О понятии е-совершенного шифра Текст научной статьи по специальности «Математика»

2016 Математические методы криптографии №3(33)

УДК 519.7

О ПОНЯТИИ ^-СОВЕРШЕННОГО ШИФРА

А. Ю. Зубов

Московский государственный университет им. М. В. Ломоносова, г. Москва, Россия

Обсуждаются обобщения понятия совершенного шифра. Шифр называется е-со-вершенным, если максимальное значение модуля разности апостериорной и априорной вероятностей открытого текста не превосходит е. Изучаются две конструкции шифров, которые являются е-совершенными для любого множества открытых текстов, частотные характеристики которых удовлетворяют незначительному ограничению. Понятие е-совершенного шифра является одним из возможных приближений к понятию совершенного шифра. Приводятся результаты сравнения изучаемых конструкций шифров по степени близости различных таких приближений, свидетельствующие в пользу понятия е-совершенности и её аналогов.

Ключевые слова: совершенный шифр, е-совершенный шифр. DOI 10.17223/20710410/33/3

ON THE CONCEPT OF A е-PERFECT CIPHER

A. Yu. Zubov

Lomonosov Moscow State University, Moscow, Russia E-mail: Zubovanatoly@yandex.ru

The generalizations of the perfect cipher concept are discussed. A cipher is called е-perfect if the maximum absolute value of the difference between the posterior and prior probabilities of a plaintext does not exceed е. Two constructions of е-perfect ciphers for a multitude of plaintexts with a minor limitation of their frequency characteristics are studied. The notion of е-perfect cipher is one of the possible approximations to the notion of a perfect cipher. For studied constructions of ciphers, it is shown that, in comparison with the other such approximations, е-perfectness and its analogues have much better proximity to perfectness.

Keywords: perfect cipher, е-perfect cipher.

Введение

В [1] введено понятие е-совершенного шифра (который является совершенным шифром при е = 0) и построены примеры таких шифров. Интерес к ним вызван следующими причинами. Основным недостатком совершенного шифра является чрезмерно большое число ключей, что делает такой шифр непрактичным. Замена жёсткого условия е = 0 условием е > 0 для достаточно малого е незначительно понижает стойкость шифра (оставляя его в классе теоретически стойких шифров), но допускает возможность использования небольшого числа ключей, что делает шифр более практичным.

Вместе с тем свойство совершенности шифра не зависит от распределения вероятностей на множестве открытых текстов [2], тогда как примеры е-совершенных шифров

из [1] построены лишь при условии, что открытые тексты выбираются случайно и равновероятно. Это ограничивает область применения таких шифров и делает их, в свою очередь, менее практичными, чем совершенные шифры. В данной работе показано, что на самом деле предложенные в [1] шифры остаются е-совершенными и для любого распределения на множестве открытых текстов, удовлетворяющего некоторому ограничению. При этом параметр е может принимать достаточно малые значения.

Помимо предложенного в [1] определения е-совершенности известны и другие подобные определения. Так, в [3] введены шифры, «близкие» к совершенным, с позиции статистического расстояния между вероятностными распределениями. Интересен вопрос о сопоставлении мер «близости» к совершенным шифрам, а также их адекватности. Такой анализ проводится в данной работе на основе предложенной в [1] конструкции шифра.

1. Определения и конструкции

Пусть Б, К, М —множества открытых текстов, ключей и шифрованных текстов шифра Е и {Е : к € К} — множество функций зашифрования, представляющих собой инъективные отображения Б ^ М. Пусть К, М — случайные величины, принимающие значения из Б, К, М в соответствии с распределениями вероятностей = = (р5(в), в € Б), Рк = (Рк(к), к € К), Рм = (Рм(т),т € М), где

Рм(т) = Е Рк(к) Рз (Е-1(т)) , (1)

кеК(т)

и К(т) = {к е К : Зв € Б (Ек(в) = т)}. При этом случайные величины К полагаются независимыми.

