О поточных и автоматных шифрсистемах с симметричным ключом Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2009 Математические методы криптографии №3(5)

МАТЕМАТИЧЕСКИЕ МЕТОДЫ КРИПТОГРАФИИ

УДК 519 7 О ПОТОЧНЫХ И АВТОМАТНЫХ ШИФРСИСТЕМАХ

С СИММЕТРИЧНЫМ КЛЮЧОМ1

И. В. Панкратов Томский государственный университет, г. Томск, Россия

E-mail: ivan.pankr@gmail.com

Рассматриваются симметричные поточные и автоматные шифрсистемы. Показывается неотличимость поточных шифрсистем, у которых неотличимы генераторы ключевого потока; определяются понятия последовательностного шифра, автоматной и самосинхронизирующейся с задержкой автоматной шифрсистем; показывается инъективность функции выходов автомата шифрования в автоматной шифрсистеме при любой фиксации состояния автомата и ключа шифрсистемы; устанавливается функциональная эквивалентность классов поточных и автоматных шифрсистем, а именно: для каждой системы любого из этих классов существует система в другом классе, которая задаёт то же семейство последовательностных шифров, что и первая; как альтернатива конструктивному определению понятия поточной самосинхронизирующейся шифрсистемы даётся дескриптивное определение этого понятия и устанавливается равносильность обоих определений; показывается, что регистровыми шифрсистемами исчерпываются все автоматные самосинхронизирующиеся системы с сильносвязными проекциями автомата шифрования.

Ключевые слова: поточная шифрсистема, автоматная шифрсистема, последовательностный шифр, самосинхронизирующаяся шифрсистема, генератор ключевого потока, регистровая шифрсистема.

Введение

В данной работе все рассматриваемые шифрсистемы и шифры предполагаются симметричными, а автоматы — конечными. Продолжаются исследования, начатые автором в [1], где были определены понятия поточной шифрсистемы и самосинхронизи-рующихся с задержкой поточной и регистровой шифрсистем и было показано, что последними исчерпываются все поточные самосинхронизирующиеся системы, у которых проекции генератора ключевого потока являются сильносвязными автоматами. Показывается неотличимость поточных шифрсистем, имеющих неотличимые генераторы ключевого потока (теорема 1); определяются понятия последовательностного шифра, автоматной и самосинхронизирующейся с задержкой автоматной шифрсистем; доказывается, что функция выходов автомата шифрования в автоматной шифрсистеме инъективна при любой фиксации состояния автомата и ключа шифрсистемы (теорема 2); устанавливается функциональная эквивалентность классов поточных и автоматных шифрсистем (теорема 3), а именно: для каждой системы любого из этих

1 Работа выполнена в рамках реализации ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы. Результаты работы докладывались на Международной конференции с элементами научной школы для молодёжи, г. Омск, 7-12 сентября 2009 г.

классов существует система в другом классе, которая задаёт то же семейство последовательностных шифров, что и первая; как альтернатива конструктивному определению в [1] понятия поточной самосинхронизирующейся шифрсистемы (в терминах самосинхронизирующихся проекций генератора ключевого потока) здесь даётся ещё и дескриптивное определение этого понятия (в терминах задаваемых самосинхрони-зирующихся последовательностных шифров) и показывается равносильность обоих определений (теорема 4); наконец, устанавливается, что регистровыми шифрсистема-ми исчерпываются также и автоматные самосинхронизирующиеся системы с сильносвязными проекциями автомата шифрования (теорема 6). Формулировку теорем 3, 4, 6 (без доказательства) можно найти в тезисах работы [2].

Все теоретико-автоматные понятия и обозначения, используемые в статье, заимствуются из [3]. Конечный автомат (Мили) с входным алфавитом X, выходным алфавитом Y, множеством состояний Q и функциями переходов и выходов ф: Q х X ^ Q и : Q х X ^ Y соответственно обозначается набором A = <X, Q,Y, ф,<^>. В нём функции ф и <^, определённые на Q х X, считаются определёнными (индукцией по длине входного слова) и на Q х X*. Последовательность выходных символов, которую автомат вырабатывает из начального состояния q Е Q под действием входного слова а, обозначается <e(q,a) или (pq(а). В автомате Мура A, где функция <^(q, х) зависит от аргумента х фиктивно и является фактически функцией из Q в Y, иногда вместо <^(q, х) пишем <^(q).

