УДК 519.7 Б01: 10.14529/ттр150109
НЕКОТОРЫЕ ОБОБЩЕНИЯ ТЕОРИИ ШЕННОНА О СОВЕРШЕННЫХ ШИФРАХ
С.М. Рацеев
К. Шеннон в 40 х г одах XX века ввел понятие совершенного шифра, обеспечивающего наилучшую защиту открытых текстов. Такой шифр не дает криптоаналитику никакой дополнительной информации об открытом тексте на основе перехваченной криптограммы. При этом хорошо известный шифр гаммирования с равновероятной гаммой является совершенным, но максимально уязвимым к попыткам имитации и подмены. Это происходит потому, что в шифре гаммирования алфавиты для записи открытых и шифрованных текстов равномощны. Также в данном шифре должны использоваться равновероятные гаммы, что не всегда достигается на практике. В данной обзорной работе рассматриваются задачи построения совершенных и (&|у)-совершенных шифров по заданному набору параметров, приводятся необходимые и достаточные условия дан н ых шифров, рассматриваются совершенные и (&|у)-совершенные шифры замены с неограниченным ключом, а также совершенные шифры, стойкие к имитации и подмене шифрованных сообщений с необязательно равномерным распределением на множестве ключей.
Ключевые слова: шифр; совершенный шифр; имитация сообщения.
Введение
Пусть X, K, Y — конечные множества открытых текстов, ключей и шифрованных текстов соответственно. Обозначим через = (X, K,Y, E, D, PX, PK )
вероят-
ED
расшифрования соответственно. При этом предполагается, что априорные распределения вероятностей PX и PK на соответствующих множествах X и K независимы и не содержат нулевых вероятностен. Распределения PX и PK е с тес т ве н н ы ivî образом индуцируют распределение вероятностей PY следующим образом:
Py(У)= E Px(x) • Pk(k).
(x,k)eXxK
Ek (x)=y
Пусть x E X, y E Y. Обозначим через K(x, y) множество всех таких ключей k E K, для которых Ek(x) = y. Условные вероятности PY\X(y\x) и PY\X(y\x) определяются e с те с т ве н н ы ivi образом:
Py\x (y\x) = £ Pk к), Pxy Ш = PX w ш.
k£K(x,y) Y (y)
Напомним, что шифр называется совершенным (по Шеннону), если для любых x E X y E Y выполнено равенство Px \ y (x\y) = Px (x). Другими словами, иерехва-ченное y
x
Предложение 1. Для произвольного шифра Ев следующие условия эквивалентны:
(i) для любы,х x Е X и y Е Y выполнено равенство PX\Y(x\y) = PX(x);
(ii) для любых x Е X и y Е Y выполнено равенство PY\X(y\x) = PY(y);
(iii) для любы,х x\,x2 Е X и y Е Y выполнено равенство PY\X(y\x\) = PY\X(y\x2).
Естественным образом определяются следующие вероятности:
Py\k Ш= £ Px (x), Pkyy (k\y) = Pk «pPYf^,
xeX(k,y) Y (y)
где X(k,y) = {x Е X \ Ek(x) = y}. Заметим, что для любых k Е K, y Е Y множество X(k, y)
Шифр Ев называется (к^-совершенным, если для любых k Е K, y Е Y выполнено равенство PK\Y(k\y) = PK(k). Приведем также эквивалентные условия (k\y)-совершенных шис|)ров.
Предложение 2. Для произвольного шифра Ев следующие условия эквивалентны,:
(i) для любы,х k Е K и y Е Y выполнено равенство PK\Y(k\y) = PK(k);
(ii) для любых k Е K и y Е Y выполнено равенство PY\к(y\k) = PY(y);
(iii) для любы,х k\,k2 Е K и y Е Y выполнено равенство PY\K(y\k{) = PY\к(y\k2)•
Далее используется понятие латинского квадрата, ортогональных матриц, ортогональной таблицы и латинского прямоугольника. Данные определения можно найти, например, в работе [3].
1. Построение совершенных шифров
Приведем некоторые свойства совершенных шифров.
Предложение 3. [1] Пусть Ев — совершенный шифр. Тогда для шифра Ев будут выполнены следующие свойства:
(i) для любы,х x Е X, y Е Y найдется такой ключ k Е K, что Ek (x) = y;
(ii) для множеств X, Y и K справедливо двойное неравенство \X\ < \Y\ < \K\.
(i)
Y должен присутствовать во всех столбцах матрицы зашифрования совершенного шифра.
Теорема 1. (достаточные условия совершенного шифра [4]) Пусть для шифра Ев выполнены следующие условия:
(i) \K(x,y)\ = I для любы,х x Е X, y Е Y;
(ii) распределение вероятностей PK является равномерным.
Тогда шифр Ев является совершенным, причем распределение вероятностей PY бу-
|K| = |Y|
Ев
выполнены равенства \X\ = \K\ = \Y\. Шифр Ев является совершенным тогда и только тогда, когда выполнены следующие условия:
(i) \K(x,y)\ = I для любы,х x Е X, y Е Y;
(ii) распределение вероятностей PK является равномерным,.
Наряду с теоремой Шеннона приведем еще один критерий совершенных шифров в классе шифров с равномерным распределением вероятностей на множестве ключей K.
