CC BY
29
2019 Математические методы криптографии №43
МАТЕМАТИЧЕСКИЕ МЕТОДЫ КРИПТОГРАФИИ
УДК 519.1+519.719.2+519.712
КРИПТОСИСТЕМА ШИФРОВАНИЯ С АУТЕНТИФИКАЦИЕЙ НА ОСНОВЕ КОДА АУТЕНТИФИКАЦИИ С СЕКРЕТНОСТЬЮ
А. Ю. Зубов
OOO «Центр сертификационных исследований», г. Москва, Россия
Предлагается идея построения криптосистемы шифрования с аутентификацией, представляющей собой модификацию кода аутентификации с секретностью на основе кода Рида — Соломона. Модификация состоит в использовании неповторяющегося вектора инициализации и производного ключа для шифрования каждого сообщения. Получены оценки стойкости криптосистемы как кода аутентификации с секретностью: стойкость шифрования оценивается близостью к совершенному шифрованию, а стойкость аутентификации — вероятностями успеха имитации и подмены. Приводятся соображения по выбору параметров и оценке стойкости криптосистемы.
Ключевые слова: код аутентификации с секретностью, криптосистема шифрования с аутентификацией.
DOI 10.17223/20710410/43/4
AUTHENTICATION ENCRYPTION BASED ON AUTHENTICATION
CODE WITH SECRECY
A. Yu. Zubov
Center for Certification Research, Moscow, Russia E-mail: zubovanatoly@yandex.ru
The idea of authentication encryption cryptosystem is proposed. This cryptosystem is a modification of an authentication code with secrecy considered in previous papers of the author and based on Reed — Solomon error-correcting code. The essence of the modification is to use a non-repeating initialization vector and derivative key for encryption of each message. Estimations of cryptosystem security as an authentication code with secrecy at a one-time usage of the key are received: the encryption security is estimated by proximity to perfect encryption, and the authentication security — by probabilities of imitation and substitution success. Considerations for selection of parameters and estimation of cryptosystem security to chosen plaintext attacks at multiple usage of the key as well as distinction attacks are provided.
Keywords: authentication code with secrecy, authentication encryption.
Введение
В [1-4] изучались коды аутентификации на основе кодов Рида — Соломона. В данной работе предлагается идея конструкции криптосистемы шифрования с аутентификацией, представляющей собой модификацию кода аутентификации с секретностью — АС, введённого в [2, 4].
Код аутентификации АС (далее А-код) строится следующим образом. Он определяется множествами
5 = (¥д)г, К = (¥д)2, М = (¥д)г+\
где ¥д = СЕ(^) —поле из q = 2П элементов; г ^ 2; Б — множество состояний источника (открытых текстов); К — множество номеров правил кодирования (ключей); М — множество сообщений (шифртекстов), и правилом кодирования (функцией зашифрования) строки в = (в!,... вг) Е Б на ключе к = (а, Ь) Е К по формуле
ек(в) = (т1,... ,тг,а ф т1 • Ьг ф ... ф тг • Ь1),
где ф, —операции поля ; тг = вг ф сг • а ф ¿г • Ь, г = 1,... ,г; с1,...,сг, ¿1,... — ненулевые константы из , такие, что
Сг • ¿у = Су • ¿г (1)
при ] = г. Фактически строка (т1,... ,тг) является результатом зашифрования, а
шг+1 = а ф Ш! • Ьг ф ... ф Шг • Ь1
— имитовставкой. Предполагается, что ключи и состояния источника выбираются случайно в соответствии с распределениями вероятностей Рк = ('Рк(к), к Е К), = (ря(в), в Е Б) и независимо друг от друга.
Интерес к А-коду АС вызван тем, что он допускает эффективную реализацию, обеспечивает е-совершенное шифрование и высокий уровень имитозащиты при однократном использовании ключа. Понятие е-совершенного шифрования введено в [2, 3]. Оно обобщает понятие совершенного шифрования, введённого К. Шенноном, и определяется следующим образом.