Пусть , Р^м, Рм— совместное и условные распределения, для которых вероятность рм|£(т|в) вычисляется по формуле

Рм (т|в) = Е Рк(k), (2)

где К(в,т) = {к € К : (в) = т}, а вероятность Р^|М(в|т) —по формуле

I , , РМ|З(т|в) Рз(в) Рз|М (в|т) = Рм (т)-. (3)

Шифр Е называется совершенным, если для любых в € Б, т € М выполняется равенство

Р®|м (в|т) = Рз (в). (4)

Ослабим условие (4) и введём понятие е-совершенного шифра. Используя обозначения

Д(в,т) = |р£-|м(в|т) - Рз(в) , У(в,т) = |рм(т|в) - Рм(т)| ,

запишем (4) в виде равенства

тах Д(в, т) = 0.

Заметим, что, согласно (3), величины Д(в,т) и У(в,т) связаны соотношением

Рм (т|в) рз (в)

Д(в,т)

Рм (т)

- Рз(в)

РЗ(в) 1 / ^ / ^ РЗ(в) ч

РМ^ |рМ.(т|в) - рм(т)| = рм^У(в,т).

В [1] шифр Е назван е-совершенным, если для любых в 6 5, т 6 М

тах А(в, т) ^ е.

(6)

Там же предложены конструкции е-совершенных шифров Е! и Е2 с равномерными распределениями , Рк. Для шифра Е!

5 = (^)г, К = (^)2, М = (^)г+1,

где ^ — поле характеристики 2, состоящее из д элементов (этот случай удобен для эффективной реализации), и г — натуральное число. Функция зашифрования строки в = (в1,..., вг) на ключе к = (а, Ь) определяется формулой

Ек(в) = (иь..., иг, а + и1 ■ Ь1 + ... + иг ■ Ьг) ,

где

и = вi + с ■ а + йг ■ Ь, г = 1,

а С1,... , сг, й1,... , йг —произвольные ненулевые константы из ^, такие, что сг ■ dj = = ^ ■ йг при г = В [1] показано, что шифр Е1 является е-совершенным для е < д-1.

Для шифра Е2

5 = (^)2 +1, К = (^)2 х ^, М =

2«+2

где д = 2Г; ^ = 2Г+4; г, £ — натуральные числа, такие, что 2£ ^ г. Функция зашифрования строки в = (в2«,..., в1, во) на ключе к = (а, Ь, с) определяется формулой

Ек (в)

U2t,..., ио, с +

Ь (и2« ■ а2 + ... + и1 ■ а + и0

где

иг

вг + Нг ■ а + дг ■ Ь, г = 0,1,..., 24,

а Н0,... , Н2«, д0,... , д2« —произвольные константы из ^д, такие, что Нг ■ gj = hj ■ дг при = г. Запись [а]д означает приведение элемента а 6 ^д по модулю д. В [1] показано,

что шифр Е2 является е-совершенным для е = 2-(г+24) — 2-(г+1)(2 +1). В следующем утверждении обобщаются результаты работы [1]. Теорема 1. Пусть для шифров Е1 и Е2 распределение Рк — равномерное, а Рв — любое такое распределение, что для некоторых действительных чисел а, в, 5, удовлетворяющих неравенствам 0 < а, в < 1 ^ 5, выполняются условия

а ^ рв(в) ^ в, в/а ^ 5

(7)

для каждого в 6 5. Тогда шифр Е1 является е-совершенным для е < 5д 1, а шифр Е2 — е-совершенным для е < 5 ■ 2-(г+24).

Доказательство. Согласно (1) и (2), для равномерного распределения Рк имеем

У(в, т)=

Е рк(к) — Е рк (к) рв (Е-1(т))

кеК(в,т) кеК(т)

1

|К|

|К(в,т)|— Е Рв (Е-1(т))

кеК(т)

В [1] показано, что для шифра Е1 при любых в 6 5, т 6 М

|К(т)| = д, |К(в,т)| ^ 1.

г

д

В частности, при k = k' невозможно равенство Efc1(m) = Efc/1(m). Поэтому сумма а = Е заключена в пределах 0 < а < 1, откуда получаем неравенство

fceK(m)

V(s,m) ^ щ max {а, I1 - а|} < щ. (8)

Теперь из (1), (5), (7), (8) следует искомое неравенство для шифра Е1:

A(s,m) < Ps(s) ^ = А ^ .