Теорема 2. [5] Шифр £в с равномерным распределением вероятностей PK является совершенным тогда и только тогда, когда выполнены следующие условия:
(i) для любы,х x Е X, y Е Y найдется такой ключ k Е K, что Ek (x) = y;
(ii) для любы,х xi,x2 Е X, y Е Y выполнено равенство \K(xi,y)\ = \K(x2,y)\.
Следствие 2. Пусть для шифра £в выполнено равен ство \Y \ = \K \ и распределение вероятностей PK является равномерным. Шифр £в является совершенным тогда и только тогда, когда, \K(x,y)\ = I для любы,х x Е X, y Е Y.
Данное следствие утверждает, что если \Y\ = \K\ и PK равномерно, то совершенность шифра £в эквивалентно тому, что матрица зашифрования шифра £в является латинским прямоугольником.
Рассмотрим следующую задачу: по заданному множеству открытых текстов X0 и множеству ключей K0 с распределением вероятностей PKo (независимо от PXa) однозначно определить, существует ли шифр £в = (X0, K0, Y,E,D, PXo, PKo), являющийся совершенным. Таким образом, по заданным X0, K0, PKo требуется определить, Y E D £в
Теорема 3. [6] Для заданных X, \X\ = n, K, \K\ = m, PK существует совершенный шифр £в = (X, K,Y, E, D, Px, PK) тогда и только тогда, когда, найдется такое натуральное число s и n разбиений множества K
1 < i < j < s,
1 < i<j < s, (1)
1 < i < j < s,
для, которых выполнены следующие условия:
1) Kit П Kjt = 0 1 < i < j < n,t = 1,..,s;
2) для любых 1 < i < j < n, t = 1, ...,s выполнено равенство
E PK(k) = E PK(k).
k&Kit k&Kjt
s
условия 1 и 2 данной теоремы. Тогда матрицу зашифрования A для (совершенного) шифра £в можно построить следующим образом. Пусть Y = {yi, ...,ys} — некоторое множество шифрованных s
вим матрицу зашифрования размера \K \ х \X \, где строки пронумерованы элемен-
KX ^^м столбце (i = 1,..., \X\) данной матрицы в строках, пронумерованных элементами множества Kj ставится элемент yj, j = 1,..., s.
Следствие 3. Пусть для, заданных X K, PK существует совершенный шифр. Тогда для, любого множества открытых текстов XX, \X\ < \X\, и для, заданных K,
PK
K = Kii и Ki2 и ... и Kis, Kii П Kij = 0, K = K2i и K22 и ... и K2s, K2i П K2j = 0,
K = Kni и Kn2 и ... и Kns, Km П K,
nj
0
Пример 1. Пусть X = {х1,х2} К = {к1,к2,к3,к4}, и распределение вероятностей на множестве К имеет вид
K ki k2 h k4
Pk 1/8 1/4 3/8 1/4
К
К = {кьк2}и{к3 }и{к4],
К = {ка}и{к1,к4 }и{к2},
где {к1 ,к2} П {к3} = {к3} П {к1}к4} = {к4} П {к2} = 0. При этом будут выполнены равенства
Рк (к1) + Рк к) = Рк (кз), Рк (кз) = Рк (к1) + Рк к), Рк к) = Рк к).
По теореме 3 для данных X, К, Рк можно построить совершенный шифр. Пусть У = {у1,у2,у3}- Составим матрицу зашифрования следующим образом:
K\X xi X2
ki yi y2
k2 yi Уз
ks У2 yi
k4 Уз y2
Тогда полученный шифр будет являться совершенным.
Предложение 4. [6] Для заданных X и Y можно построить совершенный шифр Ев тогда и только тогда, когда, \X| < \Y|.
2. Построение (k\у)-совершенных шифров
Приведем некоторые свойства (k\y) ■совершенных шис|)ров. Предложение 5. Пусть шифр Ев является, (k\y)-совершенным. Тогда \X\ = \Y\.
(k|y) "Совершенного шифра [7]) Пусть для шифра
Ев выполнены следующие условия:
(i) \X\ = \Y\;
(ii) распределение вероятностей PX является, равномерным.
Тогда шифр Ев является, (k\y)-совершенным, причем, распределение вероятностей PY будет являться, равномерным.
Теорема 5. [7] Пусть для, шифра Ев выполнены равенства \X\ = \Y\ = \K\. Шифр Ев является, одновременно совершенным и (k\y)-совершенным тогда и только тогда, когда, выполнены, следующие условия:
(i) \K(x,y)\ = I для любы,х x Е X и y Е Y;
(ii) распределение вероятностей PK является, равномерным,;
(iii) распределение вероятностей PX является, равномерным,.
Предложение 6. Пусть шифр £в является одновременно совершенным и (к\у)-совершенным. Тогда для шифра £в выполнены следующие условия:
1) для любы,х х Е X и у Е У найдется такой ключ к Е К, что Ек(х) = у;
2) \Х\ = \У\ < \К\;
3) распределение вероятностей Рх равномерно;
4) распределение вероятностей Ру равномерно.
Доказательство. Условия 1 и 2 следуют из предложений 3 и 5.
уЕ
Уу
зашифрования шифра £в. Пронумеруем эле менты м ножеств К = [к\,...,кт}/ X = {х1,хп}, п < ш, таким образом, чтобы выполнялось равенство Ек. (хг) = у, г = 1,п. Тогда
Рх х) = Ру\к (у \ кг) = Ру (у), г = 1,...,п.