и Рк индуцируют распределение вероятностей Рм = (рм (т),т ЕМ) на множестве сообщений А-кода по формуле
Рм(т) = Е Рк(к)Ря {е-1(т)) ,
кеК(т)
где
К(т) = {к ЕК : Бв Е Б (вк(в) = т)} ,
а для к Е К(т) по определению е-1(т) = в, если ек(в) = т. Пусть Тя,м, Ря\м, Рм\я — совместное и условные распределения вероятностей, определяемые формулами
Ря,м (в, т) = ря (в) Е Рк (к),
к£К.(з,т)
К(в,т) = {к Е К : ек(в) = т} Рм\я (т\в) = Е Рк (к),
к£К.(з,т)
Рм\я (т\в)Ря (в)
Ря\м (в\т)
Рм (т)
Тогда говорят, что А-код реализует совершенное шифрование, если равенство
Psim (s\m) = PS (s) выполняется для любых s Е S и m Е M. Используя обозначение
A(s,m) = \psim(s\m) - ps(s)| , это определение можно записать в виде равенства
max A(s, m) = 0.
s,m
В свою очередь, А-код с данными распределениями PS и PK реализует е-совершенное шифрование, если
max A(s, m) ^ е,
s,m
где 0 ^ е < 1.
Теорема 1 [3]. Пусть для А-кода AC распределение PK равномерное, а PS —
любое такое распределение, что для действительных чисел а, в, а, удовлетворяющих
неравенствам 0 < а, в < 1 ^ а, выполняются условия а ^ ps(s) ^ в, в/а ^ а для
каждого s Е S. Тогда AC реализует е-совершенное шифрование для е < aq-1 и обес-
— 1
печивает следующие значения вероятностей успеха имитации и подмены: p0 = q 1, p1 ^ raq-1.
1. Криптосистема CS
Заметим, что А-код AC обеспечивает указанный в теореме 1 уровень стойкости лишь при однократном использовании ключа и при условии, что открытый текст неизвестен. При частично известном открытом тексте AC не обеспечивает стойкости. В самом деле, если известны две пары (si,mi), (sj,mj), то ключ (а,Ь) можно определить из системы уравнений
m, ® si = Oi ■ а ф di • Ь,
mj Ф sj = Oj • а ф dj • Ь.
(2)
Константы сг,йг не являются секретными, кроме того, из условий (1) следует, что система (2) совместна, возможно, лишь за исключением случая, когда а = Ь = 0. Таким образом, АС нестоек к атаке на основе подобранного открытого текста.
Алгоритм шифрования, реализуемый АС, можно трактовать как «одноразовый» алгоритм шифрования с аутентификацией. Он использует шифрсистему гаммиро-вания и систему аутентификации полиномиального типа, известную под названием
ОМАС.
Модифицируем этот алгоритм таким образом, чтобы стало допустимо многократное использование ключа. Для этого введём зависимость констант сг, йг от основного ключа и будем использовать зависящие от вектора инициализации производные ключи для зашифрования каждого сообщения.
Введём обозначения а, а, в соответственно для элемента поля а Е F2n, строки а Е Е {0,1}п коэффициентов многочлена, представляющего а как элемент фактор-кольца F2[x]/(h(x)) = F2n, и числа а Е Ъ2п, двоичная запись которого совпадает с а.
Определим криптосистему шифрования с аутентификацией С§, которая использует основной ключ к = (а, Ь) Е ^2п)2 , наборы констант
А = {юг Е F2n : Wi = р(г)} , А(к) = {юг(к) : юг Е А} , сг(к) = юг(к), йг(к) = <р('.юг(к)), г =1, 2,..., 2п - 1,
и вектор инициализации
гу(т) = (7(т),5(т)) е ^)2
для зашифрования текстов в(т\ т = 1, 2,... , Ь, Ь е N. Здесь р — биективное отображение Z2n ^ Ъ2п; тг(к) = ¡и(тг) определяется с помощью отображения ¡х : F2n ^ F2n, х е ^2п )2, а р — отображение F2n ^ F2n. Вектор инициализации гь(т) должен содержать счётчик, который делает вектор неповторяющимся, метку времени и необходимые атрибуты передаваемого сообщения.