В автомате A = <X х K, Q,Y, ф,^> с двумя входами X называется алфавитом сообщений, K — множеством, или пространством, ключей и X* —множеством сообщений. В нём для произвольного ключа k Е K вводятся функции фд(q,x) = ф^, (х, k)) и (q,x) = <^(q, (x,k)) соответственно переходов и выходов на ключе k и автомат Ak = <X, Q,Y, фд, >, называемый проекцией автомата A на вход X при данном

ключе k Е K. Наконец, понятие последовательностного шифра определяется следующим образом.

Определение 1. Последовательностным шифром называется набор из пяти объектов S = <X, Y, K, f, g>, где X, Y и K — конечные множества, называемые соответственно входным алфавитом, выходным алфавитом и ключевым пространством, f и g — функции, f: X* х K ^ Y*, g: Y* х K ^ X*, называемые функциями соответственно шифрования и расшифрования и связанные отношением обратимости

Va Е X*Ув Е Y*Vk Е K[f (a, k) = в ^ д(в, k) = а]. Последовательностные шифры с общей функцией шифрования считаются равными.

1. Поточные шифрсистемы

Определение 2 [1]. Назовём поточной шифрсистемой набор из шести объектов

= <X, Y, K, G, e, d>, где G = <Y х K, Q, Г, ф, ^> — конечный автомат, называемый генератором ключевого потока (ГКП), такой, что любая его проекция Gk есть автомат Мура, e: X х Г ^ Y, d: Y х Г ^ X — правила шифрования и расшифрования одного символа открытого текста (сообщения) с помощью одного символа ключевого потока (гаммы), связанные отношением обратимости

Vy Е rVx Е XVy Е Y[e(x, y) = y ^ d(y,Y) = х].

Введём для функции е: Q х X* х K ^ Y* и d: Q х Y* х K ^ X*, называемые алгоритмами соответственно шифрования и расшифрования сообщений, которые по

ключу к и начальному состоянию д0 определяются по следующим формулам:

е(д0, Л, к) = Л,

е(<зо,ЖоЖі.. .Хп-і,к) = уоУі. ..Уп-1, где

ъ = ^к Ы,

У* = д*+і = Фк (^і, У*),

і = 0,1,...,п- 1,

<і(д0, Л, к) = Л,

{7* = ¥>к ^

х* = ^(у*,7*), і = 0,1,...,п - 1.

д*+і = фк (^у*).

Эти уравнения проиллюстрированы схемами на рис. 1 и 2, где О обозначает элемент задержки на единицу дискретного времени. В них последовательности д0ді... и 707і... называются соответственно последовательностью состояний и ключевым потоком, или гаммой, вырабатываемыми в ГКП О из начального состояния д0 при заданном ключе к под воздействием входного слова у0уі...

Рис. 1. Схема алгоритма шифрования в поточной шифрсистеме

Рис. 2. Схема алгоритма расшифрования в поточной шифрсистеме

По определению функций е и d легко проверить, что при любых С, д Е ф, е и где е и d связаны отношением обратимости, пятерка 5^(Е^) = <Х, У, К, е(?, dq>, где ед: X * х К ^ У *, е<}: У * х К ^ X * и еq (а, к) = е(д,а,к), (в, к) = d(q, в, к) для

всех к Е К, а Е X * и в Е У *, будет последовательностным шифром. Множество

Б(Е^) = {Б(Е^) | д Е всех таких шифров называется далее семейством последовательностных шифров, задаваемых шифрсистемой Е^.

Возможны различные варианты использования поточной шифрсистемы в зависимости от выбора начального состояния д0 её ГКП: 1) д0 фиксировано и заранее известно; 2) д0 вычисляется открытым способом по ключу; 3) д0 вычисляется как некая случайная величина и каким-то образом (открыто или закрыто) передается корреспонденту. В [1] показан вариант вероятностной самосинхронизирующейся поточной шифрсистемы, в котором начальное состояние генерируется случайно и в открытом виде передается корреспонденту вместе с криптограммой. В общем случае начальное состояние является вероятностной функцией от ключа.

