ключа. Автор [ 10] высказывает пессимистическое утверждение о том, что не существует способа отсеять слабые таблицы подстановок.
3. Некоторые физические аналогии. Явление возврата
В дальнейшем мы будем рассматривать только 5-6локи сами по себе безо всякой связи с криптоалгоритмами. Для этого есть все основания, поскольку подстановки - один из объектов дискретной математики и всегда представляли интерес для исследователей. Спектр приложений этих исследований весьма обширен [11].
Подстановка на множестве N элементов - это отображение данного множества на себя, и нас будут интересовать свойства этого
3 Само но себе число неизменных битов ни о чем не говорит. Например, для приведенной далее подстановки (2) число неизменных битоп может достигать 3. Гораздо важнее, что тго фиксированные биты (1-й и 2-й), а также то, что подстановка (1) не облачает свойством размешивания: группы 4, 5: 8, 9 и 12, 13 переходят в другие компактные группы.
отображения. Для того чтобы не погрязнуть в абстракциях, мы будем, по возможности, прибегать к геометрическим иллюстрациям. Первое понятие из теории отображений, которое мы проиллюстрируем на примере $-блоковт это понятие возврата. А. Пуанкаре доказал теорему о возврате для непрерывных отображений [12], из которой следует, что с течением времени траектория динамической системы, совершающей движение в ограниченной области фазового пространства, вернется в сколь угодно малую окрестность начальной точки. Для дискретных систем это утверждение становится очевидным, поскольку точки фазового пространства характеризуются конечным объемом V и число шагов (аналог времени) до возврата оценивается сверху как отношение объема фазового пространства системы (многомерного в общем случае) к V. Проиллюстрируем это явление на примере отображения последовательности натуральных чисел от 0 до 15 с помощью слабою К-блока (¡) (рис. 1). Программа выполняет итерации отображения (1), т.еу, = 5' (х), х ={0, 1, 15}, 1 - номер итерации.
Из рис. 1 видно, что через 4 Цгага итераций отображаемая последовательность пришла в исходное состояние, т.е. произошло явление возврата. Легко понять, что это связано с тем, что максимальная длина циклов, на которые может быть разложена подстановка {1). равна 4. а длины остальных циклов являются делителями 4. Приведем полное разложение подстановки (1) на циклы:
5 = 0(9.8.1,0); С4(3,10,11,2); С4(7Л4,15,6);
С2(!2,4);С2(13,5). (2)
Здесь индекс означает длину цикла, а числа в скобках - элементы 8-блока, преобразующиеся по данному циклу. Таким образом, мы показали, что слабость данного 8-6лока связана с небольшой длиной циклов, на которые он разлагается, точнее, с небольшой величиной их наименьшего общего кратного (НОК).
Представление подстановок с помощью циклов хорошо изучено [11]. Ниже мы еще воспользуемся этими результатами. Отметим, что в криптографической литературе им уделяется меньше внимания, чем они заслуживают.
Рис. J, Демонстрация явления возврата. Число в правим верхнем углу - номер итерации
4. Некоторые физические аналогии. Эргодичность
Эргодичность - это свойство отображений, приводящее к равномерному заполнению траекторией всего фазового объема, В дальнейшем мы будем рассматривать отображения в фазовом пространстве, представляющем гиперкуб в восьмимерном пространстве с длиной ребра 15.
Существует еще одна характеристика отображений - перемешивание, которая оценивает степень разбегания траекторий динамической системы, В нелинейной динамике она оценивается с помощью так Называемых показателей Ляпунова [ 12], характеризующих скорость разбегания двух изначально близких траекторий. Можно усмотреть аналогию между понятием перемешивания в динамике и понятием размешивающего преобразования в криптографии. Приведем цитату из [13]:
«Под размешивающим преобразованием Шеннон понимает некоторое отображение векторного пространства па себя, при котором каждая или почти каждая его компактная область в отображении распределяется в большую, некомпактную с точки зрения метрики, область...
Рассматривая вектора как числа и применив подстановку': 0 12 34567 7 3 } 5 4230 .мы видим, что данное преобразование с большим основанием можно назвать размешивающим, т.к. компактная область 0 12 отображается в 7 3 /».
Перемешивание - более сильное свойство динамической системы, чем эргодичность, в частности, система, обладающая перемешиванием. всегда эргодична. Системы с перемешиванием демонстрируют хаотическое, непредсказуемое поведение. В поисках аналогий можно было бы пойти еще дальше и сопоставить понятия динамического хаоса в динамике и лавинного эффекта в криптографии. Однако следует сказать, что прямой аналогии здесь пет, хотя бы потому, что отображения, реализуемые подстановками в криптографии и рассматриваемые здесь, всегда обратимы, тогда как хаотические системы в динамике демонстрируют необратимость.