Текст в(т), представленный в виде последовательности в(т) = (в1т\...,з1Т) элементов из F2n, шифруется на производном ключе к(т) = (а(т\Ь(т= д(к,гь(т^, где
д — отображение ^2п)4 ^ ^2п)2. Результатом зашифрования в(т) служит т(т) =
( (т) (т) (т) \ -ПТ,
= (ш\ ,... ,Штт ,тг т'+1) —последовательность элементов из ,Ш2п, где
т(т = в(т) 0 сг(к)а(т) 0 вг(к)Ь(т), г = 1,...,гт, т{т+1 = а(т) 0 т(т {Ь(т))Гт 0 ... 0 тГТ .Ь(т))1.
Отправитель посылает сообщение (гь(т\т(т)). Получатель сообщения (гь,т), где т = (7,5), т = (т1,... ,тг,тг+1), вычисляет производный ключ (а',Ь') = д(к,т(т)). Критерий аутентичности сообщения — равенство
тг+1 = а! 0 т1 ■ Ь'г 0 ... 0 тг ■ Ь'1.
Если оно выполнено, то получатель вычисляет константы т' = ¡и(тг) и открытый текст в = (в]_,... ,вг), где
вг = тг 0 т'г ■ а' 0 р(т'г )Ь', г = 1, 2,... ,г.
Уточним выбор отображений р, ¡х, д и р. Этот выбор должен обеспечить достаточный уровень стойкости, в частности достижимость оценок теоремы 1, а также возможность эффективной реализации криптосистемы. Далее мы остановимся на некоторых вариантах выбора указанных отображений. Подчеркнём, что предлагаемые варианты являются лишь примерами и не дают окончательного решения задачи синтеза криптосистемы. Заинтересованный читатель может предложить и свои варианты, возможно, более разумные и обоснованные.
Выбор отображения р свяжем с необходимостью выполнения условия (1). Такими отображениями являются, например, р(с) = с2 или р(с) = с0 а, где а — любой фиксированный ненулевой элемент из F2n. В самом деле, если, скажем, р(с) = с2 = в и для ненулевых элементов поля с', с выполняется равенство с ■ в = с' ■ в, то с ■ с'2 = с' ■ с2 и
с' = с.
Набор констант тг е А играет роль «счётчика». Набор констант тг(к) = ¡и(тг) е е А(к) делает «счётчик» зависимым от ключа. Естественно потребовать, чтобы отображение ¡и было инъективным и, кроме того, делало зависимость констант тг(к) от ключа нелинейной. Это необходимо для того, чтобы нелинейной стала функция зашифрования. Один из вариантов такого ¡и связан с использованием подходящих квазигрупповых операций * на F2n (перемешивающие преобразования) и обратимых преобразований множества {0,1}п (рассеивающие преобразования).
Такое отображение можно определить, например, формулой
¡и(т) = Ь(т * а) *' Ь, (3)
где *, *' — квазигрупповые операции (возможно, одинаковые), а L — обратимое преобразование множества {0,1}п, обладающее хорошими рассеивающими свойствами. Подходящие квазигрупповые операции предложены, например, в [6, 7]. Так, в [6] операция х * y = z на F2t задаётся формулой
z = P(x, y) = ^ aitjxiyj mod 2 (4)
i,j
при условии, что P(u, 0),P(0,v),P(u, 1) и P(1,v) определяют биекции. Критерий би-ективности отображения Z2t ^ Z2t, задаваемого многочленом ао + а1х + ... + amxm, определяется следующими уловиями: а1 —нечётное число, а числа (а2 + а4 + а6 + ...) и (а3 + а5 + а7 + ...) — чётные. В [7] операция х * y = z на F2t задаётся формулой
z = Ox + $y + nxV mod 2l, (5)
где O,d — нечётные числа; п — чётное число; Е N.