Поточную шифрсистему Е^ = <Х, У, К, С, е, d> будем называть неотличимой [1] от поточной шифрсистемы Е^ = <X, У, К, С', е', d'>, где С = <У х К, ф, Г,^,^> и С' = <У х К, ф', Г',ф/, <^'>, если выполняется следующее соотношение:

Отметим, что неотличимость двух поточных шифрсистем друг от друга не влечёт равенства семейств задаваемых ими последовательностных шифров. Причина в порядке кванторов. Содержательно неотличимость гласит, что для любого ключа и для любого начального состояния первой шифрсистемы найдется такое начальное состояние второй шифрсистемы, что соответствующие алгоритмы шифрования будут совпадать. Однако при этом возможно, что при разных ключах одному и тому же состоянию первой шифрсистемы будут соответствовать разные состояния второй шифрсистемы, то есть может вообще не быть таких начальных состояний разных шифрсистем, в которых шифрсистемы задают одинаковые последовательностные шифры.

Будем говорить, что ГКП С = <У х К, ф, Г,^,^> неотличим от ГКП С' = <У х К, ф', Г,^',^'>, если для любого ключа к Е К его проекция на вход У сильно неотличима [3] от аналогичной проекции Ск, т. е. каждое состояние в неотличимо от некоторого состояния в Ск.

Теорема 1. Пусть Е^ = <Х, У, К, С, е, d> и Е^ = <Х, У, К, С', е, d> —две шифрсистемы с разными ГКП С и С'. Тогда если С неотличим от С', то и Е^ неотличима от ^ .

Доказательство. Пусть С = <У х К, ф, Г,^,^>, С' = <У х К, ф', Г,^',^'>. Возьмём произвольные к Е К, д0 Е ф, а = ж0х.. . жга-1 Е X* и состояние д0 Е ф', неотличимое от д0 Е ф.

Будем иметь

База индукции: Ь = 0. Имеем: 70 = ^(д0) = ^(д0) = 70, У0 = е(^0,70) =

= е(х0,70) = У0.

Ук Е КУд Е фЗд' Е ф'Уа Е X*[е(д, а, к) = е'(д', а, к)].

7* = №

у = е(х*,7*), Ь = 0,1,...,п - 1,

д*+1 = ^

Предположение индукции. Предположим, что у0у1 ...у4-1 = у0 у' ...у*-1 для некоторого Ь ^ 1.

Шаг индукции. Ввиду неотличимости состояний (д0,у0 у1. ..у*_1) и (д0, у0у1 ...у*_1), следующей из неотличимости д0 и д0, можно записать 7* = ^(д*) =

= ^ (д*_1,у*_1)) = ^ (^ (д0,у0у1 ...у*_1)) = (фк (д0 ,у0у1... у*_1)) = ^ (фк (д0,

у0у'... у*_ 1)) = ^(фк(д*_1,у*_1)) = ^(д*) = т* и у* = е(х*,т*) = е(х*,т*) = у*.

Индуктивное заключение: у0у1... у„_1 = у0у'... уП_ 1.

Следовательно, е(д0, а, к) = е'(д0, а, к).

Ввиду произвольности к Е К, д0 Е ф и а Е X* теорема доказана. ■

Таким образом, установлено, что при замене в шифрсистеме одного ГКП на другой, неотличимый от него, получится шифрсистема, неотличимая от исходной.

2. Автоматные шифрсистемы

Определение 3. Назовём автоматной шифрсистемой пятерку объектов Еа = ^У^Е,^, где Е = <X х К,ф,У,^> и Б = <У х К, ф*, X, ^*, ^*> суть конечные автоматы, называемые автоматами шифрования и расшифрования соответственно, если для любого состояния д Е ф найдется такое состояние д* Е ф*, что пятерка Бад* (Еа) = <X, У, К, ^, <е** > будет последовательностным шифром, то есть

Уд Е ф3д* Е ф*Ук Е КУа Е X*Ув Е У*[ё(а, к) = в ^ <е**(в, к) = а].

Определение 4. Множество Б(Еа) = {5^* (Еа) | д Е ф} называется далее семейством последовательностных шифров, задаваемых шифрсистемой Еа.

Теорема 2. Функция выходов автомата шифрования автоматной шифрсистемы при фиксированных значениях состояния и ключа инъективна как функция одного аргумента — символа сообщений.