В дискретных системах понятие ляпу-новских показателей перестает работать. Если рассмотреть две изначально близкие гра-
ектории, принадлежащие одному циклу, то с ростом номера итерации расстояние между соответственными точками траекторий ведет себя случайным образом4. Поэтому вместо ляпуновских показателей можно характеризовать степень раз бегания траекторий, а точнее, степень скорости, с которой стирается информация об их начальной близости с помощью автокорреляционной функции [14], вычисляя ее для зависимости расстояния от номера итерации (приложение).
Вернемся к эргодичности. Приведем ее определение [14]: «Если движение динамической системы эргодично, то относительное время, проведенное фазовой траекторией внутри любой области Г фазового пространства, равно относительному объёму этой области и не зависит от выбора начальных условий Иными словами, фазовая траектория эргодической системы будет равномерно и плотно заполнять всю область Г».
Ниже приведены результаты расчета траектории отображения, реализуемого итера-
Пели соответствующий S-блэк достаточно веник, например имеет числа входеи-выходов равное 256(ем. приложение), и обладает хорошим рассеиванием, то ним свойством можно воспользоваться дам генерации псевдослучайны \ нос ледов атс; i ьио с те й.
цпями S-блоков DAS в проекции награни, соответствующие первым трем S-блокам (U = SI ], V = S21, S = S31) (рис. 2).
На рис. 3, а, б показаны результаты расчета числа точек траектории, попавших в измерительный 8-мерный куб с центром, совпадающим с центром фазовой области в зависимости от L - размера половины ребра измерительного куба. Слева показаны объем измерительного куба (плавная кривая) и число точек траектории в нем (ломаная) в зависимости от L, а справа - их отношение. Начальная точка отображения имеет координаты 4, 15, 10, 7. 2, 12, 4, 2. Это соответствует длине траектории возврата С — 16016 .
Из полученных результатов следует, что точки траектории распределены не равномерно, а слоями, параллельными граням кубического фазового объема. Слабая зависимость результата от числа итераций (за исключением числа точек отображения) позволяет говорить о равномерном заполнении точками всего фазового пространства, т.е. эргодичности S-блоков DES (по крайней мере, выбранных) (табл. 3).
Таблица 3
2 i 12- 4 13
12 ; 1 11 2
4 10 2 8
1 15 14 4
7 9 lí 6
10 2 0 15
п Ь R h
6 8 13 1
S61 . ■■ S71 S8i *
я 1 Ü 3 10
5 13 12 9
3 3 9 3
¡5 1 4 7 14
13 i 14 5 5
0 I 7 10 0
и: 5 6 ¡2
9 1 Li' 1 . 7
3 Чтобы сравнивать число точек и объем гиперку-
ба, каждой точке отображения приписывается «объем?)
15*/(С + 1). На рисунках видны следствия этой довольно
произвольной процедуры - ломаная кривая пересекает1
плавную кривую и может сложиться впечатление, что
суммарный «объемч точек в гиперкубе превосходит объем
всею гиперкуба.
SU
14 I15
4 1
13 ' 8
1 i 14
2 !6
15 11
11 1 3
8 4
S21 ■
3 У
10 7
6 2
12 1 13
5 12
9 0
0 5
7 1$
Sit
Г 10 о
9 ! 14 '
1 5
I 1
I m
I12!
Ii!
i;! L» !
S-блркн DES
I 7 1
13
14
I 3 i 0 I
U .;
9 1
I 9 !
10
II
I г
8 5 11 12 4
15
m
I S51
Примечание. Использованы первые строки каждого S-блока
15-
II, V, 5
Рис, 2. Трёхмерная проекций фазовой траектории для элементов 8-блоков с номерами (} 0 0 0 0 0 0 1). Длина траектории возврата равна 16016
На рис. 4, а, б показаны результаты расчета для тех же $-блоков. но для другой начальной точки с координатами 14, 15, 10. 7, 2, 12. 4, 13, которой соответствует траектория возврата с длиной С = 1232.
Сравнение рис.З, а и 4, а позволяет утверждать, что сказанное выше о равномерности заполнения точками отображения фазового пространства не зависит от конкретной траектории отображения и, в частности, от длины траектории возврата6.
Другая особенность отображения - отсутствие точек в центре куба, связана с многомерным характером траектории и согласуется с известной особенностью многомерных объектов - вклад в их полный объем дают в основном периферические области.
о!
4000
" 2000
Рис. 3, Результаты исследования эргодичности для 8-блок о в ОЕ§. Длина ребра измерительного куба равна 2Ь, !_ " п/10, 0 < п < 150. Точки перестают накапливаться при п > 75. т.е. после прохождения границы фазового объема. Число итерации С = 16016 (и) и О 4096 (6)
Необходимо помнить, что каждая данная совокупность Я-блоиав генерирует разные траектории. Исключение составляет случай, когда все подстановки в й-блоках полноцикловые.
