CC BY
10
крипт
УДК 519.7 Б01 10.17223/2226308Х/12/26
О КРИПТОАНАЛИТИЧЕСКОЙ ОБРАТИМОСТИ С КОНЕЧНОЙ ЗАДЕРЖКОЙ КОНЕЧНЫХ АВТОМАТОВ
Г. П. Агибалов
Рассматривается свойство обратимости с конечной задержкой конечных автоматов с позиции криптоаналитика, а именно в зависимости от априорной информации, доступной алгоритму обращения. В криптоанализе, например симметричных конечно-автоматных шифров атакой с известным шифртекстом, типична ситуация, когда задачу обращения автомата приходится решать частично осведомлённому криптоаналитику. В зависимости от этой осведомлённости можно определить 208 различных типов обратимости и обратимых автоматов, изучить их свойства и установить соотношения между ними. Общеизвестные понятия сильной и слабой обратимости автоматов — это только два из этих типов. Целью настоящего доклада является обсуждение понятия криптоаналитической обратимости автоматов. Назван ряд математических задач (от характеризации автоматов, крипто-аналитически обратимых разного типа, до создания на их основе криптосистем с открытым и закрытым ключом и их криптоанализа), которые представляют собой интересный предмет для дальнейших исследований и публикаций.
Ключевые слова: конечные автоматы, автоматы без потери информации, обратимость автоматов, криптоаналитическая обратимость.
Предлагаемые вниманию тезисы доклада являются расширенным рефератом работы автора [1], содержащей определение обратимости с конечной задержкой конечных автоматов с криптоаналитической точки зрения, по которой обращение автоматного преобразования осуществляется с целью восстановления входного слова автомата по его выходной последовательности при наличии некоторой частичной информации об этом преобразовании. Разные типы этой информации определяют разные типы и классы криптоаналитической обратимости автоматов и порождают многочисленные теоретико-автоматные и криптографические задачи, требующие математического решения. Обширный список этих задач включает в себя такие задачи, как, например, установление необходимых и достаточных условий автоматной обратимости каждого типа, построение конструктивных тестов принадлежности автоматов конкретным классам обратимости, алгоритмический синтез автоматов в заданных классах обратимости, характеризация обратимых автоматов, допускающих обратные автоматы, алгоритмический синтез обратных автоматов каждого типа, разработка эффективных алгоритмов восстановления входных последовательностей обратимых автоматов в конкретных классах обратимости, создание криптосистем с закрытым и открытым ключами на базе обратимых автоматов определённых классов обратимости, алгоритмический криптоанализ таких криптосистем с оценками его вычислительной сложности.
Произвольный конечный автомат представляется как А = где X,
Q и У суть его входной алфавит, множество состояний и выходной алфавит соответственно; ф и ( — его функции соответственно переходов и выходов, ф : X х Q ^ Q и ( : X х Q ^ У. Последние, будучи определёнными для пар хд € X х Q, распространяются на пары ад € X* хQ индукцией по длине |а| слова а € X*, а именно определяются функции ф : X * х Q ^ Q и (р : X * х Q ^ У * как ф(Л,д) = q, ф(ав,д) = ф(в,ф(а,д)),
Математические методы криптографии
85
ф(Л,д) = Л, ф(х,д) = р(х,д) и (р(ав,д) = (р(а,д)(р(в,ф(а,д)). Символ Л здесь обозначает пустое слово в любом алфавите.
Таким образом, ф(а,д) —это состояние, в которое автомат А переходит из состояния д под действием входного слова а, а ф(а, д) —это выходное слово, которое он при этом выдает.
Наконец, всюду далее под т подразумевается произвольное целое неотрицательное число, называемое задержкой, и в отсутствие дополнительных оговорок в записи логических формул предполагается, что а € X, Ь € X, а € X*, в € X*, 5 € Хт, е € Хт, д € <, 8 € <.
Рассмотрим произвольный конечный автомат А = ^^^/ф,^). Пусть д,а,5 — переменные со значениями в *^т, обозначающими соответственно начальное состояние, префикс (начало) и суффикс (окончание) входного слова а5 автомата А, и К = {Уд, У а, У 5, Зд, 35} —множество кванторов общности и существования по этим переменным. Заметим, что в К нет квантора За. Это связано с тем, что для крипто-аналитика префикс а входного слова автомата предполагается неизвестным и не некоторым, но любым. Пусть также в = ф(а,д), Ь = ф(а5,д) и V = {Л,д,в,Ь,5,дв,дЬ,д5, вЬ,в5,15,дв1,дв5,д15,в15,двЬ5}. Символами в и Ь обозначены, как видно, промежуточное и заключительное состояния, в которые автомат А переходит из состояния д под действием входных слов а и а5 соответственно. Элементы множества V предназначены для задания того, что называется здесь порядком обратимости автомата А. Они являются по существу функциями от д, а, 5.
