О совершенных имитостойких шифрах замены с неограниченным ключом Текст научной статьи по специальности «Математика»

УДК 519.7

О СОВЕРШЕННЫХ ИМИТОСТОЙКИХ ШИФРАХ ЗАМЕНЫ С НЕОГРАНИЧЕННЫМ КЛЮЧОМ

© 2013 С.М. Рацеев1

В работе исследуются совершенные шифры, стойкие к имитации и подмене сообщений. Хорошо известно, что шифр гаммирования с равновероятной гаммой является совершенным, но максимально уязвимым к попыткам имитации и подмены. Это происходит потому, что в шифре гаммирования алфавиты для записи открытых и шифрованных текстов равномощны. На основе математической модели шифра замены с неограниченным ключом, предложенной А.Ю. Зубовым, в работе приводится конструкция шифра, который обладает указанными тремя свойствами. При этом опорный шифр данной модели является совершенным и достигает нижних границ для вероятностей успеха имитации и подмены сообщений.

Ключевые слова: шифр, совершенный шифр, имитация сообщения.

Пусть X, К, У — конечные множества открытых текстов, ключей и шифрованных текстов соответственно. Обозначим через

£в = (X, К, У, Е, Б, Р(X), Р(К))

вероятностную модель шифра (см. [1]), где Е и Б — множества правил зашифрования и расшифрования соответственно. При этом предполагается, что априорные распределения вероятностей Р(X) и Р(К) на соответствующих множествах X и К независимы и не содержат нулевых вероятностей. Распределения Р(X) и Р(К) естественным образом индуцируют распределение вероятностей Р(У) следующим образом:

Ру (у) = £ Рх (х)Рк (к).

(х,к)еххк

Ек (х) = у

Обозначим через К(х,у) множество таких ключей к € К, для которых Е^(х) = у. Условная вероятность Рух(у\х) определяется естественным образом:

Р (у\х) = { £Рк(к), е-и К

[0, если К (х, у) = 0.

С помощью теоремы умножения вероятностей можно определить и условную вероятность Ру\х(у\х):

р , , , Рх(х)РуI X(у\х)

Рх 1 у (х|у) =-РУ(у)-.

1 Рацеев Сергей Михайлович (RatseevSM@mail.ru), кафедра информационной безопасности и теории управления Ульяновского государственного университета, 432017, Российская Федерация, г. Ульяновск, ул. Льва Толстого, 42.

Напомним, что шифр £в называется совершенным по Шеннону, если для любых х € X и у € У выполняется равенство Рх\у(х\у) = Рх(х). Для совершенного по Шеннону шифра можно дать и эквивалентные определения.

Предложение 1. Для произвольного шифра £в следующие условия эквивалентны:

(г) для любых х € X и у € У выполнено равенство Рх\у(х\у) = Рх(х); (гг) для любых х € X и у € У выполнено равенство Ру\х(у\х) = Ру(у); (ггг) для любых хх,х2 € X и у € У выполнено равенство

РУ\х (у\х1) = РУ\х (у\х2)-

Приведем критерий совершенных шифров в классе шифров с равномерным распределением вероятностей на множестве ключей К.

Теорема 1. Пусть для шифра £в выполнено двойное неравенство X \ ^ ^ \У\ ^ \К\, и распределение вероятностей Р(К) является равномерным. Тогда шифр £в является совершенным по Шеннону тогда и только тогда, когда выполнены следующие условия:

(г) для любых х € X и у € У найдется такой ключ к € К, что Ек (х) = у; (гг) для любых хх,х2 € X, у € У выполнено равенство

\К (хъу)\ = \К (х2,у)\.

Доказательство. Пусть шифр £в является совершенным по Шеннону. Тогда пункт (г) следует из предложения 1 и того факта, что распределения вероятностей Р(X), Р(К) и Р(У) не содержат нулевых вероятностей. Далее из предложения 1 следует, что для любых хх,х2 € X и у € У выполнено равенство Ру\х(у\х\) = = РУ\х(у\х2). Так как распределение вероятностей на Р(К) является равномерным, то

\К(х1,у)\ р ( | ^ р / , ч \К (х2,у)\ -К- = РУ\х (у\х1) = РУ\х (у\х2) = -К-•

Поэтому следует равенство \К(х\,у)\ = \К(х2,у)\ для любых хх,х2 € X и у € У, что показывает справедливость пункта (гг).