Поэтому Рх имеет равномерное распределение. При этом в силу произвольности выбора у Е У, имеем Ру(у) = Рх (х) = щ = у • □
Теорема 6. Пусть для шифра £в выполнено равенство \Х\ = \У\, и распределения вероятностей Рх и РК равномерны. Шифр £в является совершенным и (к\у)-совершенным тогда и только тогда, когда выполнены следующие условия: (г) для любы,х х Е X, у Е У найдется такой ключ к Е К, что Ек (х) = у; (гг) для любы,х х\,х2 Е X, у Е У выполнено равен ство \К (х\,у)\ = \К (х2,у)\-
Доказательство. Следует из теорем 2 и 4. □
Предложение 7. Для заданных X У существует (к\у)-совершенный шифр
£в = (X, К, У, Е, Б, Рх,Рк)
тогда и только тогда, когда, выполнено равенство X\ = \У \.
Доказательство. Необходимое условие (к\у) "Совершенного шифра следует из предложения 5.
Достаточность. Пусть X = |х1 ,...,хп} У = [у\, •••,уп}. Понятно, что в этом случае для любого натурального ш > 1 найдутся такие перестановки о^,..., ат Е Бп, для которых выполнены следующие равенства!
Рх (х^{з)) = Рх (х^ (в)), 1 < г <3 < ш, 5 =1, •••,П. (2)
Например, в качестве таких перестановок можно взять тождественные перестановки. Пусть для некоторого фиксированного ш перестановки о1у..., от Е Бп обладают условием (2). Пусть К = [к1} •••, кт} — некоторое множество ключей. Составим матрицу зашифрования размера ш х п, где строки пронумерованы элементами множества К, а столбцы — элементами множества X, следующим образом: на позицию (г, ог(в)) поставим шифртекст ув, г = 1, •••,ш, в = 1, •••, п. Пусть 1 < г < 3 < ш, 1 < в < п. Так как X (кг, у в) = [ха1(з)}, ТО
Ру\к (ув\кг) = Рх (х^(в)) = Рх (ха, (в)) = Ру\к (ув\к )• Поэтому из предложения 2 следует, что шифр £в является (к\у)-совершенным. □
Рассмотрим следующую задачу (с учетом предложения 6): по заданному множеству шифрованных текстов Y0, множеству открытых текстов X0 с равномерным распределением вероятностей Px0, множеству ключей K0 с распределением вероятностей Рк0 однозначно определить, существует ли шифр EB = (X0, K0,Y0,E,D,Px0, Рк0), являющийся одновременно совершенным и (^(у)-совершенным.
Теорема 7. Для, заданных Y = [y\, ...,yn}, X = {x\,..,xn} с равномерным распределением Px, K с распределением вероятностей Рк существует одновременно совершенный и (k\y)-совершенный шифр EB = (X, K, Y, E, D, Px, PK) тогда и только тогда, когда, найдется такая, матрица A = A(K) порядкa, n х и, каждый элемент
K
ющие условия:
1) каждая строка и каждый столбец матрицы A является, разбиением множе-K
2) для любы,х i = 1, ...,n, j = 1,и выполнено равенсmeo J2k&Ajj PK(k) = П■
Доказательство. Достаточность. Пусть выполнены условия 1 и 2 для заданной матрицы A = A(K). Составим матрицу зашифрования размера и х и, где строки
KX следующим образом: в i-м столбце (i = 1,...,n) данной матрицы в строках, пронумерованных элементами множества Ai^ поставим элемент yj, j = 1,...,n. Условие 1 в этом случае гарантирует, что все правила зашифрования полученного шифра являются биективными отображениями. А из условия 2 следует, что для любого t = 1,...,n и любых 1 < i < j < n
Py|x(yt\xi) = £ Pk(k) = 1=Y. Pk(k) = PyI x(ytX).
keAit k&Ajt
Поэтому, учитывая предложение 1 и теорему 4, полученный шифр будет являться совершенным и (k\y)-coBepnieHHbiM.
Необходимость. Пусть для заданных X, Px, Y, K, PK существует совершенный и (k^-совершенный шифр T,B. Обозначим для данного шифра
Aij = {k Е K | Ek(xi) = yj}, i = 1,...,n, j = 1,...,
n.
Понятно, что матрица А = А(К) порядка п х щ составленная из элементов Абудет обладать условием 1. При этом Ру\х(У]\х^ = ^кел-- РК(к)- С учетом предложения 1 получаем такие равенства:
n
1 = Е Py\X(yj |Xi) = Е Е Pk(k) = n ■ £ Pk(k).
i=1
Поэтому Е Рк (к) = п - □
к £ Л -Пример 2. Пусть X = {х1)х2)х3}1 распределение вероятностей Рх равномерно, Y = {у1,у2,уз}, К = {к\, к2, к3, к4, к5}, и распределение вероятностей на множестве К имеет вид _
K ki k2 ks k4 k5
Pk 1/15 4/15 1/9 2/9 1/3
В этом случае матрицу А из теоремы 7 можно построить следующим образом:
[ki,k2 } го ¿¡k ih}
[h,h } ih} iki,k2}
ih} iki,k2} k ik
Составим матрицу зашифрования следующим образом:
K\X xi X2 X3
ki Vi V3 V2
k2 Vi V3 V2
h V2 Vi V3
k4 V2 Vi V3
k5 V3 V2 Vi
Тогда полученный шифр будет являться совершенным и (k ^-совершенным.
