11. Shuying S. and Jun H. Impossible differential cryptanalysis of GRANULE algorithm // Computer Engineering. 2019. V. 45(10). P. 134-138.
УДК 512.64, 519.21, 519.72 DOI 10.17223/2226308X/15/13
КРИТЕРИЙ МИНИМАЛЬНОСТИ ПО ВКЛЮЧЕНИЮ СОВЕРШЕННЫХ ШИФРОВ
Н. В. Медведева, С. С. Титов
Исследуются совершенные по Шеннону (абсолютно стойкие к атаке по шифр-тексту) шифры. Сформулирован и доказан критерий минимальности множества ключей совершенного шифра.
Ключевые слова: совершенные шифры, эндоморфные шифры, неэндоморфные шифры.
В рамках вероятностной модели шифра Sb [1] рассмотрим произвольный совершенный по Шеннону шифр. Пусть X, Y — конечные множества соответственно шифр-величин и шифробозначений, с которыми оперирует некоторый шифр замены, K — множество ключей, |X | = A, |Y | = |K | = п, где А> 1, ^ ^ А, п ^ Это означает, что открытые и шифрованные тексты представляются словами (¿-граммами, t ^ 1) в алфавитах X и Y соответственно. Согласно [2, 3], под шифром Sb будем понимать совокупность множеств правил зашифрования и правил расшифрования с заданными распределениями вероятностей на множествах открытых текстов и ключей. Шифры, для которых апостериорные вероятности открытых текстов совпадают с их априорными вероятностями, называются совершенными.
Описание эндоморфных (А = с минимально возможным числом ключей (|K| = = |Y |) совершенных шифров даётся теоремой Шеннона, таблица зашифрования таких шифров — это латинский квадрат из равновероятных подстановок зашифрования [1]. При описании неэндоморфных (А < совершенных шифров, как показано в [4], возникает естественная задача описания минимальных по включению (т. е. содержащих минимально возможное множество ключей зашифрования с ненулевыми вероятностями) совершенных шифров, не сводящихся к латинским прямоугольникам размера ^х А, которые можно рассматривать как непосредственное обобщение теоремы Шеннона.
На первом этапе реализации данного подхода в работах [4, 5] получены достаточные условия того, что в таблице зашифрования как неэндоморфных, так и эндоморфных совершенных шифров с равновероятными ключами отсутствуют латинские соответственно прямоугольники и квадраты. В [5] на основе графового подхода к исследованию и описанию совершенных шифров, их аналогов и обобщений сформулировано достаточное условие минимальности шифра по включению.
Пусть дана таблица зашифрования совершенного шифра Sb с А столбцами, п строками и ^ шифробозначениями y, j = 1, 2,... где п ^ ^ ^ А > 1. Обозначим через P = (Pi, P2,..., Pn)T вектор-столбец вероятностей Pk ключей k (k = 1, 2,..., п), через pj — априорные вероятности шифробозначений y (j = 1, 2,... , данного шифра. Для исходной таблицы зашифрования построим соответствующую ей (0,1)-матрицу A с п строками и А^ столбцами следующим образом:
1) каждому столбцу x таблицы зашифрования поставим в соответствие ^ столбцов и занумеруем все получившиеся А^ столбцы индексами (i, j), где i = 1, 2,...,А, j = 1,2,...,^;
2) на пересечении строки k (k = 1,2, ...,п) и столбца (i,j) поставим единицу тогда и только тогда, когда e^(xi) = yj, т.е. если шифрвеличина xi на ключе k зашифровывается в шифробозначение yj. В противном случае ставим нуль.
Соответствие таблицы зашифрования и матрицы A, можно считать, получено посредством замены каждого i-го столбца в таблице зашифрования на j столбцов матрицы A, индексированных парами (i,j), где i = 1, 2,..., A, j = 1, 2,..., j. Столбцы матрицы A можно упорядочить и занумеровать, например, естественным образом, присвоив индексу (i, j) номер m = (i — 1)j + j, так что Aj ^ m ^ 1.
