CC BY
27
разного уровня сложности, требущие для восстановления неизвестного входа дополнительную информацию разного рода. Рассмотрены конструкции таких систем, обладающих различной степенью обратимости: идентифицируемые, обратимые, обратимые на нескольких траекториях. Показано, что при использовании множества траекторий максимально широкий класс динамических система становится идентифицируемым. Предлагается соответствующая схема передачи и восстановления сообщения, в которой передаваемый сигнал используется для синтеза дополнительных выходов системы, после чего восстановление входа системы осуществляется с использованием сигнала, заданного на множестве траекторий.
При реализации таких систем на компьютере, например, как криптографических систем, возникает необходимость перехода к дискретным аналогам непрерывных динамических систем. Такие аналоги предложены в виде конечных автоматов, описываемых системами уравнений над конечными полями или кольцами. При этом разные типы обратимости получают естественную теоретико-автоматную интерпретацию. Введено понятие k-кратного без потери информации автомата (k-БПИ), которое аналогично понятию обратимости на нескольких траекториях. Для ряда систем (Лоренца, Ресслера, Чуа) введены их автоматные аналоги и на их основе предложены поточные криптоалгоритмы. В рамках теории экспериментов с автоматами выполнена формализация атак на такие криптосистемы и доказана NP-полнота задачи о распознавании контрольного эксперимента для k-БПИ-автоматов, лежащая в основе такой формализации.
Использование методики нескольких траекторий для обратимых нелинейных динамических систем и их автоматных аналогов, задаваемых уравнениями над конечными кольцами и полями, позволяет разработать метод управления размерностью пространства состояний, отличный от метода, предложенного в работе [3]. При этом возникает система с переменной структурой, в которой к ключевым параметрам (элементам кольца или поля) добавляется структурный ключ, с помощью которого осуществляется выбор количества траекторий передающей системы.
ЛИТЕРАТУРА
1. Ковалев А. М., Щербак В. Ф. Управляемость, наблюдаемость, идентифицируемость динамических систем. Киев: Наук. думка, 1993. 285 с.
2. Feldmann U., Hasler M., Schwarz W. Communication by chaotic signals: the inverse system approach // Int. J. Circ. Theory Appl. 1996. V. 24. P. 551-579.
3. Ковалев А. М., Козловский В. А., Щербак В. Ф. Обратимые динамические системы с переменной размерностью фазового пространства в задачах криптографического преобразования информации // Прикладная дискретная математика. 2008. № 2(2). С. 39-44.
УДК 519.7
О ПОТОЧНЫХ И АВТОМАТНЫХ ШИФРСИСТЕМАХ
И. В. Панкратов
Ранее в работе автора [1] были определены понятия поточной шифрсистемы и са-мосинхронизирующихся с задержкой поточной и регистровой шифрсистем и было показано, что последними исчерпываются все поточные самосинхронизирующиеся системы, у которых проекции генератора ключевого потока являются сильносвязными автоматами. В настоящей работе определяются ещё и понятия автоматной и самосин-хронизирующейся с задержкой автоматной шифрсистем и устанавливается, что реги-
стровыми шифрсистемами исчерпываются также и автоматные самосинхронизирую-тттиеся системы с сильносвязными проекциями автомата расшифрования (теорема 3). Более того, установлено, что классы поточных и автоматных шифрсистем функционально эквивалентны (теорема 1), а именно: для каждой системы любого из этих классов существует система в другом классе, которая задаёт то же семейство последовательностных шифров, что и первая. Наконец, как альтернатива конструктивному определению понятия поточной самосинхронизирующейся шифрсистемы в [1] здесь даётся дескриптивное определение этого понятия и показывается равносильность обоих определений (теорема 2).
Условимся конечный автомат (Мили) с входным алфавитом X, выходным алфавитом У, множеством состояний Q и функциями переходов и выходов ф: Q х X ^ Q и : Q х X ^ У соответственно обозначать набором А =< X, Q,У, ф,<^ >. В нём функции ф и <^, определённые на Q х X, считаются определёнными (индукцией по длине входного слова) и на Q х X*. Последовательность выходных символов, которую автомат вырабатывает из начального состояния д Е Q под действием входного слова а, обозначается (а). В автомате Мура А, где функция <^(д, х) зависит от аргумента х фиктивно и является фактически функцией из Q в У, иногда вместо <^(д, х) пишем <^(д).