3. Совершенные шифры замены с неограниченным ключом
Определенная вероятностная модель шифра позволяет рассматривать в качестве множества открытых текстов X лишь последовательности в некотором конечном алфавите A, длины которых ограничены некоторой заранее определенной константой. В работе [2] приводятся модели шифров замены с ограниченным и неограниченным ключом, для которых, в частности, на множество X такое ограничение не накладывается. Пусть EH — шифр замены с неограниченным ключом (подробнее см. [4]).
Говорят, что шифр EH является совершенным тогда и только тогда, когда для любого натурального l шифр является совершенным.
Предложение 8. Для, шифра следующие условия эквивалентны,:
(i) для, любо го l Е N и любых и Е U (l\ v Е Vвыполнено равенство Pu(1)\V(I) (ü\v) = Pu(I) (и);
(ii) для любо го l Е N и любых и Е U (l\ v Е V ^ выполнено равенство Pv (i)\u (i) (v\u) = Pv (i) (v);
(iii) для, любо го l Е N и любых щ,й2 Е U (l\ v Е Vвыполнено равенство Pv(i)\u(i) (v\Ui) = Pv(i)\ui (vU).
Предложение 9. Пусть шифр замены, с неограниченным ключом является, совершенным. Тогда для, данного шифра будут выполнены, следующие свойства:
(i) для, любого натурального числа l и любых и Е U(l\ v Е Vнайдется такой ключевой поток j Е Nj,; что Е^(й) = v;
(ii) l
\U(l)\ < \V(l)\ < \Nlr\ = rl.
Теорема 8. (достаточные условия совершенности шифра T.H [4]) Пусть шифр замены Yjh обладает следующим,и условиями:
(i) правила, зашифрования, E1} E2,..., Er шифра обладают тем, свойством, что для любых и Е U, v Е V найдется, и притом единственный, элемент j = j(u,v) Е Nr; такой что Ej(и) = v;
(гг) распределение вероятностей Рцг является равномерным. Тогда шифр является совершенным, причем, для, любого I Е N выполнено равенство \у = г1, и распределение вероятностей Ру(о будет являться, равномерным,.
Теорема 9. Пусть для, шифра выполнены равенства, \и\ = N\ = \У\- Шифр является, совершенным тогда и только тогда, когда, выполнены, следующие условия: (г) правила, зашифрования, Е\, Е2,..., Ег шифра обладают тем, свойством, что для любых и Е и, V Е У найдется, и притом единственный, элемент ] = ](и,ь) Е такой ч,то Е^(и) = V;
(гг) вероятностей Рцг является, равномерным.
Доказательство. Следует из теоремы Шеннона и теоремы 8. □
Пусть для шифра выполнены равенства \и\ = N\ = \У\, и распределение вероятностей Рмг является равномерным. Тогда из теоремы 9 следует, что шифр является совершенным тогда и только тогда, когда матрица зашифрования опорного шифра для
Nr\U ul ur
1 Ei(ui) Ei(ur)
r Er (ui) Er (ur)
является латинским квадратом (подробнее о латинских квадратах см. [8]). Поэтому шифры табличного и модульного гаммирования с равновероятной гаммой являются совершенными.
Рассмотрим еще один критерий совершенных шифров замены с неограниченным ключом в классе шифров с равномерным распределением вероятностей на множестве Nr.
Теорема 10. [5] Шифр с равномерным, распределеним вероятностей PNr является, совершенным тогда и только тогда, когда, выполнены, следующие условия:
(i) для любы,х u Е U и v Е V найдется такое j Е Nr; что Ej (u) = v;
(ii) для любы,х u\,u2 Е U, v Е V выполнено равенство \Nr(ul,v)\ = \Nr(u2,v)\.
Следствие 4. Пусть для, шифра выполнено равен ство \V \ = |Nr \, и распределение вероятностей PNr является, равномерным,. Шифр является, совершенным тогда и только тогда, когда, \Nr(u,v)\ = I для любы,х u Е U и v Е V.
Рассмотрим задачу построения совершенного шифра EH по заданному множеству шифрвеличин U и множеству Nr с распределением вероятностей PNr.
Теорема 11. [6] Для заданных U, \U\ = n, N0 PNr существует совершенный шифр тогда и только тогда, когда, найдется такое на,туральное число sun разбиений множества Nr
Nr = K11 и K12 и ... и Kis, Kli n Kij = 0, 1 < i<j < s, Nr = K21 U K22 U ... U K2s, K2i П K2j = 0, 1 < i<j < s,
(3)
Nr = Kni U Kn2 U ... U Kn
Kni n Knj
0,
1 < i < j < s,
для которых выполнены следующие условия:
1) Kit П Kjt = 0, 1 < i<j < n,t = 1,...,s;
2) для любых 1 < i < j < n, t = 1,..., s выполнено равенство
E PNr (k)= E PNr (k).
k&Kit k&Kjt
Следствие 5. Пусть для заданных U, Nr; PNr существует совершенный шифр. Тогда для любого множества шифрвеличин U, \U\ < \U\, и для заданных Nr; PNr существует совершенный шифр ЕН■
4. (k\ у)-совершенные шифры Ен
Далее везде предполагается, что для любого натурального l выполнены равенства U= Ul; V(l) = Vl.
Определим условные вероятности PVl\Nir(v\j) и PNir\vi(j\v):
p p p PNr (j) • PVl\Nlr (v\j)
PVl\Nlr (v\j)= PUl (u)' PNlr\Vl (j\v) = -FVMVi)-'
u£U l(j,v)
где Ul(j,v) = {u e Ul \ Ej(u) = v}.
