Научная статья на тему 'КРИТЕРИЙ МИНИМАЛЬНОСТИ ПО ВКЛЮЧЕНИЮ СОВЕРШЕННЫХ ШИФРОВ'

КРИТЕРИЙ МИНИМАЛЬНОСТИ ПО ВКЛЮЧЕНИЮ СОВЕРШЕННЫХ ШИФРОВ Текст научной статьи по специальности «Математика»

CC BY
49
8
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СОВЕРШЕННЫЕ ШИФРЫ / ЭНДОМОРФНЫЕ ШИФРЫ / НЕЭНДОМОРФНЫЕ ШИФРЫ

Аннотация научной статьи по математике, автор научной работы — Медведева Наталья Валерьевна, Титов Сергей Сергеевич

Исследуются совершенные по Шеннону (абсолютно стойкие к атаке по шифр-тексту) шифры. Сформулирован и доказан критерий минимальности множества ключей совершенного шифра.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE CRITERION OF MINIMUM PERFECT CIPHERS WITH RESPECT TO INCLUSION

The paper deals with the problem of Shannon perfect ciphers description (which are absolutely immune against the attack on ciphertext, according to Shannon), minimal by inclusion. The criterion of minimum nonendomorphic (endomorphic) perfect ciphers by inclusion is formulated and proved. The table of encryption of a perfect cipher with > 1 ciphers, > ciphers and > keys is considered. For a given cipher, (0; 1)-matrix with rows and 1+ columns is constructed in a natural way. It is shown that the set of encryption keys is minimal if and only if the matrix rank is maximal and equals to . The necessary conditions for perfect ciphers of minimum by inclusion have been obtained.

Текст научной работы на тему «КРИТЕРИЙ МИНИМАЛЬНОСТИ ПО ВКЛЮЧЕНИЮ СОВЕРШЕННЫХ ШИФРОВ»

11. Shuying S. and Jun H. Impossible differential cryptanalysis of GRANULE algorithm // Computer Engineering. 2019. V. 45(10). P. 134-138.

УДК 512.64, 519.21, 519.72 DOI 10.17223/2226308X/15/13

КРИТЕРИЙ МИНИМАЛЬНОСТИ ПО ВКЛЮЧЕНИЮ СОВЕРШЕННЫХ ШИФРОВ

Н. В. Медведева, С. С. Титов

Исследуются совершенные по Шеннону (абсолютно стойкие к атаке по шифр-тексту) шифры. Сформулирован и доказан критерий минимальности множества ключей совершенного шифра.

Ключевые слова: совершенные шифры, эндоморфные шифры, неэндоморфные шифры.

В рамках вероятностной модели шифра Sb [1] рассмотрим произвольный совершенный по Шеннону шифр. Пусть X, Y — конечные множества соответственно шифр-величин и шифробозначений, с которыми оперирует некоторый шифр замены, K — множество ключей, |X | = A, |Y | = |K | = п, где А> 1, ^ ^ А, п ^ Это означает, что открытые и шифрованные тексты представляются словами (¿-граммами, t ^ 1) в алфавитах X и Y соответственно. Согласно [2, 3], под шифром Sb будем понимать совокупность множеств правил зашифрования и правил расшифрования с заданными распределениями вероятностей на множествах открытых текстов и ключей. Шифры, для которых апостериорные вероятности открытых текстов совпадают с их априорными вероятностями, называются совершенными.

Описание эндоморфных (А = с минимально возможным числом ключей (|K| = = |Y |) совершенных шифров даётся теоремой Шеннона, таблица зашифрования таких шифров — это латинский квадрат из равновероятных подстановок зашифрования [1]. При описании неэндоморфных (А < совершенных шифров, как показано в [4], возникает естественная задача описания минимальных по включению (т. е. содержащих минимально возможное множество ключей зашифрования с ненулевыми вероятностями) совершенных шифров, не сводящихся к латинским прямоугольникам размера ^х А, которые можно рассматривать как непосредственное обобщение теоремы Шеннона.

На первом этапе реализации данного подхода в работах [4, 5] получены достаточные условия того, что в таблице зашифрования как неэндоморфных, так и эндоморфных совершенных шифров с равновероятными ключами отсутствуют латинские соответственно прямоугольники и квадраты. В [5] на основе графового подхода к исследованию и описанию совершенных шифров, их аналогов и обобщений сформулировано достаточное условие минимальности шифра по включению.