В качестве L в (3) можно предложить, например, следующее отображение. Представим вектор х Е {0,1}п в виде последовательности байтов х = х1\\ ... \\хп/8. Пусть L — максимально рассеивающая матрица размеров n/8 х n/8. Тогда L(x) = y, где y = y1\\ ... \\yn/8, а (y1,...,yn/8) = (x1,...,xn/g) L. Умножение выполняется в поле F256. Такое преобразование делает зависимым каждый байт вектора y от каждого байта вектора х. Например, при n =128 это преобразование, используемое в шифрси-стеме «Кузнечик».
Отображение p, определяющее «счётчик», можно, например, задать перестановочным многочленом р(х) над кольцом Z2n. Критерий биективности такого многочлена сформулирован выше.
При выборе отображения д будем исходить из того, чтобы при случайном равновероятном выборе ключа к = (а,Ь) ключ к(т) = (а(т\Ь(т)) также выбирался случайно равновероятно, разным значениям т отвечали разные ключи к(т) и чтобы задача нахождения ключа к при известных к(т), iv(r) была вычислительно сложной. Один из вариантов такого отображения даёт использование введённых квазигрупповых операций
д (а, Ь, y(т), ¿(т)) = (L (а * y(т)) *' a,L (Ь * ¿(т)) *' Ь) , (6)
где компоненты правой части равенства получены аналогично формуле (3).
2. Анализ криптосистемы CS
Приведём некоторые общие соображения, которые качественно характеризуют стойкость криптосистемы CS.
Заметим, что предложенный выбор отображений <р, fk, p, д позволяет утверждать, что wi(k) = Wj(к) при i = j и при неповторяющемся векторе инициализации iv(r) каждый производный ключ к(т) используется однократно, причём если к выбирается случайно равновероятно, то и к(т) выбирается случайно равновероятно. Эти замечания приводят к следующему утверждению.
Теорема 2. Пусть ключ к криптосистемы CS выбирается случайно равновероятно, а распределение Ps таково, что для действительных чисел а, в, а, удовлетворяющих неравенствам 0 < а, в < 1 ^ а, выполняются условия а ^ ps(s) ^ в, в/а ^ а для каждого s Е S. Тогда CS реализует е-совершенное шифрование текста s(), состоящего из г(т) > 1 блоков, для е < а2-п. При этом для CS как А-кода с секретностью имеют место следующие оценки вероятностей успеха имитации и подмены: p0 = 2-п, p1 ^ г(т)а2-п.
Доказательство. Заметим, что роль констант сг, вг для криптосистемы С§ выполняют ¡и(тг) и раи(т)). В нашем случае не исключается ситуация, когда ¡и(тг) = = Ь(тг * а) *' Ь = 0. В условиях теоремы 1 константы сг,вг ненулевые и удовлетворяют соотношению (1). Такой выбор констант позволял получить оценку величины е. Для этого использовалась формула
тах
в,т
1К(в,т)1 1
|К(т)| |5|
(7)
в которой величина |К(т)| равна д, а величина 1К(в,т)1 ограничена сверху единицей.
В условиях теоремы 2 величина |К(т)| не меняется, поскольку меняется лишь производный ключ к(т) = (а(т\Ь(т)), т.е., по сути дела, лишь вектор инициализации гь(т). Выясним, остается ли в силе ограничение для |К(в,т)|.
Пусть для различных производных ключей к' = (а!, Ь') и к'' = (а!', Ь'') выполняются равенства
тг = вг® ш -а' ® ш2 -Ь' = вг® ш ■ а" ® ш2 ■ Ь''.
Если = 0, то, как и в теореме 1, это невозможно. А если {уг = 0, то это возможно лишь для одного значения г. Но по условию г > 1, поэтому либо йг-1 = 0, либо Шг+1 = 0, и мы попадаем в условия предыдущего случая. Тем самым для различных к' и к'' при г > 1 невозможно равенство Еу(в) = Еу (в). Следовательно, оценка величины е по формуле (7) остаётся в силе, т. е. е < о2-п в условиях теоремы 2. Вероятности успеха имитации и подмены оцениваются так же, как и в теореме 1. ■
Приведём числовой пример, характеризующий результаты теоремы 2. При п = 128, а = 232, г = 232 криптосистема С§ реализует е-совершенное шифрование текста в(т) длины, не превосходящей 232 блоков, для е < 2-96 и его аутентификацию, обеспечивая значения р0 = 2-128, р1 < 2-64.