Мы говорим, что автомат А обратим с задержкой т, если существуют кванторы
К2, К3 в К с разными переменными из {д, а, 5}, а также функция f : У * х V ^ X * и элемент у(д,а,5) € V, такие, что истинна формула
Г = К1К2Кз(!(ф(а5, д),и(д, а, 5)) = а);
в этом случае (КгК2К3,у) называется типом обратимости автомата А, КхК2К3 — степенью обратимости, V — порядком обратимости, f — функцией восстановления (входного префикса), т — задержкой восстановления, или обратимости и выражение Зf [Г] — условием обратимости данного типа автомата А. Тип обратимости, в котором все кванторы являются кванторами общности, называется впредь универсальным.
В определении обратимого автомата степень обратимости (К\К2К3) своими кванторами (У, 3) указывает на степень полноты областей используемых (всех или некоторых) значений переменных д, а, 5, а их последовательностью — на зависимость значений одних (последующих) переменных от других (предшествующих). Порядок обратимости в нём содержит дополнительную информацию, известную криптоаналитику априорно. Это может быть и начальное состояние д автомата, и его промежуточное состояние в = ф(а, д), и заключительное состояние Ь = ф(а5, д), и суффикс 5 входного слова.
Степень обратимости (К\К2К3) может принимать тринадцать различных значений, а порядок обратимости V — шестнадцать значений, поэтому количество всех типов обратимости (К1К2К3,ь) с фиксированной задержкой автомата А равно 208. Два из них, а именно (сильная) обратимость и слабая обратимость, хорошо известные и в теории автоматов и в криптографии [2, 3], в нашей теории универсальные и представлены наборами (УдУаУ5, 0) и (УдУаУ5, {д}), обозначающими произвольность (полноту областей) значений переменных д, а, 5, а также отсутствие у криптоанали-тика дополнительной информации и известность ему начального состояния автомата
соответственно. Условия обратимости этих двух типов выглядят следующим образом: 3/VqVaV5(/(р(а5^)) = а) и 3/VqVaV5(/(р(а5, q), q) = a).
Пример ещё одного типа обратимости автомата A содержится в условии
3/Va35Vq(/((p(aS, q),q, ф(а5, q),5) = а).
Это есть условие обратимости степени Va3$Vq и порядка v(q,a,8) = (q,^(aö,q),ö). В нём утверждается возможность восстановления функцией / префикса а входного слова а5 автомата по его выходному слову ф(а5, q) при известных начальном состоянии q, заключительном состоянии t = ф(а5, q) и суффиксе 5 входного слова в предположении, что в автомате для каждого префикса а входного слова суффикс 5 этого слова не любой, но свой, и для этого входного слова а5 начальное состояние q может быть любым.
Каждому типу обратимости с фиксированной задержкой ставится в соответствие класс автоматов, обратимых этого типа. Показано, что граф отношения включения между этими классами представляет собой объединение двадцати девяти решёток, где каждая решётка по определению есть частично упорядоченное множество с точными верхней и нижней гранями для каждой пары его элементов. Доказано, что автомат A обратим типа (VqVaV5, v(q, а, 5)), если и только если
VqVaV5VsVßVe^ = ß ^ (<р(а5^),и^,а,5)) = (p(ße,s),v(s,ß,e)),
и что для любых символов кванторов Qi Е {V, 3}, i Е {1, 2, 3}, если автомат A обратим типа (QiX1Q2X2Q3X3,v(q^,5)), то
QiXiQ2X2Q3X3QiyiQ2y2Q3V3^ = ß ^ (ф(а5, q), и(q, а, 5)) = (<p(ße,s),v(s,ß,e)),
где xi,x2,x3 и yi,y2,y3 — различные переменные из множеств {q^,5} и {s,ß,e} соответственно, такие, что если xi есть q, а или 5, то yi есть s, ß или e соответственно, и если xi = а, то Qi = V.
ЛИТЕРАТУРА
1. Agibalov G. P. Cryptanalytic concept of finite automaton invertibility with finite delay // Прикладная дискретная математика. 2019. №44. С. 34-42.
2. Агибалов Г. П. Конечные автоматы в криптографии // Прикладная дискретная математика. Приложение. 2009. №2. С. 43-73.
3. Tao R. Finite Automata and Application to Cryptography. N.Y.: Springer, 2009. 406 p.
УДК 519.7 DOI 10.17223/2226308X/12/27
О ВЕРОЯТНОСТЯХ РАЗНОСТНЫХ ТРАЕКТОРИЙ SPONGE-ФУНКЦИИ BASH-F
С. В. Агиевич, А. С. Маслов, Ю. С. Ярошеня
Предлагаются два метода оценки снизу весов разностных траекторий sponge-функции Bash-f. Оценки ограничивают сверху вероятности траекторий и могут использоваться при обосновании стойкости основанных на Bash-f криптографических алгоритмов к разностным атакам. Для полных 24-тактовых траекторий лучшая из оценок ограничивает вероятности величиной 2-386.
Ключевые слова: sponge-функция, S-блок, разностный криптоанализ, разностная траектория.
