Предложено новое решение — нелинейные соотношения, выполняющиеся с преобладанием не меньше 0,25 для любого фиксированного ключа. Точнее, доказано:
Vi > 0 VK 3z (P{yi = xi 0 zxi-1} = 1/2 + e, |e| ^ 1/4; (3)
Vi > 0 VK 3z (P{yi 0 yi-i = Xi 0 zxi-i} = 1/2 + e, |e| ^ 1/4. (4)
Изучена возможность применения соотношений (3), (4) для анализа блочных шифров, использующих операцию + mod 2n. Предложена модификация линейного метода криптоанализа, которая в ряде случаев позволяет провести более эффективные атаки.
В частности, аппроксимации (3), (4) использованы для проведения атаки с известным открытым текстом на конкретный шифр, имеющий структуру SP-сети, в котором для смешения с ключом используется операция + mod 2n. Эта атака позволяет восстановить ключ быстрее полного перебора, что подтверждено моделированием на ЭВМ. Далее был проанализирован шифр, имеющий аналогичное строение, но использующий для смешения с ключом операцию XOR. Сравнительный анализ показал, что замена операции XOR на + mod 2n приводит к существенному увеличению стойкости шифра. При проведении атаки на шифр, использующий + mod 2n вместо XOR, помимо S-блоков необходимо аппроксимировать блок смешения с ключом, поэтому в большинстве случаев абсолютная величина преобладания итогового соотношения, связывающего некоторые биты открытого текста, шифртекста и ключа, становится гораздо ниже, из-за чего для проведения атаки требуется существенно больше материала.
Проведена атака с известным открытым текстом на алгоритм ГОСТ 28147-89 с сокращённым числом раундов и S-блоками специального вида. В [2] доказана стойкость алгоритма ГОСТ 28147-89 с не менее чем пятью раундами шифрования относительно линейного метода криптоанализа. Предложенный метод позволил провести атаку на алгоритм ГОСТ 28147-89 с восемью раундами шифрования.
ЛИТЕРАТУРА
1. Matsui M. Linear cryptanalysis method for DES cipher // LNCS. 1993. V. 765. P. 386-397.
2. Shorin V. V., Jelezniakov V. V., and Gabidulin E. M. Linear and differential cryptanalysis of
Russian GOST // Proc. Int. Workshop Coding and Cryptography (Paris, France, January
8-12, 2001). P. 467-476.
УДК 519.723 DOI 10.17223/2226308X/8/23
НЕЭНДОМОРФНЫЕ СОВЕРШЕННЫЕ ШИФРЫ С ДВУМЯ ШИФРВЕЛИЧИНАМИ
Н. В. Медведева, С. С. Титов
Исследуются неэндоморфные совершенные по Шеннону (абсолютно стойкие к атаке по шифртексту) шифры в случае, когда мощность множества шифрве-личин равна двум. В терминах линейной алгебры на основе теоремы Биркгофа о классификации дважды стохастических матриц описаны матрицы вероятностей ключей данных шифров. Построено множество возможных значений априорных вероятностей шифробозначений совершенного шифра.
Ключевые слова: совершенные шифры, неэндоморфные шифры, максимальные шифры, дважды стохастические матрицы.
Впервые вероятностная модель шифра рассмотрена в фундаментальной работе К. Шеннона [1]. Пусть X, Y — конечные множества соответственно шифрвеличин и
шифробозначений, с которыми оперирует некоторый шифр замены, К — множество ключей, причём |Х| = Л, |У| = ц, |К| = п, где ц ^ Л > 1. Согласно [2, 3], под шифром Ев будем понимать совокупность множеств правил зашифрования и расшифрования с заданными распределениями вероятностей на множествах ¿-грамм открытых текстов, шифрованных текстов и ключей. Шифры, для которых апостериорные вероятности открытых текстов совпадают с их априорными вероятностями, называются совершенными. Изучение неэндоморфных (|Х| < |У|) совершенных шифров в общем виде предполагает знание распределения вероятностей на множестве ¿-грамм алфавита открытых текстов. В качестве стандартного аппарата исследования распределения вероятностей на ¿-граммах используются дважды стохастические матрицы [4]. Шифры, содержащие все инъекции из X в У, называются максимальными. В [5] показано, что неминимальный (|К| > |У|) совершенный шифр вкладывается в максимальный совершенный шифр.
Данная работа является продолжением [5]. Здесь описаны матрицы вероятностей ключей неэндоморфных совершенных шифров и множества вероятностей шифробо-значений в случае, когда мощность множества шифрвеличин равна двум.