Обратно, пусть выполнены пункты (г) и (гг). Из (г) следует, что \К(х,у)\ > 0 для любых х € X, у € У, а из (гг) следует такое равенство для любых хх,х2 € X,

у € У:

\К (х1,у)\ \К (x2, у) \ р ( , , РУ\х {у\х1) = -Щ- = -К- = РУ\х (у\х2)•

Поэтому из предложения 1 следует, что шифр £в является совершенным по Шеннону. Теорема доказана.

Рассмотрим вероятностное пространство (О = К,Рк,Рк). Зафиксируем у € У. Обозначим через К(у) следующее множество:

К(у) = {к € К \ у € Ек(X)}.

Под обозначением К (у) будем также понимать событие (К (у) € Рк), заключающееся в том, что при случайном выборе ключа к € К шифртекст у можно

расшифровать на ключе к, то есть у € Ek (X). Тогда событию K(у) будут благоприятствовать все элементы из множества K(у) и только они. Поэтому

Р(K(у))= £ Pk(к). кек(у)

Если канал связи готов к работе и на приеме установлены действующие ключи, но в данный момент времени никакого сообщения не передается, то в этом случае противником может быть предпринята попытка имитации сообщения. Тогда вероятность успеха имитации определяется следующим образом:

Pim = max P(K(y)).

y£Y

Если же в данный момент передается некоторое сообщение у € Y (которое получено из открытого текста x € X на ключе к € K), то противник может заменить его на у € Y, отличный от у. При этом он будет рассчитывать на то, что на действующем ключе к криптограмма у будет воспринята как некий осмысленный открытый текст У, отличный от x. Пусть "K(у) | K(у)'' — событие, заключающееся в попытке подмены сообщения у сообщением у. Применяя теорему о произведении вероятностей, получаем, что

PK(у) | KШ) == P(K^ = ^"»К™

P(K(у)) Т,кек(у) рк(к)

где K(у,у) = K(у) П K(у). Тогда вероятность успеха подмены сообщения будет вычисляться по следующей формуле:

Ppodm = max Р(K(у) I K(у)).

y ,y EY

y = y

Теорема 2 ([2]). Для любого шифра £в справедливы неравенства

Р > X Р > хы

рim > IYI , рpodm > iy| i .

При этом Pim = IXI/\YI тогда и только тогда, когда для любого у € Y выполнено равенство Р(K(у)) = IXI/\Y|. Также

Ppodm = (IX I- l)/(IY I- 1)

тогда и только тогда, когда для любых у, у € Y, у = у, выполнено равенство Р(K(у) | K(y)) = (|XI- 1)/(\YI- 1).

Пусть Y = {у\, ..,уп}, Sn — симметрическая группа степени n, Tj € Sn — циклическая перестановка на j позиций влево. Обозначим через Aj = Aj (n, 2) матрицу размера n х 2 над множеством Y, имеющую такой вид:

т

A= ( 1 2 - n \ j=1 i

Aj = Tj(1) Tj(2) ... Tj(n) , j = 1, ... , n - 1.

Из матриц А2, ] = 1, ...,п — 1, составим матрицу М = М(п2 — п, 2) размера (п2 — — п) х 2 путем последовательной графической записи матриц А1,..., А„_1 одной под другой.

Предложение 2. Пусть \К\ = п2 — п, \Х\ = 2. Занумеруем строки матрицы М элементами множества К, а столбцы — элементами множества X. Пусть

матрица М является матрицей зашифрования для некоторого шифра £в и распределение вероятностей Р(К) является равномерным. Тогда шифр £в является совершенным по Шеннону, и для шифра £в одновременно достигаются нижние границы для вероятностей Рт и Рроат:

, Рроит

1 ~ роит -| •

п п — 1

Доказательство следует из теорем 1 и 2.