Для автомата с двумя входами А = < X х К, Q, У, ф, ^ > и произвольного к Е К вводятся функции фк(д,х) = ф(д, (х,к)), ^(д,х) = <^(д, (х,к)) и автомат Ак = < X, Q,У, фк,<£к >, называемый проекцией автомата А на вход X при данном к Е К.
Определение 1. Последовательностным шифром называется набор из пяти объектов Б = < X,У, К, f, f-1 >, где X, У и К — конечные множества, называемые соответственно входным алфавитом, выходным алфавитом и ключевым пространством, f и f-1 — функции, f: X * х К ^ У *, f-1: У * х К ^ X *, называемые функциями соответственно шифрования и расшифрования и связанные отношением обратимости
Ух Е X*Уу Е У*Ук Е К^(х, к) = у ^ f-1 (у, к) = х].
Определение 2 [1]. Назовём поточной шифрсистемой набор из шести объектов
= < X, У, К, С, е, ^ >, где С = < У х К, Q, Г, ф, > — конечный автомат, называемый генератором ключевого потока (ГКП), такой, что любая его проекция есть автомат Мура, е: X х Г ^ У, d: У х Г ^ X — правила шифрования и расшифрования одного символа открытого текста (сообщения) с помощью одного символа ключевого потока (гаммы), связанные отношением обратимости:
У7 Е ГУх Е XVy Е У[е(х,7) = у ^ d(y,Y) = х].
Определим в функции Е: Q х X * х К ^ У * и Д: Q х У * х К ^ X * — соответственно правила шифрования и расшифрования сообщений по ключу и начальному состоянию — по следующим формулам:
Е(д0, Л, к) = Л,
(іі = ук ы,
Уг = є(хі,7і), Ь = 0,1,...,п - 1; ф+1 = А (qt, Уt),
Д(д0, Л, к) = Л,
{7* = ^ (д^
х* = d(yí,7í), £ = 0,1,...,п - 1. д*+1 = фк ^у^
По определению функций Е и Д легко проверить, что при любых С, д Е Q, е и d, где е и d связаны отношением обратимости, пятерка Бд(Б) = < X, У, К, Ея, Дд >, где Ея и Дя — функции соответственно Е и Д с фиксированным значением первого аргумента д Е Q, будет последовательностным шифром. Множество {Бд(Б) | д Е Q} всех таких шифров называется далее семейством последовательностных шифров, задаваемых шифрсистемой Хs.
Определение 3. Назовём автоматной шифрсистемой пятерку объектов Ха = < X, У, К, Ае, А^ >, где Ае = < X хК^,У,ф,р > и А^ = < У х К^^ф*,^* > суть конечные приведённые автоматы, называемые автоматами шифрования и расшифрования соответственно, если для любого состояния д Е Q найдется такое состояние д* Е Q*, что пятерка Бяя* (А) = < X, У, К, ф, ф** > будет последовательностным шифром.
Множество {Бад* (А) | д Е Q} называется далее семейством последовательностных шифров, задаваемых шифрсистемой Ха.
Две шифрсистемы (поточные или автоматные) называются эквивалентными, если они задают одно и то же семейство последовательностных шифров. Два класса шифр-систем (поточных или автоматных) равносильны, если каждая шифрсистема любого из них эквивалентна некоторой шифрсистеме другого.
Теорема 1. Классы поточных и автоматных шифрсистем равносильны.
Определение 4 [1]. Назовём автомат А =< X, Q,Y, ф,<£ > самосинхронизирую-щимся с задержкой т, если выполняется условие
Уд Е QVx,x/ Е X*Ух Е XrУи Е X*[<ф(ф(д,хх),м) = <ф(ф(д,х;х),и)].