Рассмотрим неэндоморфный максимальный совершенный шифр в случае, когда мощность множества шифрвеличин равна двум. Пусть X = {х^х^; У = {уъу2, ... ,ум} = {1, 2,..., ц}; К = {кь к2,... , кп}. Здесь |Х| = Л = 2, |У | = ц > 2, |К| = п =
= ц(ц - 1).
Зашифрование открытого текста х = х^х^... х^, где Xij € X, т.е. 3 € {1, 2}, заключается в замене каждой шифрвеличины х^. некоторым шифробозначением у^.
в соответствии со случайно выбранным одним из |К| = А'Х' = А^ = ц!/(ц — 2)! = = ц(ц — 1) = п всех инъективных отображений : X ^ У, индексированных ключами к € К. Инъективное отображение ек, к € К, при котором ек(Ж1) = у. = 5 и ек(х2) = = уг = будем также обозначать е.^, где в, * = 1,..., ц.
Пусть Р.г — вероятность того, что при зашифровании шифрвеличины
Xij, €
€ {1, 2}, будет выбрано инъективное отображение = Р{е.г(х1) = 5 & е.г(х2) = *},
где в = Если в = то, в силу инъективности, = 0.
Обозначим через Р = ||Р.г||^4=1 квадратную матрицу порядка ц, такую, что
V* Р*ь = Р.) , V* ^Е = Р*) , Р1 + ... + Рм = 1. (1)
Отметим, что, как указано в [3], совершенный по Шеннону шифр является сильно совершенным, т. е. не зависит от распределения на множестве шифрвеличин. Поэтому распределения вероятностей на множестве шифробозначений, индуцированные априорными распределениями вероятностей на множестве ключей, будем называть априорными.
Требуется описать множество возможных значений априорных вероятностей шифробозначений р. = Р{у = в}, в = 1,... , ц, и найти общий вид матрицы Р, удовлетворяющей условию (1) совершенности шифра, в зависимости от значений вероятностей Р. . Согласно подходу [2, 3], для вероятностной модели Ев шифра это достаточно сделать при ¿ = 1 . Для решения поставленной задачи будем использовать критерий совершенности шифра (2.2.4) из [3], который равносилен условию (1).
В частности, в примере 2.2.10 из [3] X = {х1,х2}, У = {у1,у2,у3} = {1, 2, 3}, К = = {к1, к2,... , к6}, т. е. при Л = 2, ц = 3, п = 6 таблица зашифрования имеет следующий вид:
K\X xi X2 Pst = P{esi(xi) = s & esi(x2) = t}
ki 1 2 P12 = P{k = k1} = 19/80
k2 1 3 P13 = P{k = k2} = 3/20
кз 2 1 P21 = P{k = кз} = 21/80
k4 2 3 P23 = P{k = k4} = 1/10
кб 3 1 P31 = P{k = кб} = 1/8
ke 3 2 P32 = P{k = ke} = 1/8
При этом выполняются равенства:
p = P{y = 1|x = X!} = Pi2 + Pis = 31/80; p = P{y = 1|x = X2} = P21 + P31 = 31/80;
P2 = P{y = 2|x = Xi} = P21 + P23 = 29/80; P2 = P{y = 2|x = X2} = P12 + P32 = 29/80;
Ps = P{y = 3|x = xi} = P31 + P32 = 1/4; ps = P{y = 3|x = X2} = Pis + P23 = 1/4,
т.е. априорные и апостериорные (условные) вероятности шифробозначений yi, i = = 1, 2, 3, равны. Это, согласно критерию (2.2.4) из [3], означает, что матрица
P
||Pst ||3,t=1
P11 P12 P13 0 19/80 3/20
P21 P22 P23 I =1 21/80 0 1/10
P31 P32 P33 1/8 1/8 0
удовлетворяет условию (1) совершенности шифра.
Для матрицы Р с неотрицательными элементами, удовлетворяющей условию (1) в силу теоремы Биркгофа [4] справедливы равенства
P
Е Pz PZ ,
Е
Pz
1,
Z С{1,2,...,д},
Z=0
Z С{1,2,...,д},
Z=0
где X — непустое множество номеров строк и столбцов; pz ^ 0 и Pz — главные подматрицы равновероятных распределений.
Теорема 1. Матрица Р с неотрицательными элементами, удовлетворяющая условию (1), лежит в выпуклой оболочке главных подматриц Pz равновероятных распределений и определяется формулой (2).