Говорят, что шифр ЕН является (k\y) -совершенным, если для любого натурального l шифр Е1Н является (^у)-совершенным.
Предложение 10. Для шифра ЕН следующие условия эквивалентны,:
(i) для любого l e N и любых j e v e V1 выполнено равенство PNir\Vl (j\v) =
pNr (j);
(ii) для любого l e N и любых j e N^ v e V1 выполнено равенство PVl\Nl (v\j) = Pv i (v); _ Г
(iii) для любого l e N и любых jl,j2 e N^ v e V1 выполнено равенство
PV l\Nlr (v\ji) = PV l\Nlr (v\j2)-
Теорема 12. Пусть для, шифра ЕН выполнены следующие условия:
(i) \U\ = \V\;
(ii) для любо го l e N распределение вероятностей PU i является, равномерным. Тогда шифр ЕН является, (k\y)-совершенным.
Доказательство. Зафиксируем l e N Пусть jl...jl e N^, vl...vl e V1. Тогда найдется, и притом единственный, открытый текст ul...ul e Ul, такой что Ej1...jl(ul...ul) = vl...vl. Поэтому
PVl\Nlr (vl...vl\jl...jl) = PUl (ul...ul) = Щ = Vp. Поэтому для любых jl,j2 e N;., vl,v2 e V выполнены равенства
PVl\Nlr (vl\jl) = Vl = PVl \Nlr (v2 \j2).
Таким образом, из предложения 10 следует, что шифр Е1Н является (к\у)-
совершенным. □
Предложение 11. Для заданных и, У существует (к\у)-совершенный шифр Ен с распределением вероятностей Риь(щ.-.щ) = П1=1 Ри(и), щ.-.щ Е и1, I Е N тогда и только тогда, когда, \и\ = \У\.
Доказательство. Достаточность. Пусть для произвольного фиксированного т > 1 найдутся такие перестановки о^,..., от Е Бп, где п = \и\ = \У\, для которых выпол-йены условия
Ри(иа1{з)) = Ри(и^(з)), 1 < г<] < т, в = 1,...,п.
Составим матрицу зашифрования размера т х п для опорного шифра следующим образом: на позицию (г, (в)) поставпм vs, г = 1, ...,т, в = 1,п. Так как Мт(г, vs) = {и^)}, то для любого / Е N и любых Vi1 ..Лц Е У1, а1 ...щ Е Мт, Ь1...Ьг Е Мт выполнены равенства
PyiI NlmК ...щ\ai...a¡) = Pul{uaai)...uaa[= Д Ри(uaat{k)) = i t=1 = П PU (u*bt (it)) = Ри l (u*bl (ii)-u°h (il)) = PV11 Nm (vii-Vil\bl---bl)■
t=l
Таким образом, из предложения 10 следует, что шифр ElH является (k\y)-совершенным. Необходимое условие следует из предложения 7. □
Теорема 13. Для, заданных V = {v\, ...,vn}, U = [щ, ...,un} с равномерным, распределением, Pv i для любо го l £ N, Nr с распределением, вероятностей Рцг существует одновременно совершенный и (k\y)-совершенный шифр EH тогда и только тогда, когда, найдется такая, матрица A = A(Nr) порядка n х n, каждый элемент которой является, непустым подмножеством в Nr; для, которой выполнены следующие условия:
1) каждая строка и каждый столбец матрицы A является, разбиением множества Nr на, непересекающиеся подмножества;
2) для любы,х i = 1, ...,n, j = 1, ...,n выполнено равенсmeo PNr(k) = П■
Доказательство. Необходимое условие следует из теоремы 7. Достаточность. Со-
V
ра Е так же, как и в теореме 7. Зафиксируем некото рое натуральное l. Пусть а = a\...a¡ £ Ul, b = b\...bi £ Ul, v = v\...v¡ £ V1. Тогда
i i Pvi | и i (v\a) = Д Ру | и (vi\ai) = Д Pv \ и (vi\bi) = Pv i \ vi (v\b),
i=1 i=1
где второе равенство следует из теоремы 7. Поэтому из предложения 8 и теоремы 12 следует, что шифр ElH является совершенным и (к\у)-совершенным. □
5. Совершенные имитостойкие шифры
Вернемся к вероятностной модели шифра Рассмотрим вероятностное пространство (П = K,Fk,Pk)■ Зафиксируем y Е Y. Обозначим через K(у) следующее множество: K(у) = {k Е K \ у Е Ek(X)}. Под обозначением K(у) будем также понимать событие (K(у) Е FK), заключающееся в том, что при случайном выборе ключа
k Е K шифрованный текст y можно расшифровать на ключе k, то есть y Е Ek (X). Тогда событию K(y) будут благоприятствовать все элементы из множества K(y), и только они. Поэтому P(K(y)) = к&к(у) PK(k)■ Если канал связи готов к работе, и на приеме установлены действующие ключи, но в данный момент времени никакого сообщения не передается, то в этом случае противником может быть предпринята попытка имитации сообщения. Тогда вероятность успеха имитации определяется следующим образом:
Pim = max P(K(y)).