40QÛ
в]
" 2000
ol
50 100
п
150
4000
в 2000; -
о 1
ïL
50
100
150
Рис. 4. Расчет для тех же S-блоков DlîS с начальной точкой, соответствую спей номерам элементов ((10000000),
Число итераций С = 1232 (д) и С = 512 (б)
Для сравнения на рис. 5 приведем результаты аналогичного расчета для одного 5-блока - 531. реализующего подноцикло-
1 11 21 31 41 51 61 71
a
Рис. 5. Результаты исследования эргодичности для блока прямая; N - число точек в кубе - ломаная; б - N/2L -
вую подстановку с длиной траектории возврата 16.
б
1 : a - 2L - длина ребра измерительного куба (отрезка) -отношение. По оси абсцисс отложена величина L/10
5. Качество подстановок
Вопрос о качестве подстановок, реализуемых Б-блоками блочных шифров, является одним из основных. Хороший 8-блок (наряду с хорошим ключом) должен обеспечи-
вать выполнение требований, предъявляемых к криптостойкости шифра. Очевидно, в шифросистемы ГОСТ 28147-89 и DES заложены алгоритмы выработки S-блоков, удовлетворяющие этим требованиям. Однако они
не раскрываются. Вместе с тем нет гарантии, что в некоторых реализациях упомянутых криптосистем не используются ослабленные S-блоки, наподобие (1). Поэтому исследователи-криптографы пытаются найти правила, позволяющие a priori оценивать качество подстановок, используемых в S-блоках.
В [9] приводятся некоторые, достаточно сложные, рассуждения, целью которых является нахождение лучших возможных подстановок. Для 16-ти элементов приведен явный вид подстановки, названной логарифмической:
14 12 3 7 9 15 8 13 0 6 2 10 5 4 1 1 (3)
Приведем цитату из [9J:
«Это был, пожалуй, мой самый красивы й мате мат и ч в с кий ре зуд ь тат. Но, к большому сожалению, логарифмические подстановки так и не нашли достойного применения в криптографии. Почему? Да очень просто - их маю. Помните фразу про долговременные ключи-подстановки в дисковых-шифраторах: "Pix не опробуют. Их покупают". Если в схемы типа "Ангстрем-3 " мы будем ставить только логарифмические подстановки, то опробование всевозможных вариантов подобных подстановок сведется к опробованию всего лишь трех элементов: g — примитивного элемента в поле Галуа GFQ57), г произвольного ненулевого элемента поля GF(257) и г - произвольного элемента из Z/256. Это — копейки, совершенно ничтожная, по криптографическим меркам, величина. Если же выбирать подстановку случайно и равновероятно из всей симметрической группы $256 (т.е. группы подстановок на множестве из 256 элементов, ~~ ЮЗ), то общее число опробуемых вариантов будет совершенно астрономической величиной 256!, намного превосходящей психологически недосягаемую в криптографии величину I О100.
Но для шифров на новой элементной базе логарифмические подстановки позволит полнее представить общую картину того "лавинного эффекта", к достижению которого так стремятся криптографы всего мира».
Эта цитата позволяет хотя бы приблизительно оценить сложность поставленной задачи и получить представление о методах.
которые применяют специалисты-криптографы ¡для ее решения.
Выше приводился пример слабого S-бло-ка (1) и было высказано соображение, что его слабость связана с наличием коротких циклов, на которые разлагается реализуемая им подстановка. Можно было бы предположить, что полноцикловые подстановки, т.е. подстановки, состоящие из одного цикла максимальной длины, заведомо не будут слабыми и будут приводить к преобразованиям с хорошими размешивающими свойствами. То, что это не так, легко видно из простого примера полноцикловой подстановки, не удовлетворяющей требованию размешивания:
1,2,3,4,5,6.7, 8,9, 10, 11, 12, 13, 54, 15,0
Другой пример связан е упоминавшимися выше логарифмическими подстановками. Среди них могут быть пол поникло вые, как, например, (3), и состоящие из более чем одного цикла (М. Масленников, частное сообщение).
Логарифмические подстановки, как уже было сказано, не находят широкого применения из-за того, что их мало и, следовательно. они могут быть легко вычислены.
Полноцикловые подстановки даже с хорошим размешиванием опасно применять ещё и по следующим соображениям. Рассмотрим набор из восьми S-блоков, реализующих исключительно полноцикловые подстановки. Поскольку они оперируют независимо друг от друга, естественно перенести рассмотрение в восьмимерное пространство. Поставим вопрос о дайне траектории возврата для данного варианта. Ответ очевиден -16. Т.е. через 16, 32 и т.д. итераций преобразуемый текст восстановится. Конечно, этот результат получен в пренебрежении всеми остальными деталями криптоалгоритма, но это и позволило подчеркнуть слабую сторону полноцикловых подстановок.