Доказательство. Пусть Еа = <X, У, К, Е,Б> есть автоматная шифрсисте-ма с автоматами шифрования Е = <X х К, ф,У, ^,^> и расшифрования Б = = <У х К, ф*, X, ^*, ^*>. Докажем, что при любых фиксированных значениях состояния д Е ф и ключа к Е К функция (ж) = <^(д, (ж, к)) инъективна.

Предположим противное: пусть для некоторых состояния д Е ф и ключа к Е К

3x1, Х2 Е X[(Ж1 = Х2) & (^(ж^ = ^(Х2))].

Тогда по определению автоматной шифрсистемы Еа найдётся такое д* Е ф*, что для любых у1 и у2 в У

^(Х1, к) = у1 ^ <е** (у1, к) = Х1, ^(Х2, к) = у2 ^ <е** (у2, к) = Х2.

Здесь ^(Х1,к) = (х1) и ^(Х2,к) = (х2), поэтому у1 = у2 и, следовательно,

х1 = ж2, что не так. ■

Интересно отметить, что ещё 50 лет назад А. Д. Закревский [4] предложил использовать в качестве алгоритмов шифрования конечные автоматы с функцией выходов, инъективной в каждом состоянии. Теорема 2 говорит о том, что других автоматов, которые можно было бы использовать в этом качестве, не бывает.

3. Равносильность поточных и автоматных шифрсистем

Определение 5. Две шифрсистемы (поточные или автоматные) называются эквивалентными, если они задают одно и то же семейство последовательностных шифров (в предположении о равенстве шифров, отличающихся только функцией расшифрования). Два класса шифрсистем (поточных или автоматных) равносильны, если каждая шифрсистема любого из них эквивалентна некоторой шифрсистеме другого.

Теорема 3. Классы поточных и автоматных шифрсистем равносильны.

Доказательство. Докажем сначала, что каждая поточная шифрсистема эквивалентна некоторой автоматной шифрсистеме. Для этого возьмем произвольную поточную шифрсистему Е^ = <X, У, К, С, е, d>, где С = <У х К, ф', Г,^',^'>, и построим автоматную шифрсистему Еа = <X, У, К, Е,Б>, где автоматы

Е = <X х К, ф,У, ^,^> и Б = <У х К, ф*^, ^*,^*> определяются соотношениями

ф = ф* = ф',

^ (x, к)) = ф'(д,e(x, р'^ к)),к) ^ (x, к)) =е(ж р'^ k)), ф*(g*, (у,к)) = ф'(д,у,к^ ^*(g*, (у,к)) = %^'(д,к)).

Непосредственно проверяется, что

Уд Е ф[(^ = ^) & К = ^*)].

Следовательно, 5(Е^) = 5те*(Еа) и Б(Е^) = 5(Еа). Этим доказано, что поточная шифрсистема Е^ эквивалентна автоматной шифрсистеме Еа .

Теперь докажем обратное, а именно: любая автоматная шифрсистема эквивалентна некоторой поточной шифрсистеме. Для этого возьмем произвольную автоматную шифрсистему Еа = <X, У, К, Е,Б>, где Е = <X х К, ф,У, ^,^> и Б = <У хК, ф*, X, ^*, ^*>, и построим поточную шифрсистему Е^ = <X, У, К, С, е, d>, где операции е, d и автомат С = <У х К, ф', Г, ^', <^'> определяются соотношениями

ф' = ф, Г = ф х К,

е(ж,т) =e(x, (д,к)) = ^(д,(x,k)), d(y,7) = d(y, (д,к)) = ^Лу^ ф'(g, (y, к)) = ^ (d(y, (g, к)) к)) = ^ (^-fc1(y), k)), ^'(д, (y, к)) = (g,к^

где функция ^_к1(у) является обратной к функции (ж). Она существует в силу инъ-

ективности последней по теореме 2.

Непосредственно проверяется, что

У7 Е ГУж Е XУy Е У[е(ж,7) = у ^ d(y,7) = ж],

Уд Е ф[^ = ^ = <^].

Следовательно, 5^*(Еа) = 5(Е^) и 5(Еа) = 5(Е^). Этим доказано, что автоматная шифрсистема Еа эквивалентна поточной шифрсистеме Е^. ■

Основная польза от этой теоремы заключается в том, что она позволяет к шифр-системам одного класса применять результаты, полученные для шифрсистем другого класса, либо сконструировать шифрсистему по любой из этих двух схем и рассматривать её с обеих точек зрения.