y&Y
Если же в данный момент передается некоторое сообщение y Е Y (которое получено из открытого текста x Е X на ключе k Е K), то противник может заменить его на X Е Y, отличный от y. При этом он будет рассчитывать на то, что на действующем ключе k криптограмма X будет воспринята как некий осмысленный открытый текст X, отличный от x. Пусть "K(y) | K(y)" — событие, заключающееся в попытке подмены сообщения y сообщением X- Применяя теорему о произведении вероятностей, получаем, что
p(KX | KШ = ^ ^ = ,
P (K (y)) l^k&K(y) PK (k)
где K(y, y) = K(y) П K(y). Тогда вероятность успеха подмены сообщения будет вычисляться по следующей формуле:
Ppodm = max P(K(y) | K(y)).
y,yeY y=y
Теорема 14. [2] Для любого шифра справедливы, неравенства
P. >X P >IX I- 1
Pim ^ iY i , P podm ^ iy i — i ■
При этом Pim = IXI/\YI тогда, и только тогда, когда, для, любого y Е Y выполнено равенство P(K(y)) = IXI/\YI. Также Ppodm = (IXI — 1)/(\YI — 1) тогда и только тогда, когда, для, любых y,y Е Y, y = y, выполнено равенство P(K(yX) I K(y)) = (IX I — 1)/(IY I — 1).
Далее везде предполагается, что для любого натурального l выполнены равенства U^ = Ul, V= V1. Для шифра замены с неограниченным ключом обозначим через Plm вероятность имитации сообщения для шифра ElH, а терез Plpodm(s) — вероятность подмены в сообщении длины l ровно s символов для шифра ElH, где s < l Из теоремы 14 следует, что если для некоторого шифра T.H выполнено равенство IUI = IVI, то Plm = Pp,odm(s) = 1 для любого натурального l и любого s < l, то есть такие шифры максимально уязвимы к угрозам имитации и подмены сообщения. Приведем некоторые конструкции шифра замены с неограниченным ключом, в котором одновременно обеспечивается стойкость и имитостойкость. При этом матрица зашифрования строится только для опорного шифра, поэтому ее размерность не зависит от длины открытого текста.
Предложение 12. [4] Пусть А = А(п + 1,п) — некоторая матрица над множеством, шифробозначений У = ..,лп+1}, которая, является, латинским прямо-
А
шифра замены, с неограниченным ключом ЕН. Пусть также случайный генератор ключевых последовательностей фс из конструкции шифра ЕН имеет равномерное распределение. Тогда для, любого натурального I шифр Е1Н является, совершенным, и выполнены, следующие равенства:
Р1 = У Р1 (л = (п-1 V
гт уп +1У рсЯтК ' V п ) '
Пусть Бп — симметрическая группа степени п, Т Е Бп — циклическая перестановка на ] позиций влево. Обозначим через А^ = А^ (п, 2) матрицу размера п х 2 над множеством Мп, имеющую такой вид:
А--( 1 2 - п \ j — 1 п- 1 Aj V (1) (2) ■■■ (п) ) ' 3 -1,-,п 1-
Из матриц A-, j — 1'...'П — 1, составим мат рицу M — M (п2 — п, 2) размера (п2 — п) х 2 путем последовательной графической записи матриц Ai,..., An-i одной под другой.
Предложение 13. [4] Пусть M — M(п2 — п, 2) — матрица над множеством V — {v-\_' ...'Vn}, построенная вы,ш,е, r — п2 — п, \U\ — 2 и пусть матрица M является, матрицей зашифрования для опорного шифра замены, с неограниченным ключом Ен. Пусть также случайный генератор ключевых последовательностей гфс из конструкции шифра Ен имеет равномерное распределение. Тогда для, любо го натурального l шифр Е1н является, совершенным, и выполнены следующие равенства:
р! — (2\ Р> Ы) —
im I i > podm\°) I
\п J \п— 1 J
Заметим, что в предложениях 12 и 13 P¡m ^ 0 при l ^ ж, Pp,odm(s) ^ 0 при s ^ ж.
Построим также совершенный имитостойкий шифр на базе ортогональных таблиц. Пусть для чисел s и п, 1 < п < s, существует ортогональная таблица OA(s^) над множеством V — {v^ ...'vs}, в которой i-я строка содержит только элемент vi, i — 1'...' s. Из сказанного выше следует, что если, например, s является степенью простого числа, то OA(s^) существует для любого п — 2'...'s — 1. Вычеркнем из таблицы OA(s' п) первые s строк и обозначим полученную таблицу через A(s^). Понятно, A(s' п) (s2 — s) х п
s—1
мента Vi, i — 1'.. s.
Предложение 14. [3] Пусть для, шифра Ен выполнены следующие условия:
(i) \U\ — п, \V\ — s, 1 < п < s, r — s2 — s;
(ii) A(s' п)
(iii) вероятностей Рщг является, равномерным.
Тогда шифр ЕН является совершенным, и для любого I выполнены следующие равенства:
Pl = (n)l Pl (t)=( n-1\t
im \ g J } podm\°/ \ g 1 /
то есть Plm ^ 0 при l ^ ж, Pp0dm(t) ^ 0 при t ^ ж.