Сделаем ряд замечаний по выбору параметров криптосистемы:
1) Выбор квазигрупповых операций в формулах (4) или (5) может быть достаточно произвольным. Он должен обеспечивать нелинейность преобразований в (3) и (6).
2) Задача определения ключа по открытому и шифрованному текстам для криптосистемы С§ сводится к решению системы уравнений
'тг(к)а(т) 0 тг(к)2Ь(т) = п({), а(т) 0 т1 \Ь(т ))гт 0 ... 0 тГТТ) (Ь(т ))1 = т^ )+1, := 1, 2,...,гт, т = 1, 2,... ,Ь,
относительно ключа к = (а,Ь), где п^) = в^) 0 т^). В этой системе можно считать известными лишь элементы пп^) и т^), ] = 1,... , гт+1. Для выбранных в (3) и (6) отображений ¡и и д уравнения системы из первой строки приводят к нелинейным уравнениям относительно а, Ь, в записи которых используются как операции поля F2n, так и операции кольца Z2n.
Исключение а(т) из второй строки системы не даёт возможности исключить а(т) и из первой строки, поскольку гиг(к) неизвестны. Остаётся возможность того, что при некотором т шифртекст будет состоять из большого числа нулевых элементов поля, в результате чего получится уравнение невысокой степени в поле F2n относительно а(т),Ь(т). В худшем случае, когда т1т) = ... = тГтТ) = 0,
е
получается равенство а(т^ = тГт ++1. Однако вероятность такого события сравнима с величиной 2-ПГт . При этом найти Ь(т) не представляется возможным. Можно попытаться для нахождения производного ключа опробовать все варианты Ь(т) и вычислять из соотношения второй строки а(т\ Но при этом для 2п получившихся допустимых вариантов производного ключа необходимо проверить соотношение из первой строки. Для этого потребуется решить уравнения а(т) = Ь [а * 7(т)) *' а и Ь(т) = Ь (Ь * 8(т)) *' Ь относительно неизвестных а и Ь. Ясно, что такая задача является вычислительно сложной. Это делает практически невозможной попытку нахождения производного ключа путём опробования. Тем самым задача определения ключа в атаке с подобранными открытыми текстами объективно сложна.
3) Выбор в определении (3) преобразования Ь с хорошими рассеивающими свойствами делает маловероятной возможность того, чтобы близким векторам ш и соответствовали близкие векторы щ(к) и (к). Поэтому даже для тривиального счётчикар, такого, что р(х) = х, маловероятна близость векторов щ(к) и Шг+1(к), которую можно использовать для построения метода определения производного ключа. Использование нетривиального счётчика р, предложенного выше, ещё в большей степени защищает от указанной потенциальной слабости преобразования (3).
4) Оценка С§ с позиций атак различения возможна по той же схеме, которая была использована при оценке стойкости криптосистемы ОСМ [5, 8]. В самом деле, С§ отличается от ОСМ лишь тем, что использует в качестве базовой системы шифрования не систему подстановок Е = {Ек : {0,1}п ^ {0,1}п , к Е К}, а систему функций Ф = {Фк^и : ^ F2n| к,т Е ^2п)2}, где
Фк^(') = !к(')а(т) 0 (¡кМ)2Ь(т), (8)
и тем, что её система аутентификации основана на полиномах со свободным членом, тогда как ОСМ использует для аутентификации полиномы без свободного члена. Последнее, очевидно, не влияет на стойкость аутентификации. Значения функции Фк,т —это блоки гаммы, используемые для шифрования блоков открытого текста. Так как при шифровании текста а(т) и Ь(т) не изменяются, мы имеем дело с семейством функций вида аш' 0 в''2 для некоторых а, в Е F2n, где ш' = Ь(ш * а) *' Ь. Поскольку многочлен ах 0 вх2 может иметь более одного корня в F2n, функции Фк,т могут не быть биективными. В то же время, так как для любого р Е F2n и любых а, в, одновременно не равных нулю, уравнение ах 0 вх2 = р имеет не более двух решений, число образов Фк,™ (блоков гаммы) достаточно велико: 1{Фк}г€(ш)1ш Е А}1 ^ 2п/2 > 2п-1.