4. Самосинхронизирующиеся поточные шифрсистемы

Определение 6 [1]. Назовём автомат А = <X, ф,У, ^,^> самосинхронизирую-щимся с задержкой т, если выполняется условие

Уд Е фУа,а' Е X*Уа Е XrУ£ Е X*[^('0(g, аа),£) = ^(^(д, а'а),£)].

Содержательно это определение можно объяснить так: «В каком бы состоянии д автомат А ни находился, какую бы последовательность (а или а') входных символов в него ни подали, его выходная последовательность после подачи в него любого слова а длиной т будет определяться только этим словом, последующей строкой входных символов £ и, может быть, начальным состоянием д». Иными словами, происходит следующее: автомат строками а или а' переводится из состояния д в состояние ^(д, а) или ^(д,а') соответственно; затем строкой а длиной т в состояние ^(^(д,а),<5) = = ^(д,аа) или ^(д,а'а) соответственно; после этого он будет вести себя одинаково в обоих случаях (выдавая на входную последовательность £ одну и ту же выходную), т. е. синхронизируется строкой а.

Определение 7. Последовательностный шифр Б = <X, У, К,/, д> называется самосинхронизирующимся с задержкой т, если выполняются следующие условия:

1) Ув Е У*Ук Е К |д(в,к)| = |в|,

2) для любых в, С, в' в У*, в в Ут, а,£,а',£' в X*, а, а' в X'7 и к Е К, таких, что

|£ 1 = |£'1 = К^ дДОС к) = аа£ и д(в'к,к) = а'а'£', имеет место £ = £'.

Содержательный смысл этого понятия аналогичен предыдущему. Если произвольным образом исказить часть исходного шифртекста в/^С (заменив в на в'), то при расшифровании искажения распространятся не далее чем на т символов от последнего искаженного символа.

Определение 8 (конструктивное) [1]. Назовём поточную шифрсистему Е^ = = <X, К, У, G,e,d > самосинхронизирующейся с задержкой т, если при любом ключе к Е К проекция Сд автомата С является самосинхронизирующимся автоматом с задержкой т.

Определение 9 (дескриптивное). Назовём поточную шифрсистему самосинхро-низирующейся с задержкой т, если все задаваемые ею последовательностные шифры являются самосинхронизирующимися с задержкой т.

Будем предполагать далее, что в множестве Г любой рассматриваемой поточной шифрсистемы Е^ нет различных эквивалентных символов, т. е. таких 7 и 7', что 7 = 7', но Уж Е X[е(ж,7) = е(ж,7')] и Уу Е У^(у,7) = d(y,7')]. Ввиду возможности замены всех попарно эквивалентных символов гаммы одним из них без изменения результатов шифрования и расшифрования сообщений в системе данное предположение не приводит к потере общности рассмотрения.

Теорема 4. Дескриптивное и конструктивное определения самосинхронизирую-щейся поточной шифрсистемы (без эквивалентных символов гаммы) равносильны — определяют одно и то же множество шифрсистем.

Доказательство. Рассмотрим произвольную поточную шифрсистему Е^ = = <X, У, К, С, е, d> и её ГКП С = <У х К, ф, Г,^,^>. Требуется доказать равносильность следующих двух высказываний:

(Д) = «все последовательностные шифры, задаваемые системой Е^, являются са-мосинхронизирующимися с задержкой т»;

(К) = «при любом ключе к Е К проекция Ск автомата С является самосинхрони-зирующимся автоматом с задержкой т».

Используем следующие обозначения:

в = у-пу-п+1... у-1; в' = у-ту-т+1... у-1; 5 = уоу1... Ут-1; С = УтУт+1... уг-1;

а = ж-гаж-га+1... ж-1; а = ж0ж1... жт-1; а' = х/_тж/_т+1... ж-1; а' = ж0ж1... жТ-1;

А А/ / / /

£ ХТХТ +1 . . . Х1— 1; £ ХтХт +1 . . . Х1—^

где у;,у' Е У, X', ж' Е X.

Докажем сначала, что (К) ^ (Д). Для этого нужно доказать следующие два предложения:

1) Уд Е фУв Е У*Ук Е К|6?(в, к) | = |в|;

2) Уд Е фУв,в',С Е У*У/3 Е УтУк Е К[(6?(вв5С,к) = аа£) & (6?(в'в^С, к) = а'а'£') ^

(£ = £')].