ЕН
pa из теоремы 11) выполнены равенства (3) и условия 1 и2 теоремы 11. Тогда
\ l
Pm — n • max
n • maXsY. PNr(k))
\ ~ ~ k€Ku /
(1 YtkGKiHKj PNr (k) V
ln • mp PNr (k)
I п - ¿:кеКи (к)
где
п
Кг — У К)г, г — 1, ..., в. 3=1
Доказательство. Пусть V — 1 < г < в. Тогда из условий 1 и 2 теоремы
11 следуют такие равенства:
E PNr (k) = n • ( E PNr (k)j
iiU...uK„i \keKii /
P(N(vi)) = PNr (k) = n • ( > v PNr (k)
k£K1iU...L
поэтому
Pim — n • max y^ PNr (k).
l<i<s
k&Kii
Далее, пусть 1 < i,j < s, i = j. Тогда
P(N(j) \ Nr(v,)) — ^ ^
l^kK PNr (k) n • (£k€Ku PNr (k))
поэтому
= 1 Y^keKinKj PNr(k)
Ppodm — • max „ ,. s .
n ij Ek^Ku PNr(k)
□
Предложение 16. Пусть для шифра ЕН выполнены равенства (3) и условия 1 и 2 теоремы 11. Для шифра ЕН достигаются нижние границы для вероятностей имитации и подмены
г
Pl = n l Pl (t)—( —
im \ g ) } podm\°/ \ g 1
где п — \и\, в — V\, тогда и только тогда, когда для любых 1 < г < ] < в выполнены следующие равенства:
ЕР-(к)— в- £ *(к) — 'ЩП-Ц■
к€Ки к€КгПК у '
Доказательство. Следует из теоремы 14 и предложения 15. □
Заметим, что совершенные имитостойкие шифры можно строить не только для случая, когда РМг равномерно.
Пусть ЕН — некоторый шифр замены с неограниченным ключом с опорным шифром Е = (и, N,У,Е,Б), \и\ = п, \У\ = в, распределением вероятностей РМг для случайного генератора фс и матрицей зашифрования А размера г х п над множеством У для опорного шифра Е. При этом строки матрицы А пронумерованы элементами множества а столбцы — элементами множества и. Пусть также для некоторого Р > г имеется случайный генератор фс с распределением вероятностей и условием, что найдется такое разбиение множества N на г непустых непересекающиеся подмножеств
= К1 и К2 и ... и Кг, (4)
для которого выполнены равенства
Р1Ч:?(Кг)=^2 Ръф) = Рыг(з), г = 1,...,г. (5)
кек1
Построим шифр замены с неограниченным ключом рН со случайным генератором ■фс и опорным шифром р = (и, Му, У, Е, Б) со значениями и и У, как в опорном шифре Е. Для этого необходимо определить множество прав и л зашифрования Е и множество правил расшифрования Б. Е и Б определим с помощью матрицы зашифрования В размера Р х п над множеством У, в которой строки пронумерованы элементами множества Му, а столбцы — элементами множества и, следующим образом: з'-ю строку матрицы А продублируем \К^\ раз, 3 = 1, ...,г, и из всех полученных
В
Предложение 17. [3] Если один из шифров ЕН или рН является совершенным, то другой также будет являться, совершенным. Более того, вероятности успехов имитации и успехов подмены данных шифров соответственно равны,.
Пусть
N = К1 и К2 и... и К8 (6)
— разбиение множества на непустые непересекающиеся подмножества с условием, что
Рмг(Кг)= X] Рмг(к) = ~8, г = 1,..,в. (7)
кек1
Пусть и = {щ, ...,ип}, А — матрица размера в х п, 1 < п < в, над множеством У = {V],, ...,л3} вида
Vi V2 Vn
V2 V3 Vn+1
Vs Vi Vn-1
в которой каждый следующий столбец является циклическим сдвигом на одну позицию предыдущего столбца. Понятно, что данная матрица является латинским прямоугольником. Как и перед предложением 17, на основе матрицы A построим матрицу зашифрования B размера r х n над множеством V для опорного шифра Е.
Предложение 18. [3] Полученный шифр будет являться совершенным, причем будут выполнены следующие равенства:
(п \1 I / п — 1 \ *
, Рро4т(^) = ( •
Пример 3. Пусть и = {41,42} V = ,у3}, N5 = {1, 2, 3, 4, 5}, и распределение
вероятностей на множестве Щ5 имеет вид
N5 1 2 3 4 5
1/15) 4/15) 1/12 1/4 1/33
В этом случае существует разбиение вида (6) с условием (7):
К = {1, 2}, К2 = {3,4}, К3 = {5},
Рщ (Кг) = Рщ (К) = Рщ (Кз) = 1 • Сн&ЧЭЛс! составим матрицу А
щ\и 4г 42
1 VI У2
2 У2
3 У3 VI
которая является латинским прямоугольником, а на ее основе составим матрицу В
щ\и 4г 42
1 VI V2
2 VI V2
3 V2 V3
4 V2 V3
5 V3 VI
По предложению 18 для данных
и V, N5, РщБ и матрицы зашифрования В для опорного шифра полученный шифр будет являться совершенным, причем
р1 =( ^1 Р1 М =( ^ *
гт 1 з I 1 ройт\и) \ 2 )
Пусть теперь
N = Кг и К2 и ••• и К32-3 (8)
разбиение множества N с условием, что
Рщ(Кг)= Е Рщ(к) = , г = 1,-,82 — в• (9)
кек1
Пусть Т3 — циклическая перестановка на ] позиций влево в-го множества. Обозначим через Л^ = Л^(в, 2) матрицу размера в х 2 над миожеством V = • ••, имеющую такой вид:
Из матриц Л] = 1, ••., в — 1, составим мат рицу Л размер а (в2 — в) х 2 путем последовательной графической записи матриц Лг,..., Лп-г одной под другой. Теперь на основе матрицы Л построим матрицу зашифрования В размера г х 2 для опорного шифра указанным выше способом.