Теперь посмотрим, какие подстановки применяют на практике (на примере ГОСТа). Для этого разложим S-блоки ГОСТ' на циклы:
S1 — С2(10, \); Сн(0, 4, 13, 15,3,2,9, 11,
12, 7, 14,5,8. 6) S2-*C2(I, П);С[4(0, 14, 5, ¡3,7, 10.8. 2,4, 6, 15,9,3, 12)
53 ->СЛО. 5, 3, 13);С+(4, 10. 12,6); Ся<8, 14,9, 15, 11,7.2, 1)
12); Сз{8, 5); Си(7, 15.3, 1, 13.2. 10,6,9,4.0) (4) ^ 14); С,(9, 10); 0,(5. 15,2.
I, 8,4); С6(6, 13,3, 1, 12. 0) $.6-^С2Ц4 15);Сн(4. 7, 13, 12.9,6. I,
II,5,2. 10. 8,3.0) 57-*С,(13. 8, 0); Сд(15. 12,6, 5);
С9(11.7,9, 10, 14, 2,4,3,1) 58 —* (5, 7, 4); С^з! 11Л 4, 8,9,2); С7(1, 15, 12, 6, 10,3,0) Видно, что создатели алгоритма использовали самые разные подстановки. Причина этого уже понятна. Отметим, что, в отличие от ШЕЗ, среди циклов ГОСТ нет единичных.
что, конечно, усиливает криптоалгоритм. Попытаемся оценить длину траектории возврата. Для этого найдем НО К длин всех входящих в разложение (4) циклов. Полученное число равно 5544 - это верхняя граница искомой величины. Представляется разумным предположить, что разработчики шифра стремились выбирать подстановки так, чтобы сделать это число максимально большим. Однако вопрос, каким образом они этого достигали, остается открытым.
Наконец, попытаемся представить качество подстановок визуально с помощью отображения первого возвращения, демонстрирующего зависимость 5(5(1)) от 5(1) () - номер элемента) для двух представленных выше подстановок и реального Й-блока (рис. 6).
a б в
Рис. 6. Отображение первого возвращений: a - для подстановки (1); $ - для (2); в - для Si-блока ГОСТ
Отличие отображений бросается в глаза. Отображение а резко отличается от отображений 6 и в своей регулярностью, связанной с плохими криптографическими свойствами подстановки (1). С другой стороны, на каждом отображении четко просматривается цикловая структура соответствующей подстановки. Особенно четко она просматривается на рис. 6, а. Две прямые соответствуют двум циклам длины 2, три четырехугольника - трем циклам длины 4. На основании рис. 6 можно попытаться сформулировать геометрический критерий отбора «хороших» 5-блоков.
6. Статистика Э-блоков
Представление подстановок с помощью циклов позволяет исследовать их статистические характеристики и сопоставить с ха-
рактеристиками реальных 5-блоков. Результаты статистического исследования подстановок мы заимствуем у Д. Кнута [11].
Если А - число циклов в подстановке из п элементов, то его средние характеристики суть:
min А -- 1, aveA=H„,
тахЛ = и, dev А = (#„ - Н\ )1'2.
Здесь ave и dev - среднее значение и среднеквадратичное отклонение соответственно (в обозначениях Д. Кнута) и
= (6)
I Sit Iii №
Кроме того, подстановка из п предметов имеет к циклов с вероятностью, равной
7 Д. Кнут называет их перестановками.
|S(n, к)\ / «!, где (-1)" kS(n, к) - числа Стерлинга первого рода.
Можно также задать вопрос о средней длине одного цикла. Согласно (5), общее число циклов во всех я! перестановках есть п\Н„ (поскольку оно равно среднему числу циклов, взятому п\ раз). Отсюда можно получить выражение для средней дайны произвольного цикла в виде níHn.
Отсюда же следует выражение для вероятности появления цикла длины к в подстановке из п элементов. Поскольку общее число циклов длины к в подстановке из п элементов равно п\!к, а общее число циклов
есть пШ„, то искомая вероятность равна их отношению, т.е. 1 /кН„.
Подсчитаем вероятность появления полноцикловых подстановок на множестве из 16 элементов. Она равна 1/16//16 ~ 0.0185.
На рис. 7 представлены статистические результаты по длинам циклов. ТНа их основе можно решить вопрос о характере отбора 8-блоков из всего множества подстановок. Уже беглого взгляда достаточно, чтобы понять, что для ГОСТ отбор делайся не случайно и не равновероятно. Чтобы получить точный ответ, приведем результаты корреляционного анализа представленных данных.