Первое предложение следует из определения функции 6. Для доказательства второго возьмем произвольные д Е ф, в, в', С Е У*, 5 Е Ут, к Е К. Пусть для некоторых а,£,а',£' в X*, <5, а' в X'7, таких, что |£| = |£'| = |С|, будет 6?(вв5С, к) = а<5£ и с?? (в '/5С, к) = а'а'£'. Вычислим дт = ^к (д,вД), дТ = ^ (д, в'в5), 7 = 7т 7т+1...7-1 = = (к(дт,С) = (к(фк(д,вв5),С) и 7' = 7'7'+1 ...Тг-_1 = (к(дТ,С) = (к(фк(д,в'в5),С). В силу (К) имеет место ((^к(д,вв5),С) = (к(фк(д,в'в5), С), поэтому 7 = 7' и Х' = 6(у;,7') =

= 6(у', 7') = ж' для г = т, т + 1,... , I — 1, т. е. £ = £'. Таким образом, действительно

(К) ^ (Д).

Обратное следование (Д) ^ (К) докажем от противного. Предположим, что не верно (К), то есть для некоторого ключа к Е К проекция Ск ГКП С не является самосинхронизирующимся автоматом с задержкой т и, следовательно,

(к (фк (д,вв5),С) = (к (фк (д,в'в5),С)

для некоторыхд Е ф,в,в',С Е У*,/3 Е Ут. Пусть ((фк(д,вв5),С) = 7т7т+1 — 7-1 и <(к(фк(д,ув'у~в),С) = 7'тТ+1... 7г-1. Найдем такое £, что т ^ ^ 1 — 1 и

7т = 7', 7т+1 = 7'+1 ,...,7*-1 = Т*-1,7* = 7*. Положим во = У-пУ-п+1 ...у-1+*-т,

/50 — у*-ту1+*-т . . . ут-1+*-т, Со — ут+*-тут+1+*-т . . . у1-1 и в(' — у-ту-т+1 . . . у-1+*-т. Имеем: вов5оСо = //5С, в0в5'Со = Ж, (к(фк(д,вов5о),Со) = 7*7*+1... Тг-1, (к(фк(д,в'в5о),Со) = = 7*7*+1... 7г-1 и 7* = 7*.

Тем самым показано, что существуют такие к Е К, д Е ф,во,в0 Е У*,Д) Е Ут и у* Е У, что 7* = (к(^к(д,воДэ),У*) = (к(^к(д,в0До),у*) = 7*, или с учётом того, что Ск является автоматом Мура, 7* = (к(д*) = (к(д') = 7* для д* = ^к (д,вов5о) и

д' = фк (д,в0 в5о).

Пусть для любого у Е У и некоторых а, а' Е X*, а, а' Е Xт, ж, ж' Е X с?(в0в50у, к) = ааж, с?(в0А)У, к) = а'а'ж'.

Тогда по определению 6 будет ж = 6(у, (к(д*)) = 6(у,7*) и ж' = 6(у, (к(д')) = 6(у,7*), а в силу (Д) — ж = ж'. Таким образом, Уу Е У(6(у, 7*) = 6(у,7')), откуда ввиду взаимной обратимости 6 и е следует Уж Е X(е(ж, 7*) = е(ж,7*)), что противоречит отсутствию в Г эквивалентных символов. ■

5. Самосинхронизирующиеся автоматные шифрсистемы

Определение 10. Назовём автомат Мура Я = <У, Ут, Г, а, ^> регистром сдвига длиной т, если его функция переходов а есть функция сдвига, определяемая по формуле

а(У*-тУ*-т+1 . . . У*-1, У*0 = У*-т+1У*-т+2 ... у*.

Определение 11. Назовём регистром сдвига длиной т с ключом такой автомат Мили с двумя входами Я = <У х К, Ут, Г, а;, <^>, что для любого значения к Е К его проекция Я& = <У, Ут, Г, а^, ^> на вход У есть регистр сдвига длиной т.

Определение 12. Назовем поточную шифрсистему Ед = <Х, К, У, Я, е, ^> регистровой, если её ГКП Я есть регистр сдвига с ключом. Длина регистра Я называется размерностью шифрсистемы.