Предложение 19. [3] Полученный шифр будет являться совершенным, причем, будут выполнены, следующие равенства:
Вернемся к ортогональным таблицам. Пусть имеется разбиение (8) с условием (9). Пусть также для чисел в и п существует ортогональная таблица ОЛ(в,п) над множеством V = •••^3} 1 < п < в. Построим из данной таблицы (как и до
Л (в2 — в) х п Л
ранее, построим матрицу зашифрования В размера г х 2 для опорного шифра.
Предложение 20. [3] Полученный шифр будет являться, совершенным, причем, будут выполнены, следующие равенства:
Литература
1. Основы криптографии / А.П. Алферов, А.Ю. Зубов, A.C. Кузьмин, A.B. Черемушкин. - М.: Гелиос АРВ, 2005.
2. Зубов, А.Ю. Криптографические методы защиты информации. Совершенные шифры / А.Ю. Зубов. - М.: Гелиос АРВ, 2005.
3. Рацеев, С.М. О совершенных шифрах на основе ортогональных таблиц / С.М. Рацеев, О.И. Череватенко // Вестник ЮУрГУ. Серия «Математическое моделирование и программирование». - 2014. Т. 7, № 2. - С. 66-73.
4. Рацеев, С.М. О совершенных имитостойких шифрах / С.М. Рацеев // Прикладная дискретная математика. - 2012. - Т. 17, № 3. - С. 41-47.
5. Рацеев, С.М. О совершенных имитостойких шифрах замены с неограниченным ключом / С.М. Рацеев // Вестник Самарского государственного университета. Естественнонаучная серия. - 2013. - Т. 110, № 9/1. - С. 42-48.
6. Рацеев, С.М. О построении совершенных шифров / С.М. Рацеев // Вестник Самарского государственного технического университета. Серия Физ.-мат. науки. - 2014. - Т. 34, № 1. - С. 192-199.
7. Рацеев, С.М. О теоретически стойких шифрах / С.М. Рацеев // Системы и средства информатики. - 2014. - Т. 24, № 1. - С. 61-72.
8. Холл, М. Комбинаторика: пер. с англ. / М. Холл. — М.: Мир, 1970.
Сергей Михайлович Рацеев, кандидат физико-математических наук, доцент, кафедра «Информационная безопасность и теория управления>, Ульяновский государ-ствбнныи университет (г. Ульяновск, Российская Федерация), [email protected].
Поступила в редакцию 18 сентября 2014 г.
MSC 68P25, 94A60 DOI: 10.14529/mmp 150109
Some Generalizations of Shannon's Theory of Perfect Ciphers
S.M. Ratseev, Ulyanovsk State University, Ulyanovsk, Russian Federation,
K. Shannon in the 1940s introduced the concept of a perfect cipher, which provides the best protection of plaintexts. Perfect secrecy means that a cryptanalyst can obtain no information about the plaintext by observing the ciphertext. It is well known that the Vernam cipher with equiprobable gamma is a perfect cipher but it is not imitation resistant because it uses equipotent alphabets for plaintexts and ciphertexts. Also in this cipher should be used equiprobable key sequences that are not always reached. In this review paper discusses the problems of constructing perfect and (k\y)-perfect ciphers for a given set of parameters. We give necessary and sufficient conditions for these ciphers. We construct perfect and (k\y)-perfect substitution ciphers with unlimited key and imitation resistant perfect ciphers. We study the case when the random generator of key sequences does not necessarily have a uniform probability distribution.
Keywords: cipher; perfect cipher; imitation of message.
References
1. Alferov A.P., Zubov A.Yu.. Kuz'min A.S., Cheremushkin A.V. Osnovy kriptografii [Foundations of Cryptography]. Moscow, Gelios ARV, 2005. 480 p.
2. Zubov A.Yu. Kriptograficheskie metody zashhity informacii. Sovershennye shifry [Cryptographic Methods of Information Security. Perfect ciphers]. Moscow, Gelios ARV, 2005. 192 p.
3. Ratseev S.M., Cherevatenko O.I. [On Perfect Ciphers Based on Orthogonal Tables]. Bulletin of the South Ural State University. Series: Mathematical Modelling, Programming & Computer Software, 2014, vol. 7, issue 2, pp. 66-73. (in Russian)
4. Ratseev S.M. [On Perfect Imitation Resistant Ciphers]. Prikladnaya Diskretnaya Matematika [Applied Discrete Mathematics], 2012, vol. 17, issue 3, pp. 41-47. (in Russian)
5. Ratseev S.M. [On Perfect Imitation Resistant Ciphers with Unbounded Key]. Vestnik Samarskogo Gosudarstvennogo Universiteta [Vestnik Samara Proposition University], 2013, vol. 110, issue 9/1, pp. 45-50. (in Russian)
6. Ratseev S.M. [On Construction of Perfect Ciphers]. Vestn. Samar. Cos. Tekhn. Univ. Ser. Fiz.-Mat. Nauki [Journal of Samara State Technical University. Ser. Physical and Mathematical Sciences], 2014, vol. 34, issue 1, pp. 192-199. (in Russian)
7. Ratseev S.M. [On Theoretically Perfect Ciphers ]. Sistemy i sredstva informatiki [ Systems and Means of Informatics], 2014, vol. 24, issue 1, pp. 61-72. (in Russian)
8. Holl M. Combinatorics. Waltham (Massachusetts), Blaisdell Publishing, 1967. 310 p.
Received September 18, 2014