Пусть дана таблица зашифрования совершенного шифра Sb с А столбцами, п строками и ^ шифробозначениями y, j = 1, 2,... где п ^ ^ ^ А > 1. Обозначим через P = (Pi, P2,..., Pn)T вектор-столбец вероятностей Pk ключей k (k = 1, 2,..., п), через pj — априорные вероятности шифробозначений y (j = 1, 2,... , данного шифра. Для исходной таблицы зашифрования построим соответствующую ей (0,1)-матрицу A с п строками и А^ столбцами следующим образом:

1) каждому столбцу x таблицы зашифрования поставим в соответствие ^ столбцов и занумеруем все получившиеся А^ столбцы индексами (i, j), где i = 1, 2,...,А, j = 1,2,...,^;

2) на пересечении строки k (k = 1,2, ...,п) и столбца (i,j) поставим единицу тогда и только тогда, когда e^(xi) = yj, т.е. если шифрвеличина xi на ключе k зашифровывается в шифробозначение yj. В противном случае ставим нуль.

Соответствие таблицы зашифрования и матрицы A, можно считать, получено посредством замены каждого i-го столбца в таблице зашифрования на j столбцов матрицы A, индексированных парами (i,j), где i = 1, 2,..., A, j = 1, 2,..., j. Столбцы матрицы A можно упорядочить и занумеровать, например, естественным образом, присвоив индексу (i, j) номер m = (i — 1)j + j, так что Aj ^ m ^ 1.

Используя (0,1)-матрицу A, для которой Ak,(i,j) = 1 ^ ek(xi) = yj, условие совершенности шифра можно записать в виде системы линейных уравнений

Е Pk Afc,(i,j) = Pj (i =1,2,...,A, j = 1, 2,...,j) (1)

k=l

с дополнительным условием

E Pk = 1. (2)

k=l

К матрице A добавим столбец из п единиц. При предлагаемом способе упорядочивания столбцов этому столбцу естественно присвоить номер m = 0 и считать его добавленным к матрице A слева. В вектор правых частей добавим 1 (в соответствии с уравнением (2)). Получившуюся матрицу размером п строк на 1 + Aj столбцов обозначим через A, а вектор правых частей —через p = (1,pl,... ,pM,... ,pl,... ,pM)T, при этом rank A ^ п.

Теорема 1. Множество ключей шифра минимально тогда и только тогда, когда ранг матрицы A максимальный (равный п).

Доказательство. Рассматривая вероятности Pk ключей как неизвестные ненулевые искомые величины уравнений (1), а вероятности pj — как их правые части, по теореме Кронекера — Капелли заключаем, что, поскольку система имеет решение, ранг матрицы A равен рангу расширенной (посредством вектора p = = (1,pl,... ,pM,... ,pl,... ,p^)T) матрицы. Максимально возможный ранг матрицы A равен количеству её строк — п.

Предположим, что данный шифр не является минимальным по включению. Докажем, что тогда ранг матрицы A меньше п. Действительно, пусть существует шифр с вероятностями ключей Pk с теми же правыми частями pj, в котором отсутствуют некоторые ключи из данного набора. Этот факт можно отразить в системе уравнений (1), (2), положив вероятности отсутствующих ключей равными нулю. Так, пусть без ограничения общности ключ k = п отсутствует, тогда система уравнений (1), (2) имеет решение, в котором P^ = 0. Заметим, что неизвестные Pk = Pk — Pk (k = 1,... , п) не все равны нулю (например, P^ = 0) и удовлетворяют однородной системе уравнений, откуда следует, что в матрице A не может быть невырожденной квадратной подматрицы максимального размера п на п, т. е. её ранг строго меньше п.

Обратно, пусть ранг матрицы A строго меньше п. Докажем, что данный шифр не является минимальным по включению. Действительно, в этом случае одна из строк матрицы A (без ограничения общности пусть это п-я строка) есть линейная комбинация остальных. Пусть

п-l

An,(i,j) = Е qkAk,(i,j), qk е R (i =1, 2,..., A, j = 1, 2,..., j). k=l

Для каждого £ € [0,1] введём новые неизвестные Р;к = Рк +дк£ РП (к = 1,... , п — 1), РП = (1 — £) РП, где + д2 + ... + = 1 из-за столбца единиц в матрице А. В силу тождества

П П—1 П—1

Е Рк Ак,(г,.?) = Е Рк Ак,(г,.?) + РП Ап,(г,.?) = Е Рк Ак,(г,.?) + [£ РП +(1 — £) РП]Ап,(г,.?) = к=1 к=1 к=1

/п—1 п—1 \

= ( Е Рк Ак,(г,.?) + £ Рп Е 5кАк,(г,.?) + (1 — £) Рп Ап,(г,.?) = \к=1 к=1 /

П— 1 П

= Е (Рк Рп)Ак,(г,7) + (1 — £) Рп Ап,(г,^') = Е Р'к Ак,^) к=1 к=1

эти новые неизвестные Рк удовлетворяют той же системе уравнений. Поскольку Рк = = Рк > 0 при £ = 0 и линейная функция непрерывна, имеем Рк > 0 при всех достаточно малых £ > 0. Ввиду того, что а4 является (0,1)-матрицей и все координаты вектора р4 положительны, среди чисел дк должны быть и положительные; для таких ключей к имеем Рк > 0 для всех £ > 0. Если для всех к = 1,... , п — 1 имеем Рк > 0 при всех £ € [0,1], то при £ =1 получаем РП = 0, Р;к > 0 (к = 1,... , п — 1), причём