1 2 3 4 5 6 7 6 9 10 11 12 13 И 15 16
Длина цикла, к
Рис.7. Статистические характеристики длин циклов: ♦ - вероятность Р{к)\ - Ш частота Г ОС Г; -□- частота DI: S
Формула для оценки коэффициента корреляции двух случайных величин х и у имеет вид [15]:
К., - ■
1=1
N
- Nxy
1/2
f N
Y
(7)
M 2 '
_Д м А /=1 J_
Здесь зс, и у, - вероятность появления в подстановке цикла длиной г и частота этого события для конкретного криптоалгоритма
(DES или ГОСТ), х и у — их среднее и выборочное среднее значения, N = 16 - число испытаний (т.е. различных циклов) в выборке.
Область принятия гипотезы о нулевой корреляции (т.е. отсутствий корреляции) имеет вид [15]:
2 l-r
(S)
xy
где г - стандартная, нормально распределенная величина. Вели значение окажется вне этого интервала, то это будет признаком наличия статистической корреляции с уровнем значимости а.
Выполняя расчеты, получаем следующие значения. Для ГОСТ: гху = 0.203783 и w~ = 0.206676, а для DES - /-^ = 0.916768 и и' = 1.568383. Сразу бросается в глаза, что значение коэффициента корреляции для DES более чем в четыре раза превышает аналогичное значение для ГОСТ. 'Задавая уровень значимости а = 5% и беря значение tail из таблиц [15, с.500] равным 1.96, получим, что гипотеза о нулевой корреляции с указанным уровнем значимости должна быть отвергнута
0,6 0,5 0,4 0.3 0,2 0,1 о
для DES, поскольку н^А-З) равное 5.6549, не попадает в интервал ±1.96. В то же время для ГОСТ эта гипотеза с тем же уровнем значимости должна быть принята, так как значение w(A'-3)1'2, равное 0.7452, оказывается в! (утри этого интервала.
Проделаем аналогичные расчеты для распределения S-блоков по числу циклов, на которые они разлагаются, исходя из публикуемых данных (рис.8).
Рис.
Выполняя расчеты по формулам (7) и (8). получим: для ГОСТ - коэффициент корреляции гху = 0.852265, w = 1.264372 и w(N- 3)ш = 4.558759, а для DES ~ = = 0.804818, и' - 1.112141 и иЧА'-З)1'3 = - 4.009883. Задавая тот же уровень значимости 5%, получим, что гипотеза о нулевой корреляции как для ГОСТ, так и для DES должна быть отвергнута, поскольку полученные значения не попадают в интервал ±1.96. Говоря другими словами, если за фактор оценки выбора S-блоков взять число циклов в них, то полученный результат говорит в пользу случайного и равновероятного отбора S-блоков из множества всех подстановок.
Следует сказать, что этот результат, как и приведенный выше, не вносит окончательной ясности в вопрос о случайности (или неслучайности) выбора S-блоков. В литературе встречаются утверждения обоего толка [1, 2], Ввиду того что упомянутые утверждения представляют собой мнения, не подкрепленные ссылками на иные источники, кроме
других мнений [16] (Бёрд Киви, частное сообщение), следует, по-видимому, относиться к ним с осторожностью, по крайней мере, в отношении публикуемых S-блоков.
Можно привести некоторые дополнительные соображения о неслучайности выбора S-блоков, привлекая для этой цели закон больших чисел [15]. Согласно ему разности выборочных средних случайной величины, взятые по некоторым выборкам мощности Ад и Ni, и математического ожидания этой величины относятся как (.V] /Wj) Чтобы применить закон больших чисел к данной ситуации, надо пренебречь отличиями алгоритмов выбора S-блоков DES и ГОСТ и считать их наборы двумя случайными выборками разной мощности N% = 32 и N\ = 8. Тогда вышеупомянутое отношение должно быть равно 2. Однако в действительности, как легко проверить с помощью вышеприведенных формул, оно близко к 4, причем это справедливо как для числа циклов в перестановках, так и для их длин.
---д-—» —-m
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Число циклов
S Статистические данные по числу циклов в S-блоках: ♦ - ГОСТ; ■ DHS;
-А- вероятность
Следует сказать, что высказывание А. Чморы [2] о случайном выборе S-б л о ко в ГОСТ заимствовано им у Б. Шнайера []], что снимает с него ответственность за необоснованные «домыслы» (Бёрд Киви, частное сообщение). Что же касается первоисточника [1], то, скорее всего, это утверждение — результат слишком вольного перевода.
Заключение
В статье представлены некоторые результаты исследования важных, элементов блочных криптографических систем - блоков подстановок, так называемых S-блоков, методами, которые заимствованы из нелинейной динамики сложных систем. Эти методы используют понятия точечного отображения, эргодичности, перемешивания и др. Сами эти понятия не являются чем-то чуждым в криптографии, например, понятие отображения с перемешиванием близко к понятию размешивающего преобразования. Новым является использование визуального представления преобразований, осуществляемых S-блоками, что позволяет наглядно представить процесс оценки качества и отбора «хороших» с криптографической точки зрения подстановок.