5) Биективная связь ш' с ш, зависящая от ключа, и зависимость от ключа а(т) и Ь(т) делают недоступными для атакующего ни ш', ни а, в. Поэтому в атаке различения семейства функций Ф, получая от оракула значения Фк^(ш), я = 1, 2,..., различитель не может воспользоваться тем, что Фк,™ как функция от ш' является многочленом. Если бы зависимость ш' = f (ш) была известной, различитель воспользовался бы интерполяционной формулой Лагранжа и построил эффективную атаку, использующую всего лишь четыре запроса к оракулу.
6) Можно использовать криптосистему С§ в режиме АЕАВ (режим шифрования с аутентификацией, использующий ассоциированные данные), добавив на этапе аутентификации блоки ассоциированных данных подобно тому, как это сделано в ОСМ.
При случайном выборе ключа не исключается случай, когда к(т) = (0, 0). Этот случай нежелателен, поскольку все блоки гаммы становятся равными 0П. Избавиться от этого можно следующим образом. При вычислении производного ключа к(т) можно ввести дополнительный шаг — проверку равенства к(т) = (0, 0). Если оно выполняется, то нужно сменить т(т\ Для этого можно в т т выделить один бит, например старший, и в случае, когда к(т) = (0, 0), инвертировать этот бит.
Схема алгоритма криптосистемы С§ представлена на рис. 1.
Рис. 1. Криптосистема С8 (без дополнения последнего неполного блока)
Все шаги алгоритма эффективно реализуемы, об этом свидетельствует, например, то, что операции алгоритма реализуются стандартными средствами пакета «Математика». Наиболее трудоёмкими являются квазигрупповые операции * и операции умножения элементов поля Е2п. Были бы интересны и другие варианты выбора квазигрупповых операций на множестве {0,1}п, обладающие указанными выше свойствами и допускающие более эффективные реализации.
9) Заметим, что при использовании предложенного варианта отображения р(с) = = с ф а, где а — любой фиксированный ненулевой элемент из п, можно выиграть в трудоёмкости. Получим алгоритм, который при шифровании каждого блока использует не три, а лишь две операции умножения в поле. В таком варианте схемы вместо функций (8) используются функции вида Фк,т = = /к(^)а(т)ф(/к(эд) ф а) Ь(т). Следует, однако, отметить недостаток такой схемы. В случае, если а(т) = Ь(т\ С§ реализует шифр простой замены. Такой случай нежелателен. Он устраним таким же образом, как и в п. 7.
10) Выбор констант, используемых в алгоритме, позволяет параллельно вычислять блоки шифртекста и допускает возможность зашифрования текста вплоть до длины, сравнимой с числом элементов поля. Заметим, что предложенный алгоритм допускает этап предвычислений, который может дать существенный выигрыш в трудоёмкости при шифровании многих сообщений с помощью основного ключа к. В самом деле, при шифровании текстов в(т) используется один и тот
же набор констант w^k), i = 1, 2,... Если в некотором приложении тексты в(т) имеют не слишом большие длины, то можно выделить память для записи этих констант и использовать их далее при шифровании многих текстов. 11) Схему дополнения последнего неполного блока для CS можно выбрать той же, что и в GCM.
Заключение
Представленная идея криптосистемы шифрования с аутентификацией допускает эффективную реализацию при широком спектре изменяемых параметров, прежде всего отображений tp, fk, p, g, L. Конструкция криптосистемы позволяет в теореме 2 дать оценку её стойкости как кода аутентификации с секретностью и показать, что она реализует е-совершенное шифрование сообщений с незначительными ограничениями на их частотные характеристики и обеспечивает стойкую аутентификацию. Подобная оценка для криптосистемы шифрования с аутентификацией получена впервые.