' РМ(m) |K| qa |Щ| aq

В [1] показано также, что для шифра Е2 при любых s 6 S, m Е M

|K(m)| = 2r+2t, |K(s,m)| ^ 1. (9)

Поэтому справедлива оценка (8) и, с учётом (9), отсюда следует искомое неравенство для шифра Е2: A(s, m) <5 ■ 2-(r+2t). ■

Замечание 1. Условие (7) вводит ограничения, при которых шифры Е1 и Е2 являются е-совершенными. Основное ограничение связано с величиной 5. Что можно о ней сказать? При достаточно больших q, например q = 2128, частотные характеристики открытых текстов для шифра Е1 «распределяются» среди строк длины 128r битов. Возможна ли при этом ситуация, когда некоторые тексты встречаются, например, в 5 = 264 раз чаще, чем другие? Если это и возможно, то лишь для текстов с «экзотической» частотной характеристикой. Но даже и в этом случае из теоремы 1 мы получаем для шифра Е1 оценку е < 264. Для шифра Е2 и значительно большие значения 5 дают малые значения е. Это даёт основание полагать, что ограничения (7) не являются слишком «стеснительными» в реальных условиях.

Замечание 2. Конструкция шифра Е1 использует константы C^dj, удовлетворяющие соотношениям Cj ■ dj = Cj ■ dj при i = j. Можно предложить следующий способ выбора таких констант в случае, когда q = 2n, r < n. Элемент a поля F2n представляется многочленом an-1xn-1 + ... + a1x1 + ao с коэффициентами из F2. Пусть константа cj представлена многочленом /¿(ж) = сПг)1жга-1 + ... + C^x, а dj — многочленом д(ж) = сП-1жп-1 + ... + C^x + 1. Пусть cj = Cj, тогда и /¿(ж) = /j(ж). Произведение C ■ dj представляется многочленом /¿(ж)д(ж) = /¿(ж) (/j(ж) + 1), а произведение Cj ■ dj — многочленом /j(x)g(x) = /j(ж) (/¿(ж) + 1). Отсюда следует, что для выбранных вариантов констант Cj ■ dj = Cj ■ dj. Выбирая произвольно различные двоичные векторы

^сП-1,... , , получаем искомый набор констант.

Замечание 3. В [1] шифры Е1 и Е2 рассматривались как коды аутентификации с секретностью. Нетрудно заметить, что в условиях теоремы 1 имеют место следующие оценки вероятностей p0, p1 успеха имитации и подмены для шифра Е1:

p0 = q-1, p1 < r5q-1.

Например, при q = 2128, r = 232, 5 = 232 имеем оценки

Ро = 2-128, p1 < 2-64.

2. Другие определения «почти совершенного» шифра

Хорошо известно (см., например, [2]), что критерием совершенности шифра Е является любое из равенств

Рм |S (m|s) = рм (m), Рм |s (m|s) = рм |s (m|s'), Ps,m (s,m) = ps (s) рм (m),

которые должны выполняться для любых s, s' G S, m G M. В связи с этим мы могли бы определить е-совершенный шифр одним из соответствующих неравенств

max |рм|s(m|s) - рм(m)| ^ е; (10)

s,m 1 1

max |рм|s(m|s) - рм|s(m|s')1 ^ е; (11)

max |ps,M(s,m) - ps(s) рм(m)| ^ е. (12)

Оценим правые части неравенств (10)—(12) для шифра Ei. Из (2) и (8) следует, что для определений (10) и (11) шифр Е1 является е-совершенным для е =1/ |K| = q-2, причём для любого распределения Ps. Такой же вывод справедлив и для определения (12). В самом деле,

max |ps,M(s,m) - ps(s)рм(m)| = max |ps(s)рм|s(m|s) - ps(s)Рм(m)1 =

s,m s,m 1 1

= maxps(s) |pM|S(m|s) - pM(m)1 = maxps(s) ■ V(s, m) < max V(s, m) < 1/ |K|.

Полученные оценки свидетельствуют о том, что определения (6) и (10)—(12) не эквивалентны.

Введённые определения не являются единственно возможными определениями «почти совершенного» шифра. В [3] предлагаются другие определения с позиции статистической неразличимости, а также соотношения между ними. Кратко изложим содержание этой работы и оценим стойкость шифра Е1 с этих позиций.