Другим результатом статьи является статистический анализ S-блоков, выполненный на основе разложения их на цикты. Это позволяет более обоснованно, чем это делалось ранее, решить вопрос о выборе S-блоков из всего множества подстаиовок.
Возможно, в дальнейшем этот подход в сочетании с традиционными для криптографии методами позволит по-новому взглянуть на проблемы блочных криптографических систем и получить новые полезные результаты .
Автор выражает благодарность М. Масленникову за обсуждения статьи, а также студентам ФГОУ В1Ю ПАГС им. П.А. Столыпина и филиала в г. Балакове, обучающимся по специальности «Прикладная информатика», О. Елистратовой и М, Кон и некой за активное и полезное участие в работе.
Список литературы
1. Uhtauep Б. 11рикладнам криптография. Протоколы, алгоритмы и исходные тексты на языке С / Пер. с англ. М.: Т риумф, 2002. 816 с.
2. Чмора А.Л. Современная прикладная криптография. М,; Гелиос ЛРВ, 2002.
3. Указ Президента КФ № 334 от 05.04.95 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации» // Собрание законодательства РФ. 1995 №29
4. Federal Information Processing Standards Publication (FIPS PUB) 46-1, Data Encryption Standard, Reaffirmed 1988 Jan 22 (supersedes FiPS PUB 40, 1977 Ш ¡5).
5. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая, Алгоритм криптографического преобразования». М.: Госстандарт СССР. 1989.
6. Бернет С., Яти С. Криптография. Официальное руководство RSA Security / Hep. с англ.: Под ред. Л.И. Тихонова. М.: Бином, 2002.
7. Шеннон К. Работы по теории связи и кибернетике. М.: Иностр. лит., 1963. 830 с.
8. Масленников М. Практически!! криптография. СПб.: БXВ-Петербург, 2003.
9. МаслеюШт М Криптография и свобода // http:// ni i k h a i 1 mas ¡. li vej ou ni a 1. eom/485 2. htm I
10. Винокуров AJO. Как устроен блочный шифр // http:// а I gol i s t .man u a) .ru/d e lenca1' i n ti e x.p h p
11. Кнут Д. Искусство программирования: В 4 Т. T, I. Основные алгоритмы. М.: Мир, 1976.
12. Заславский Г.М. С тшастичность динамических систем. М.: Паука. 1984.
13. Щербите А.Ю.. Домашев A.B. Прикладная криптография. Использование и синтез криптографических интерфейсов. М.: Русская редакция, 2003,
14. Лоскутов А.Ю . Михайлов A.C. Введение в синергетику. М.: Паука, 1990.
¡5. Еёндат Дж., Пирсон А. I ¡рикладнои анализ случайных данных, М,; Мир, Í989.
16. hjjpivw wikipMia.org/wikL/Dau Knenpaon Standard (англоязычная версия), hup://nrv4kipedia.org/wiki/DES (русскоязычная версия).
Приложение
Тестирование S-блоков хеш-функций методами нелинейной динамики
Хеш-фупшии применяются в криптографии для целей шифрования паролей, создания цифровой подписи и т.д. [17]. Среди направлений разработки стойких хеш-функций можно выделить использование симметричных блочных алгоритмов |liä|, одним из основных элементов алгоритму которых является преобразование подстановки, выполняемое с помощью S-блоков, подобных рассмотренным в настоящей статье. Применим изложенную выше методику для оценки качества используемых в реальных алгоритмах хеширования S-блоков, исследуя эргодичность реализуемых ими преобразований. Для этого рассмотрим несколько заявок конкурса, проводимого Национальный институтом стандартов США (NSST}, информация о котором была помещена па официальном сайте N1ST |19| в декабре 2008 г.
Одна из заявок зарегистрировала под кодовым именем Abacus (заявитель - Neil Sholcr). lie вдаваясь в детали, отметим, что в предлагаемом алгоритме используется S-блок 256*256, преобразующий входные байты в выходные (256 число входов и выходов). S-блок представлен н табл. П.1 (в шссшадштеричной системе).