Определение 5. Последовательностный шифр Б = < X, У, К, f, f-1 > называется самосинхронизирующимся с задержкой т, если выполняются следующие условия:
1) Уу Е У*Ук Е К ^-1(у,к)| = |у|;
2) для любых у1, у3, у1 в У *, у2 в Ут, х1, х3, х'ь х'3 в X *, х2, х'2 в Xт и к Е К, таких, что
|хз| = |х3|, f-1(У1У2У3, к) = х1 х2хз и f-1 (у':У2Уз, к) = х;х2х/з, имеет место хз = х3.
Определение 6 (конструктивное) [1]. Назовём поточную шифрсистему Хs = < X, К, У, С,е^ > самосинхронизирующейся с задержкой т, если при любом ключе к Е К проекция С к автомата С является самосинхронизирующимся автоматом с задержкой т.
Определение 7 (дескриптивное). Назовём поточную шифрсистему самосинхро-низирующейся с задержкой т , если все задаваемые ею последовательностные шифры являются самосинхронизирующимися с задержкой т.
Теорема 2. Дескриптивное и конструктивное определения самосинхронизирую-щейся поточной шифрсистемы эквивалентны.
Определение 8 [1]. Назовём автомат Мура R = < Y, YT, Г, а, ^ > регистром сдвига длиной т, если его функция переходов а есть функция сдвига, определяемая по формуле
Vyi^2 . . . Ут G УтVy G Y[a(yiy2 . . . Ут, У) = У2 ... Уту].
Определение 9 [1]. Назовём регистром сдвига длиной т с ключом такой автомат Мили с двумя входами R = < Y х K, Yт, Г, а;, ^ >, что для любого значения k G K его проекция Rfc = < Y, Yт, Г, а'к, ^ > на вход Y есть регистр сдвига длиной т.
Определение 10 [1]. Назовём поточную шифрсистему Sr = < X, K, Y, R, e,ö > регистровой, если её ГКП R есть регистр сдвига с ключом. Длина регистра R называется размерностью шифрсистемы.
Регистровая шифрсистема размерностью т является самосинхронизирующейся с задержкой т по конструктивному определению.
Определение 11. Назовём автоматную шифрсистему Sa = < X, Y, K, Ae,Ad > самосинхронизирующейся с задержкой т, если таковой является проекция А автомата Ad для любого k G K :
V9o* G Q*Vy,y/ G Y*Vy G G Y*[й(^fc(qo*,yy),u) = й(^fc(qo*,y/y),u)].
Говорят, что некоторая шифрсистема неотличима от шифрсистемы S, если задаваемые ею последовательностные шифры задаются системой S.
Теорема 3. Любая самосинхронизирующаяся с задержкой т автоматная шифр-система Sa = < X, K, Y, Ae ,Ad >, у которой все проекции А автомата расшифрования суть сильно связные автоматы, неотличима от некоторой регистровой шифрсистемы Sr = < X, K, Y, R, г, ö > размерности т.
ЛИТЕРАТУРА
1. Панкратов И. В. К определению понятия самосинхронизирующегося поточного шифра //
Вестник Томского госуниверситета. Приложение. 2007. №23. С. 114-117.
УДК 519.7
ОЦЕНКА ПОКАЗАТЕЛЯ 2-ТРАНЗИТИВНОСТИ ОБОБЩЁННЫХ АЛГОРИТМОВ ШИФРОВАНИЯ ФЕЙСТЕЛЯ1
М. А. Пудовкина
Различные обобщения алгоритма шифрования Фейстеля рассмотрены в работах [1-6] и др. Некоторые из них являются обобщением конструкций блочных алгоритмов CAST, IDEA, MARS, SKIPJACK и др. В данной работе вводится единая математическая модель, описывающая единым образом разнообразные известные обобщения алгоритма шифрования Фейстеля.
Пусть натуральное n ^ 2, Vm — множество всех m-мерных двоичных векторов над полем GF(2); X* = X\{0}; P(X) — множество всех отображений из X в X; S(X) — множество всех подстановок на X; ф — операция покоординатного сложения векторов из Vm; o — нулевое отображение, т. е. ao = 0 для любого a G Vm; e — тождественное отображение; P (Vm)0 = {o}, S (Vm)[0] = {e}, S (Vm)[1] = S (Vm), Y„ = {v : {l,n} ^ {0,1}|u(1) = 1}.
хРабота выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.