Для регистровых шифрсистем функцию шифрования е можно переписать в более простой форме:

е(до,ЖоЖ1.. .Хп-1, к) = У0У1.. .уп-1, где

^ (у*-ту*-т+1 . . . у*-1) ,

е(ж*,7*),

* = 0,1,

, п — 1.

Здесь до = У-тУ-т+1... У-1.

Эти уравнения проиллюстрированы схемой рис. 3.

Рис. 3. Схема регистровой шифрсистемы

Регистровая шифрсистема размерностью т является самосинхронизирующейся с задержкой т по конструктивному определению. Как видно из следующей теоремы, в некотором смысле верно и обратное.

Теорема 5 [1]. Любая самосинхронизирующаяся с задержкой т поточная шифр-система с обратной связью Е^ = <Х, У, К, С, е, ^>, у которой все проекции О& ГКП О суть сильно связные автоматы, неотличима от некоторой регистровой шифрсистемы Ед = <Х, У, К, Я, е, ^> размерности т.

Заметим, что в [5] под самосинхронизирующимися поточными шифрами понимаются именно регистровые шифрсистемы. Теорема 5 служит по существу теоретическим обоснованием такого понимания.

Определение 13. Назовём автоматную шифрсистему Еа = <Х, У, К, Е,Б> самосинхронизирующейся с задержкой т, если для её автомата расшифрования Б = <У х К, ф*, X, ^*, ^*> выполняется следующее условие:

Уд* е д*Ув,в,С е У*У/3 Е ут(ф*(д*,в/3),с) = й(ф*(д*,тс)].

Из определений 4, Т и ІЗ непосредственно следует, что автоматная шифрсистема является самосинхронизирующейся с задержкой т, если и только если этим свойством обладают все задаваемые ею последовательностные шифры.

Теорема б. Любая самосинхронизирующаяся с задержкой т автоматная шифр-система Ea = <X, K, Y, E,D>, у которой все проекции Ek шифрующего автомата E суть сильно связные автоматы, неотличима от некоторой регистровой шифрсистемы Er = <X, K, Y, R, e, d> размерности т.

Доказательство. Следуя доказательству теоремы З, построим поточную шифр-систему Es = <X, Y, K, G, e, d>, эквивалентную шифрсистеме Ea = <X, Y, K, E,D>. Поскольку шифрсистемы эквивалентны и шифрсистема Ea является самосинхронизирующейся с задержкой т, то и шифрсистема Es также является самосинхронизирующейся с задержкой т.

Зафиксируем любое значение ключа k Є K и рассмотрим в Es проекцию Gk ГКП G на вход Y. По построению в доказательстве теоремы З функция переходов ГКП G определяется как

^/(q, (y,k)) = ((-kl(y),k)).

Соответственно этому функция переходов его проекции Gk определится как

^k (q,y) = ^k (q,(-kl(y)).

Поскольку по теореме 2 функция (qk(x) инъективна, то обратная ей функция (-l(y) существует и сюрьективна. В этом случае для любых ql,q2 Є Q(= Q;), а Є X*, в Є Y* если ^k(ql,а) = q2 и ((?1,а) = в, то <(-1(^1,в) = а и ^k(?1 ,в) = = ^k(ql,(Є—г1(в)) = ^k(?1,а) = q2, и из сильной связности автомата Ek следует сильная связность автомата Gk. Теперь по теореме 5 шифрсистема Es , а вместе с ней и шифрсистема Ea, неотличима от некоторой регистровой шифрсистемы Er размерности т. ■

ЛИТЕРАТУРА

1. Панкратов И. В. К определению понятия самосинхронизирующегося поточного шифра // Вестник Томского госуниверситета. Приложение. 2007. №23. С. 114-117.

2. Панкратов И. В. О поточных и автоматных шифрсистемах // Прикладная дискретная математика. Приложение. 2009. №1. С. 21-24.

3. Агибалов Г. П., Оранов А. М. Лекции по теории конечных автоматов. Томск: Изд-во Том. ун-та, 1984. 185 с.

4. Закревский А. Д. Метод автоматической шифрации сообщений // Прикладная дискретная математика. 2009. №2. С. 127-137.

5. Menezes A., van Oorshot P., Vanstone S. Handbook of Applied Cryptography. CRC Press, 1996. 661 p.