П—1 П—1

Е Рк = 5— Рк = 1 к=1 к=1

для любого £ ввиду равенства

П— 1

Е = 1

к=1

Следовательно, величины Рк (к = 1,..., п — 1) могут рассматриваться как вероятности ключей собственного подмножества ключей данного шифра, так как РП = 0. Если же Рк = 0 при некотором к = ко и £ = £0, 0 < £0 < 1, то, выбрав £0 наименьшим по всем таким к, получим тоже собственное подмножество ключей с ненулевыми вероятностями Рк, что доказывает неминимальность данного шифра по включению. ■

Отметим, что для эндоморфного шифра равенство + ... + дП— 1 = 1 выполняется уже при рассмотрении матрицы А без использования столбца из единиц.

Замечание 1. Из критерия минимальности по включению совершенных шифров следуют необходимые условия:

1) для минимальности по включению множества ключей шифра необходимо выполнение неравенства п ^ А^;

2) для эндоморфного минимального по включению совершенного шифра выполняется неравенство п ^ А(А — 1).

Полученные теоретические результаты могут быть положены в основу классификации минимальных совершенных шифров и исследований почти совершенных шифров [6, 7].

Таким образом, сформулирован и доказан критерий минимальности множества ключей совершенных шифров: множество ключей минимально, если и только если ранг бинарной матрицы, состоящей из п столбцов и 1 + А^ столбцов, максимален и равен количеству ключей, содержащихся в таблице зашифрования. Получены также необходимые условия минимальности по включению совершенных шифров.

ЛИТЕРАТУРА

1. Шеннон К. Теория связи в секретных системах // Работы по теории информации и кибернетике. М.: Наука, 1963. С. 333-402.

2. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001.

3. Зубов А. Ю. Совершенные шифры. М.: Гелиос АРВ, 2003.

4. Медведева Н. В., Титов С. С. Конструкции неэндоморфных совершенных шифров // Прикладная дискретная математика. Приложение. 2020. №13. С. 51-54.

5. Медведева Н. В., Титов С. С. К задаче описания минимальных по включению совершенных шифров // Прикладная дискретная математика. Приложение. 2021. №14. С. 91-95.

6. Зубов А. Ю. Почти совершенные шифры и коды аутентификации // Прикладная дискретная математика. 2011. №4(14). С. 28-33.

7. Зубов А. Ю. О понятии е-совершенного шифра // Прикладная дискретная математика. 2016. №3(33). С. 45-52.

УДК 519.7 DOI 10.17223/2226308X/15/14

ВЫЧИСЛЕНИЕ РАЗНОСТНЫХ ХАРАКТЕРИСТИК ДЛЯ СЛОЖЕНИЯ k ЧИСЕЛ ПО МОДУЛЮ 2n 1

А. С. Мокроусов

Рассматривается разностная характеристика xdp++ (al,...,ak ^ а0), где a0,al, ... ,ak е Zn, которая определяет вероятность преобразования разностей al,... ,ak в разность а0 (относительно побитового «исключающего или») функцией f (xl,..., xk) = xl + ... + xk mod 2n. Данная величина используется при разностном криптоанализе криптографических примитивов, содержащих «исключающее или» и сложение по модулю 2n, например ARX-конструкций. Предложены аналитические выражения для матриц, используемых для вычисления xdp++. Кроме

того, рассмотрена разностная характеристика adp® (а, в ^ y), где а, в, Y S Zn

'k'

4 S Z2

определяющая вероятность преобразования разностей а, в в разность y (относительно сложения по модулю 2n) функцией xфy, и получены все тройки разностей, вероятность которых больше 1/4.

Ключевые слова: ARX, исключающее или, сложение по модулю, разностный криптоанализ, разностные характеристики.

Одним из подходов к построению криптографических примитивов является комбинирование сложения по модулю 2n (Ш), побитовых операций (например, «исключающего или» — ф), битовых сдвигов (^), циклических сдвигов Это позволяет получить очень быстрые в программной реализации алгоритмы. Особый интерес представляют ARX-конструкции, использующие только операции Ш, ф и Примерами таких шифров являются FEAL [1], TEA [2], Salsa20 [3], Speck [4].

Хорошие шифры должны быть стойкими к различным видам криптоанализа, в частности к разностному криптоанализу [5]. Это один из основных статистических методов, основанный на исследовании того, в какие разности шифртекстов могут переходить разности открытых текстов. Важным шагом при реализации метода является вычисление разностных характеристик и их максимальных значений. Для базовых операций архитектуры ARX данные характеристики определяются следующим образом [6]:

1 Работа выполнена в рамках госзадания ИМ СО РАН (проект № FWNF-2022-0018).

i Надоели баннеры? Вы всегда можете отключить рекламу.