Используя (0,1)-матрицу A, для которой Ak,(i,j) = 1 ^ ek(xi) = yj, условие совершенности шифра можно записать в виде системы линейных уравнений
Е Pk Afc,(i,j) = Pj (i =1,2,...,A, j = 1, 2,...,j) (1)
k=l
с дополнительным условием
E Pk = 1. (2)
k=l
К матрице A добавим столбец из п единиц. При предлагаемом способе упорядочивания столбцов этому столбцу естественно присвоить номер m = 0 и считать его добавленным к матрице A слева. В вектор правых частей добавим 1 (в соответствии с уравнением (2)). Получившуюся матрицу размером п строк на 1 + Aj столбцов обозначим через A, а вектор правых частей —через p = (1,pl,... ,pM,... ,pl,... ,pM)T, при этом rank A ^ п.
Теорема 1. Множество ключей шифра минимально тогда и только тогда, когда ранг матрицы A максимальный (равный п).
Доказательство. Рассматривая вероятности Pk ключей как неизвестные ненулевые искомые величины уравнений (1), а вероятности pj — как их правые части, по теореме Кронекера — Капелли заключаем, что, поскольку система имеет решение, ранг матрицы A равен рангу расширенной (посредством вектора p = = (1,pl,... ,pM,... ,pl,... ,p^)T) матрицы. Максимально возможный ранг матрицы A равен количеству её строк — п.
Предположим, что данный шифр не является минимальным по включению. Докажем, что тогда ранг матрицы A меньше п. Действительно, пусть существует шифр с вероятностями ключей Pk с теми же правыми частями pj, в котором отсутствуют некоторые ключи из данного набора. Этот факт можно отразить в системе уравнений (1), (2), положив вероятности отсутствующих ключей равными нулю. Так, пусть без ограничения общности ключ k = п отсутствует, тогда система уравнений (1), (2) имеет решение, в котором P^ = 0. Заметим, что неизвестные Pk = Pk — Pk (k = 1,... , п) не все равны нулю (например, P^ = 0) и удовлетворяют однородной системе уравнений, откуда следует, что в матрице A не может быть невырожденной квадратной подматрицы максимального размера п на п, т. е. её ранг строго меньше п.
Обратно, пусть ранг матрицы A строго меньше п. Докажем, что данный шифр не является минимальным по включению. Действительно, в этом случае одна из строк матрицы A (без ограничения общности пусть это п-я строка) есть линейная комбинация остальных. Пусть
п-l
An,(i,j) = Е qkAk,(i,j), qk е R (i =1, 2,..., A, j = 1, 2,..., j). k=l
Для каждого £ € [0,1] введём новые неизвестные Р;к = Рк +дк£ РП (к = 1,... , п — 1), РП = (1 — £) РП, где + д2 + ... + = 1 из-за столбца единиц в матрице А. В силу тождества
П П—1 П—1
Е Рк Ак,(г,.?) = Е Рк Ак,(г,.?) + РП Ап,(г,.?) = Е Рк Ак,(г,.?) + [£ РП +(1 — £) РП]Ап,(г,.?) = к=1 к=1 к=1
/п—1 п—1 \
= ( Е Рк Ак,(г,.?) + £ Рп Е 5кАк,(г,.?) + (1 — £) Рп Ап,(г,.?) = \к=1 к=1 /
П— 1 П
= Е (Рк Рп)Ак,(г,7) + (1 — £) Рп Ап,(г,^') = Е Р'к Ак,^) к=1 к=1
эти новые неизвестные Рк удовлетворяют той же системе уравнений. Поскольку Рк = = Рк > 0 при £ = 0 и линейная функция непрерывна, имеем Рк > 0 при всех достаточно малых £ > 0. Ввиду того, что а4 является (0,1)-матрицей и все координаты вектора р4 положительны, среди чисел дк должны быть и положительные; для таких ключей к имеем Рк > 0 для всех £ > 0. Если для всех к = 1,... , п — 1 имеем Рк > 0 при всех £ € [0,1], то при £ =1 получаем РП = 0, Р;к > 0 (к = 1,... , п — 1), причём
П—1 П—1
Е Рк = 5— Рк = 1 к=1 к=1
для любого £ ввиду равенства
П— 1
Е = 1
к=1
Следовательно, величины Рк (к = 1,..., п — 1) могут рассматриваться как вероятности ключей собственного подмножества ключей данного шифра, так как РП = 0. Если же Рк = 0 при некотором к = ко и £ = £0, 0 < £0 < 1, то, выбрав £0 наименьшим по всем таким к, получим тоже собственное подмножество ключей с ненулевыми вероятностями Рк, что доказывает неминимальность данного шифра по включению. ■
Отметим, что для эндоморфного шифра равенство + ... + дП— 1 = 1 выполняется уже при рассмотрении матрицы А без использования столбца из единиц.