Для распределений вероятностей P^, PV на конечном множестве A статистическим расстоянием (или расстоянием по вариации) называется величина

d (Pu, Pv) = 0,5 Е |ри(а) - pv(а)|. «ел

Известно, что эта величина представляется также в виде

d (Pu, Pv) = max |P [f (U) = 1] - P [f (V) = 1]| ,

f :A^{0,1}

где U и V в правой части равенства рассматриваются как случайные величины на множестве A, имеющие распределения Pu , Pv , а максимум берётся по всем возможным отображениям f : A ^ {0,1} .

Пусть для шифра Е распределение Ps может выбираться из некоторого семейства распределений P [S]. Шифр Е называется

— е($|M)-стойким, если для любого m G M справедливо неравенство

d (Ps|m (-|m) , Ps (•)) ^ е;

Эти определения являются аналогами определений (5), (10)—(12) соответственно. Очевидно, что при е = 0 введённые шифры являются совершенными.

В [3] приведены ещё два определения: е(М|52)-стойкий шифр назван также /ЯД(е)-стойким (или статистически е-неразличимым). Шифр £ назван статистически е-семантически стойким (кратко — (е)-стойким), если для любого Рз € Р[Б] и любого отображения f : М^-{0,1} существует случайная переменная С/ на {0,1}, зависящая от f, но не зависящая от М, такая, что для каждого отображения к : М ^ {0,1} выполняется условие

Качественно это определение означает, что шифртекст «почти бесполезен» для получения любого одного бита информации об открытом тексте М, поскольку из (13) следует, что при угадывании бита к(М) «почти нет разницы» в том, что использовать — М и f или f и случайный бит С/.

Результаты работы [3] сформулируем в виде следующего утверждения.

Теорема 2.

Шифр £ является е(М|5)-стойким тогда и только тогда, когда он является /ЖД(е)-стойким.

Шифр £ является е(5, М)-стойким, если он является /ЖД(е)-стойким. Обратно, шифр £ является /ЖД(2е)-стойким, если он является е(5, М)-стойким.

Шифр £ является 55(е)-стойким, если он является /ЖД(е)-стойким. Обратно, если шифр £ является 55(е)-стойким, то он является /ЖД(4е)-стойким.

Из теоремы 2 следует, что е(М|5), е(5, М), /ЖД(е) и 55(е) —равносильные понятия стойкости. В то же время е(5|М) —более сильное понятие. В этом можно убедиться на примере шифра £, приведённого в [3], который для сколь угодно малого е является /ЖД(е)-стойким, но при этом е'(5|М)-стойким лишь для е' > 0,5.

В свою очередь, введённые в [3] понятия стойкости сильнее их аналогов из [1]. Например, е(5|М)-стойкий шифр является 2е-совершенным в смысле определения (6), поскольку

Для более точного сравнения подходов оценим стойкость шифра £1 с позиции введённых понятий стойкости в случае, когда Р^, Рк — равномерные распределения. Используем определение е(М|5)-стойкости. Вычислим расстояние

|Р [/(М) = к(М)] - Р [С/ = к(М)]| ^ е.

(13)

тах |ри (а) - Ру (а)| ^ Е |ри (а) - Ру (а)| ^ 2е.

«ел

^ = d (Рм|5 ("И, Рм 0)=0,5 £ У(в,ш).

(14)

тем

Как показано в п. 1,

|К(в,т)|-

|К(т)|

|5|

Г15)

Для каждого в €5 имеется д2 элементов т € М, для которых |К(в,т)| = 1. Для остальных элементов т выполняется равенство |К(в,т)| = 0. Отсюда и из (14), (15) получаем

1

а = 0,5— д2

^1 - дГ-т) + (^ - *2) ^

1

1

дг-1 - 1

1

„г-1

Таким образом, шифр является лишь

1

1

(М|£)-стойким. Полученное значе-

ние е неулучшаемо, поскольку мы точно вычислили d (Рм(-|в) , Рм (•)). Используем определение е(£|М)-стойкости. Вычислим расстояние

а = d (Р^м (-|т), Р^ (•)) = 0,5 Е А(в,т).

Г16)

Как показано в п. 1,

а = 0,5 ^ (в) |рм|5(т|в) -рм(т)| = 0,5^

рм (т) 1 д ве<5

|К(в,т)|-

7г+1

Г17)

Для каждого т € М имеется д элементов в € 5, для которых |К(в,т)| = 1. Для остальных элементов в выполняется равенство |К(в,т)| = 0. Отсюда и из (16), (17) получаем

а

0,5

д

д 1 -

г-1

д

+ (дг - д)

г- 1

д

дг-1 - 1

д

г- 1

Таким образом, определения е(М|£)- и е(£|М)-стойкости дают для шифра Е1 одинаковые значения е =1 - 1/дГ-1. Нетрудно проверить, что для е(£, М)-стойкости значение е точно такое же.