Приводятся соображения, указывающие на объективную сложность задачи определения ключа варианта криптосистемы в атаке с подобранными открытыми текстами. Выделяются некоторые «слабые» ключи и предлагаются пути обхождения этих слабостей. Вместе с тем задача определения ключа требует более детального анализа, как и задача оценки псевдослучайности семейства функций (8), определяющей оценку стойкости криптосистемы в атаках различения.
Некоторые детали алгоритма, реализуемого криптосистемой, такие, как выбор вектора инициализации, дополнение последнего неполного блока, способы реализации операций поля F2n и кольца Z2n, организация и объём необходимой памяти, возможность использования ассоциированных данных, также требуют более тщательной проработки.
ЛИТЕРАТУРА
1. Kabatianskii G. A., Johansson G., and Smeets B. On the cardinality of systematic A-codes via error correcting codes // IEEE Trans. Inform. Theory. 199б. V. IT-42. No. 2. P. 5бб-578.
2. Зубов А. Ю. Почти совершенные шифры и коды аутентификации // Прикладная дискретная математика. 2011. №4(14). С. 28-33.
3. Зубов А. Ю. О понятии е-совершенного шифра // Прикладная дискретная математика. 201б. №3(33). С. 45-52.
4. Зубов А. Ю. Коды аутентификации с секретностью // Математические вопросы криптографии. 2017. Т. 8. №3. С. 5-40.
5. Зубов А. Ю. Об оценке стойкости AEAD-крипосистемы типа GCM // Прикладная дискретная математика. 201б. №2(32). С.49-б2.
6. Rivest R. R. Permutation polynomials modulo 2w // Finite Fields Their Appl. 2001. V. 7. No. 2. P. 287-292.
7. Заец M. В. Построение подстановок с использованием вариационно-координатно полиномиальных функций над примарным кольцом вычетов // Математические вопросы криптографии. 2015. Т. б. №1. С. 5-32.
8. McGrew D. A. and Viega J. The security and performance of Galois/Counter mode of operation // LNCS. 2004. V. 3348. P. 343-355.
REFERENCES
1. Kabatianskii G. A., Johansson G., and Smeets B. On the cardinality of systematic A-codes via error correcting codes. IEEE Trans. Inform. Theory, 199б, vol. IT-42, no. 2, pp. 5бб-578.
2. Zubov A. Yu. Pochti sovershennye shifry i kody authentifikatsii [Almost perfect ciphers and authentication codes]. Prikladnaya Diskretnaya Matematika, 2011, no.4(14), pp.28-33. (in Russian)
3. Zubov A. Yu. O ponyatii e-sovershennogo shifra [About the concept of e-perfect cipher]. Prikladnaya Diskretnaya Matematika, 2016, no. 3(33), pp. 45-52. (in Russian)
4. Zubov A. Yu. Kody authentifikatsii s sekretnostiu [Authentication codes with secrecy]. Matematicheskie Voprosy Kriptografii, 2017, vol.8, no.3, pp. 5-40. (in Russian)
5. Zubov A. Yu. Ob otcenke stoykosti AEAD-kriptosystemy tipa GCM [On the estimation of secrecy of the type GCM AEAD-cryptosystem]. Prikladnaya Diskretnaya Matematika, 2016, no.2(32), pp.49-62. (in Russian)
6. Rivest R. R. Permutation polynomials modulo 2w. Finite Fields Their Appl., 2001, vol. 7, no. 2, pp.287-292.
7. Zaec M. V. Postroenie podstanovok s ispolzovaniem variatcionno-koordinatno polinomialnykh funktciy nad primarnym koltcom vychetov [Build of permutations using variation-coordinate polynomiality functions over primary deduction ring]. Matematicheskie Voprosy Kriptografii, 2015, vol.6, no. 1, pp. 5-32. (in Russian)
8. McGrew D. A. and ViegaJ. The security and performance of Galois/Counter mode of operation. LNCS, 2004, vol.3348, pp. 343-355.