При Л = 2 и ^ = 3 матрица P в общем случае определяется формулой
0
1 +
p = a
3
d +d
0 0 1 000 100
0 1 0 001 100
000
b
+ 3
10 00
+ 2 1 2 1 0 0 0
+ 2 1 00 2 1 0 1
0 0 1 1 0 0 010
/ 0 а/3 + с/2с Ь/3 + й/2
1 I = ( Ь/3 + с/2 0 а/3 + е/2
0 I \ а/3 + ¿/2 Ь/3 + е/2 0
где а, Ь, с, й, е ^ 0 — произвольные параметры, такие, что а + Ь + с + й + е = 1.
Отметим, что для любых а,е ^ 0, где 2а + 3е = 3/5, и однозначно по ним определённым параметрам Ь = а + 3/40, с = е + 11/40, й = е + 1/20, получаются числовые значения примера 2.2.10 из [3]. В частности, они получаются при крайних значениях параметров: а = 0, е = 1/5 и а = 3/10, е = 0.
Теорема 2. Набор чисел р^... ,рм при ^ ^ 2 может быть набором априорных вероятностей шифробозначений совершенного шифра в модели Хд с мощностью множества шифрвеличин, равной двум, тогда и только тогда, когда эти числа удовлетворяют условиям
1
P1 +... + рм = 1, 0 ^pi ^ 2 (i
Таким образом, описаны матрицы вероятностей ключей неэндоморфных совершенных шифров и множества вероятностей шифробозначений в случае, когда мощность множества шифрвеличин равна двум. Отметим, что при А > 2 эта задача сильно усложняется ввиду отсутствия аналога теоремы Биркгофа о дважды стохастических матрицах.
ЛИТЕРАТУРА
1. Шеннон К. Теория связи в секретных системах // Работы по теории информации и кибернетике. М.: Наука, 1963. С. 333-402.
2. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001.
3. Зубов А. Ю. Совершенные шифры. М.: Гелиос АРВ, 2003.
4. Birkhoff G. D. Tres observations sobre el algebra lineal // Revista Universidad Nacional Tucuman. 1946. Ser. A. V.5. P. 147-151.
5. Медведева Н. В., Титов С. С. О неминимальных совершенных шифрах // Прикладная дискретная математика. Приложение. 2013. №6. С. 42-44.
УДК 519.7 DOI 10.17223/2226308X/8/24
ПРЕДВАРИТЕЛЬНАЯ ОЦЕНКА МИНИМАЛЬНОГО ЧИСЛА РАУНДОВ ЛЕГКОВЕСНЫХ ШИФРОВ ДЛЯ ОБЕСПЕЧЕНИЯ ИХ УДОВЛЕТВОРИТЕЛЬНЫХ СТАТИСТИЧЕСКИХ СВОЙСТВ1
А. И. Пестунов
Для новых легковесных блочных шифров (и нескольких известных шифров) проведена экспериментальная оценка минимального числа раундов, при котором в режиме CTR эти шифры обеспечивают удовлетворительные статистические свойства выходной псевдослучайной последовательности. Эксперименты проводились с помощью статистического теста «стопка книг» при длине выборки 226 байт. В зависимости от шифра блоки представлялись в виде двух, трёх или четырёх 32-битовых слов и в качестве элементов тестируемой выборки брались первые слова каждого выходного блока. На вход шифра подавались блоки, где все слова, кроме второго, равны нулю, а второе слово менялось от 0 до 224 — 1.
Ключевые слова: блочный шифр, легковесный шифр, статистический анализ, статистический тест, число раундов, псевдослучайные числа.
Одно из применений итеративных блочных шифров — это генерация псевдослучайных чисел. Для этой цели часто используется режим CTR, подразумевающий последовательное шифрование значений некоторого счётчика и формирование псевдослучайной последовательности из выходных блоков или их частей. При этом удовлетворительные статистические свойства выходной последовательности могут быть обеспечены значительно меньшим числом раундов (обозначим его Rmin), чем полное число раундов шифра (обозначим его R). Очевидно, что сокращение числа раундов увеличит производительность шифров и позволит генерировать псевдослучайные числа быстрее. Причём даже если такой усечённый шифр имеет высоковероятные характеристики (линейные, дифференциальные, интегральные и пр.), он сможет генерировать псевдослучайные последовательности с удовлетворительными статистическими свой-
1 Работа поддержана грантом РФФИ, проект №14-01-31484 (мол_а).