Замечание 1. Из критерия минимальности по включению совершенных шифров следуют необходимые условия:
1) для минимальности по включению множества ключей шифра необходимо выполнение неравенства п ^ А^;
2) для эндоморфного минимального по включению совершенного шифра выполняется неравенство п ^ А(А — 1).
Полученные теоретические результаты могут быть положены в основу классификации минимальных совершенных шифров и исследований почти совершенных шифров [6, 7].
Таким образом, сформулирован и доказан критерий минимальности множества ключей совершенных шифров: множество ключей минимально, если и только если ранг бинарной матрицы, состоящей из п столбцов и 1 + А^ столбцов, максимален и равен количеству ключей, содержащихся в таблице зашифрования. Получены также необходимые условия минимальности по включению совершенных шифров.
ЛИТЕРАТУРА
1. Шеннон К. Теория связи в секретных системах // Работы по теории информации и кибернетике. М.: Наука, 1963. С. 333-402.
2. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001.
3. Зубов А. Ю. Совершенные шифры. М.: Гелиос АРВ, 2003.
4. Медведева Н. В., Титов С. С. Конструкции неэндоморфных совершенных шифров // Прикладная дискретная математика. Приложение. 2020. №13. С. 51-54.
5. Медведева Н. В., Титов С. С. К задаче описания минимальных по включению совершенных шифров // Прикладная дискретная математика. Приложение. 2021. №14. С. 91-95.
6. Зубов А. Ю. Почти совершенные шифры и коды аутентификации // Прикладная дискретная математика. 2011. №4(14). С. 28-33.
7. Зубов А. Ю. О понятии е-совершенного шифра // Прикладная дискретная математика. 2016. №3(33). С. 45-52.
УДК 519.7 DOI 10.17223/2226308X/15/14
ВЫЧИСЛЕНИЕ РАЗНОСТНЫХ ХАРАКТЕРИСТИК ДЛЯ СЛОЖЕНИЯ k ЧИСЕЛ ПО МОДУЛЮ 2n 1
А. С. Мокроусов
Рассматривается разностная характеристика xdp++ (al,...,ak ^ а0), где a0,al, ... ,ak е Zn, которая определяет вероятность преобразования разностей al,... ,ak в разность а0 (относительно побитового «исключающего или») функцией f (xl,..., xk) = xl + ... + xk mod 2n. Данная величина используется при разностном криптоанализе криптографических примитивов, содержащих «исключающее или» и сложение по модулю 2n, например ARX-конструкций. Предложены аналитические выражения для матриц, используемых для вычисления xdp++. Кроме
того, рассмотрена разностная характеристика adp® (а, в ^ y), где а, в, Y S Zn
'k'
4 S Z2
определяющая вероятность преобразования разностей а, в в разность y (относительно сложения по модулю 2n) функцией xфy, и получены все тройки разностей, вероятность которых больше 1/4.
Ключевые слова: ARX, исключающее или, сложение по модулю, разностный криптоанализ, разностные характеристики.
Одним из подходов к построению криптографических примитивов является комбинирование сложения по модулю 2n (Ш), побитовых операций (например, «исключающего или» — ф), битовых сдвигов (^), циклических сдвигов Это позволяет получить очень быстрые в программной реализации алгоритмы. Особый интерес представляют ARX-конструкции, использующие только операции Ш, ф и Примерами таких шифров являются FEAL [1], TEA [2], Salsa20 [3], Speck [4].
Хорошие шифры должны быть стойкими к различным видам криптоанализа, в частности к разностному криптоанализу [5]. Это один из основных статистических методов, основанный на исследовании того, в какие разности шифртекстов могут переходить разности открытых текстов. Важным шагом при реализации метода является вычисление разностных характеристик и их максимальных значений. Для базовых операций архитектуры ARX данные характеристики определяются следующим образом [6]:
1 Работа выполнена в рамках госзадания ИМ СО РАН (проект № FWNF-2022-0018).