Таблица И. / 00 0) 02 03 04 05 Об 07 08 09 Оа Ob Ос Od Ое ОГ
00 еЗ
10 55
20 Ь2
30 35
40 67
50 16
60 09
70 38
80 Щ
90 сЗ
аО Ь0
ЬО а2
сО 49
d0 01
еО 71
Ш 46
84 Ю d6 19 Г6 Ъс 90 85 7d 28 43 12 сО с 1 Ь4 с7 Sc R7 42 сО d9 27 78 ее ob 07 аа 95 с I ЗГ de 26 а? Ifdl' О 54 d2 е7 24 Зе 32 dl 56 сб 73 17 7Ь 62 29 52 80 а9 bu ab е9 02 53 6а с4 аО 8е fb 9а 79 4е 8d е5 4а 41 al'5a 5с аб 6Ь 5е е8 Зс 9с 5Ь 88 76 15 f'4 60 bd 83 98 81'с8 68 Od 18 65 45 04 ее 7а 12 39 с5 9е П 17 ё.Г
21 94 86 69 37 15 ed 36 66 ef ЗЬ 63 4Ь 33 Ь6 bc 11 5d ЬЗ 2b d3 dt) За 96 77 7с 1с с2 fe Оа 25 4d Гс 89 de 30 23 64 81 d5 ас 70 db еб 7е 6f0fd7 ЬГ9Ь с4 74 Ь7 57 4Г58 10 2d а4 Ь9 ad 61 eb ас ¡ааЗ d8 2c 5Р91 2Г 72 31 Ы 82 daOceaOOa! b5 75 6c47 6d 13 1993 20 05 9f ld 44 8a !e50 34fa9d a8 8b 0b4ca5 2e № 40 ed 99 Td 51 59 0c 2a 3d 92 14 48 6c ea
22 ce 06 d4 97 c2 1 b dd 7f bb c9 b8 03 ее 08
Старшие значащие биты расположены слева. S-6J ¡отчитается слева направо и сверху вниз, Например, входу 02 соответствует выход fO. а входу 7е - ныход 33. Ниже представлены результаты исследования эргодичности S-б.лока.
На рис. П.1 показана зависимость отношения числа точек в измерительном кубе п (отрезке) к. длине отрезка 2L в зависимости от 1., I < L < 127. Центр куоа расположен я точке 127. Кроме того, там же представлены результаты расчета автокорреляционной функции дли расстояния двух изначально близких точек, принадлежащих одному циклу по формуле
corr(j) = X £ [ко- <'->]- \гО+Л- <>•>]- m
С
где г - расстояние между точками, < г ■■ - среднее расстояние (по итерациям), i,j номер итерации, Г - длина цикла (траектории возврата). Начальные точки выбраны так, что г(0) = 1.
S-блок имеет три цикла (подстановка раллагаетея на три цикла) длиной С = 12. 61 и 183 (12 + 63 + 183 = 256). Для каждогр Щ "их получается своя характеристика эргодичности. Для цикла длиной 12 график показывает насыщение величины n/2L порядка 0.05 = 12/256 - 0.046875. Для цикла длиной 61 - насыщение порядка 0.25 = 61/256 = = 0.23828. Для цикла длиной 183 насьппение порядка 0.7 ~ я 183/256 = 0.71484.
Эти значения представляют собой не что иное, как значения инвариантной меры на соответствующих подмножествах, совпадающих с циклами подстановки. Это следу ет из определения понятая инвариантной меры [20|. позволяющей выразить среднее значение произвольной функции g(.v) на множестве элементов подстановки как среднее значение относительно инвариантной меры
TV ш !*■ f f.o ) й®
ff
Здесь Л'=256 - полное число элементов подстановки/ Щ = 12, 61, 183 (/ = 1, 2, 3) - число элементов каждого из циклов, на которые распадается подстановка/; / -- 1-я итерация подстановки /, щ - произвольный элемент подстановки , принадлежащий /-му подмножеству (циклу); рI в Л} / N - значения инвариантной меры р на /-м подмножестве.
Рис, П. I Результаты тестирования Э-блбкаАЬааш а- результаты расчета эргодичности; 6 - автокорреляционна функция. Ч и ело у кривой означает длину соответствующей траектории возврата- Но оси абсцисс отложена величина 1,.'2 (я) и помер итерации} (б)
Из диализа поведения автокорреляционной функции можно заключить, что переход от цикла длиной 183 к циклу длиной 61 приводит к значительному росту ее значений на итерациях е большим номером. Дтя цикла длиной 12 рост значений автокорреляционной функции имеет место при любых итерациях.