Используем определение е(М|£2). Вычисляем расстояние

в результате имеем

а = d (Рм|5 (-|в) ,Рм|5 (•|в'))

а = 0,5д-2 Е ||К(в,т)| - |К(в',т)

Пусть в = (в1,в2,в3,..., вг), в' = (в1, в2, в'3,..., вГ), тогда если т = (в), а т' = Ек(в') для некоторых ключей к, к', то равенство т = т' невозможно. Поэтому множества из д2 элементов т и т', таких, что |К(в,т)| = 1 и |К(в',т')| = 1, не пересекаются. Отсюда

а = 0,5д-2 [д2 + д2] = 1.

Таким образом, пользуясь определением е(М|£2)-стойкости, получаем е =1. Следовательно, с позиции подхода к оценке стойкости, предложенного в [3], ни о какой «близости» шифра к совершенному шифру речи идти не может. Это и не удивительно, поскольку сумма вида У] Д(в,т) накапливает большое количество «малых слагаемых», давая в результате «большую величину». В то же время определения (6) или

1

1

1

(10)—(12), на наш взгляд, более адекватны, поскольку отвечают классическому подходу «в худшем случае», который оценивает изучаемый параметр своим максимально возможным значением. Другой общепринятый подход — подход «в среднем» —оценивает изучаемый параметр своим средним значением, которое, очевидно, даёт не большее значение е, чем определение (6).

Возвращаясь к исходной идее К. Шеннона о том, что шифртекст совершенного шифра не должен давать дополнительной вероятностной информации об открытом тексте (к известной априорной информации о нём), мы должны констатировать, что подход к определению «почти совершенного шифра» из [1] является более тонким, чем подход работы [3]. В самом деле, «почти совершенный» шифр должен быть таким, чтобы шифртекст «почти не давал» дополнительной информации об открытом тексте. Но если мера e(S|M)-стойкости принимает для шифра Ei значение, близкое к максимально возможному, то это свидетельствует о том, что шифртекст должен практически однозначно определять открытый текст. Получаем явное противоречие с тем, что для шифра E1 (при равномерном распределении )

max |ps|M(s|m) - ps(s)| ^ q-1.

(s,m)

При q = 2128, например, правая часть неравенства (~ 3 • 10-39) практически равна 0, и нет никаких оснований полагать, что шифртекст сколь-нибудь значимо увеличивает априорную информацию об открытом тексте.

Заключение

На примере шифра, предложенного в [1], проведено сравнение различных определений «близости» шифра к совершенному шифру. На этом основании сделан вывод о том, что введённое в [1] определение е-совершенного шифра и его аналоги соответствуют более адекватным мерам «близости» к совершенному шифру, нежели определения из [3]. Показано, что шифры из [1] остаются е-совершенными для класса распределений на множестве открытых текстов, удовлетворяющих незначительному ограничению.

ЛИТЕРАТУРА

1. Зубов А. Ю. Почти совершенные шифры и коды аутентификации // Прикладная дискретная математика. 2011. №4(14). С. 28-33.

2. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры. М.: Гелиос АРВ, 2005.

3. Iwamoto M. and Ohta K. Security Notions for Information Theoretically Secure Encryptions. arXiv: 1106.1731 v2 [cs.CR], 4 Jan 2012. 6p.

REFERENCES

1. Zubov A. Yu. Pochti sovershennye shifry i kody autentifikatsii [Almost perfect ciphers and authentication codes]. Prikladnaya Diskretnaya Matematika, 2011, no.4(14), pp. 28-33.

2. Zubov A. Yu. Kriptograficheskie metody zashchity informatsii. Sovershennye shifry [Cryptographic Methods of Information Security. Perfect Ciphers]. Moscow, Gelios ARV Publ., 2005.

3. Iwamoto M. and Ohta K. Security Notions for Information Theoretically Secure Encryptions. arXiv: 1106.1731 v2 [cs.CR], 4 Jan 2012. 6p.