Рассмотрим характеристики Другого кандидата -\lCSSHA-3 (заявитель М. Масленников). Соответствующий З-олок представлен в табл. 11.2
Таблица П.2
30 60 67 В5 43 ЕА 93 25 48 0Й 18 6Р 28 7А РЕ В6 П5 9С 23 86 52 42 Р7 II) 1;6 9В РР 99 91 ВС 2А 63 АI АО 57 ЗС 39 02 ЕС 71 45 СВ 41 ШГ 0В5ВС2 36
01 55 70 РВ Р0 83 8Р31 С0 4С08 ЕЗ 91) С1 03 Е9 138 НО ЛЕ 0Р Р7 70 5А ЕВ 40 29 Р9 А9 30 26 46 06 00 50 А5 ВР 66 90 Р4 20 Е4 33 27 Е2 АВ РР 68 54
37 6А ОВ ВВ 1)8 7В 69 С4 Е2 ВР 85 С7 А6 В4 9А ОО 72 34 Е8 РС Об 21 98 96 32 СА 49 В.З РЗ 97 КГ, 2Р
00 ВО 10 IЛ 77 38 СР 51 ВА № 22 АС 62 89 76 СЗ
02 6Р2С47 3А 5С 1В56 8Л50 03 16 74 58 79 09 О? Р5 ОА 92 4Р 87 СО ОА 8С С9 9Е ЗВ 12 6В 53 РР 80 В7 Р8 09 Р1 5Р:ЛРР,0 05 А4 142В АЗ СС 6С 7С 78 АА 95 84 61 А8 СЕ 13 88 РА 59 Ш В9 С8 4В 24
01 07 94 2ЕОРВ1 17 А2 Ш4АС6АО 15 19 35 7181 44 0С9Р 75 7Е 04 82 0РЕ6Е1 20 ЗЕ 73 11 8В С5 А7 Р0 61) 1С 64 0Ё 04 40 1Е80Е5 ЗР В2 65 5Р'
Результаты анализа показали, что подстановка имеет один никл длиной 256. Это хорошо видно па рис. П.2.
саи.ш 4mm
жю.ш о.аа ■ яшю -■плат
1,60 1.40 1,20 1,00 0,80 0,60 0,40 0,20 0.00
21
41
61
81
101 121
4000,00
3000,00
2000,00
1000,00
0,00
-1000,00 ■
22 25 28
Рис, 11,2. Результаты тестирования S-блока MCSSfIA-3: a - результаты расчета эргодичности; б - автокорреляционная функция. Но оси абсцисс отложена величина L/2 (а) и номер итерации j (б)
Из сравнения рис 11.1 и П.2 можно сделать вывод о преимуществах полноцикловых подстановок перед прочими подстановками с достаточно большой длиной цикла. Это видно из гото, что точки отображения, генерируемою пол но цикловой подстановкой, равномернее заполняют фазовое пространство. Очевидно, что уменьшение длины цикла ведет к снижению криптографических свойств S-блока и, как следствие, алгоритма хеширования в целом.
По характеру поведения кривой на рис. 11.2, а можно заключить, что данная подстановка (MCSSHA-3) обладает хорошими размешивающими свойствами, поскольку кривая достаточно быстро выхолит на значение соответствующей инвариантной меры р - 1 (чего нельзя сказать о подстановке Л ha с us).
Слисок литературы
17, Иванов М.А. Криптографические метода зашиты информации в компьютерных системах и сетях. М: Кудиц-Образ, 2001.
18 ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования.
19. !iüp://csrc.nist, gov/groiip;i'ST/haslT/sha-3/Round 1 /submissi üos mdl .html
20. Шустер Г, Детерминированный xuoc / läep. с англ.; Под ред. A.B. Гаионова-1 рехова, М.И. Рабиновича, М.: Мир. 1988.
УДК 530.182:577.3
ОБ ОБУСЛОВЛЕННОСТИ НЕПЕРИОДИЧЕСКИХ АВТОКОЛЕБАНИЙ ПРОКСИМАЛЬНОГО ДАВЛЕНИЯ В НЕФРОНЕ НЕЛИНЕЙНЫМ ОТКЛИКОМ СОКРАТИТЕЛЬНОГО МЕХАНИЗМА АФФЕРЕНТНОЙ АРТЕРИОЛЫ
О.Н. Павлова, Д.Э. Постнов
Саратовский государственный университет Е-таН: pavlova_olga@yahoo.ru
Методами нелинейной динамики и анализа временных рядов исследуется вопрос о механизме возникновения хаотических автоколебаний, экспериментально наблюдаемых в физиологических экспериментах по исследованию процесса авторегуляции почечного кровотока в нефронах почки млекопитающих. Получанные результаты говорят в пользу гипотезы, согласно которой сложные колебательные режимы возникают за счет нелинейных характеристик сократительного механизма малого кровеносного сосуда (афферентной артериолы} на входе в нефрон. Ключевые слова; нефрон, автоколебания, хаос, артериола, гигертензия, вейвлет.
About Conditionally of Nonlinear Res ponce of Miogenic Response of Afferent Arteriola for Irregular Self-Sustained Oscillations of Nephron Proximal Pressure
O.N. Pavlova, D.E. Postnov
By means of nonlinear dynamics and time series analysis we investigate the possible mechanisms for the onset of chaotic self-sustained dynamics in nephron tubular pressure that is observed expert mentally. Our results suggests that the miogenic constriction mechanism of afferent arteriola plays the key role providing the nonlinear response on temporal variation of filtration rate. Keywords: nephron, seif-oscillation, chaos, hype rtensi a. wavelet.