Определенная вероятностная модель шифра £в позволяет рассматривать в качестве множества открытых текстов X лишь последовательности в некотором конечном алфавите А, длины которых ограничены некоторой заранее определенной константой. В работе [2] приводятся модели шифров замены с ограниченным и неограниченным ключом, для которых, в частности, на множество X такое ограничение не накладывается. Поскольку в общем случае шифр замены с ограниченным ключом совершенным не является (см. [2]), нас будет интересовать шифр замены с неограниченным ключом. Такая математическая модель имеет ряд полезных свойств, например, она позволяет строить модели совершенных шифров, стойких к имитации и подмене (см. [3]). Приведем модель данного шифра.

Пусть и — конечное множество возможных шифрвеличин, а V — конечное множество возможных шифробозначений. Пусть также имеются г (г > 1) инъ-ективных отображений из и в V. Пронумеруем данные отображения: Ег, Е2,..., Ег. Они называются простыми заменами. Обозначим Мг = {1, 2,...,г}. Опорным шифром шифра замены назовем совокупность £ = (и, Мг ^,Е,Б), для которой выполнены следующие свойства:

1) для любых и € и и ] € Мг выполнено равенство В^(Е^(и)) = и;

2) V = Е3 (и).

При этом Е = {Е1, ••., Ег}, В = {Вг,Вг}, В^ : Ей(и) ^ и, ] € Мг.

1-й степенью опорного шифра £ назовем совокупность

£1 = (и1, N.^1 ,Е(1),В(1)),

где и1, N. ^1 — декартовы степени соответствующих множеств и, V. Множество Е(0 состоит из отображений Щ : и1 ^ V1, ] € М, таких, что для любых и = и\...щ € и1, ] = jl•••jl € N выполнено равенство

Щ(й) = Е1 иуЕ (и) = уъ^ € ^,

а множество состоит из отображений В^ : Щ(и1) ^ и1, ] € М, таких, что

для любых V = У1 •••VI € V1, ] — jl•••jl € выполнено равенство

вз(у) = Вп (VI)-Вп (VI) = иг •••и € иК

Пусть фс — случайный генератор ключевого потока, который для любого натурального числа I вырабатывает случайный ключевой поток jг•••jl, где все ji € Мг.

Обозначим через £1Н следующую совокупность величин:

£1Н = (и1, ^^1,Е(1),В(1),Р(и1),Р(М))•

Шифром замены с неограниченным ключом назовем семейство

£н = (£Н, I € М; фс)-

При этом независимые и не содержащие нулевых вероятностей распределения Р(и1) и Р(М) индуцируют распределения вероятностей на множестве V1:

РуI (У)= Т, РиI (и)Рк 0)-

Также определим условные вероятности Ри1 <уI (и\ц) и РуI<иI (ц\и):

РиI (и) • Ру11 и1 (у\и)

| и' (У\и) = > РмГ (J), Ри | У (и\У) =-Б~Гл-,

^ г 1 РуI (у)

Ру11 и1 (у\и) = РК (3), Ри Чу 1 (и\ц) =

^емГ (и,у)

где (и, у) = {] € N \ Щ(й) = у}. Говорят, что шифр £н является совершенным тогда и только тогда, когда для любого натурального I шифр £Н является совершенным по Шеннону.

Предложение 3. Для шифра £н следующие условия эквивалентны: (г) для любого I € N и любых и € и1, V € V1 выполнено равенство Ри^уI (Щу) = = РиI(и);

(гг) для любого I € N и любых и € и1, V € V1 выполнено равенство Ру 11и I (У\и) = Ру I (V);

(ггг) для любого I € N и любых й\,й2 € и1, V € V1 выполнено равенство

Ру11 и1 (Цй ) = Ру11 иI (У\и2 ).

Теорема 3. Пусть для шифра £н выполнены неравенства

\и\ < V\ < г,

и распределение вероятностей Р(Мг) является равномерным. Тогда шифр £н является совершенным тогда и только тогда, когда выполнены следующие условия: (г) для любых и € и и V € V найдется такое j € Мг, что Е^ (и) = у; (гг) для любых иг,и2 € и, V € V выполнено равенство

М (иг,ц)\ = М (и2,у)1

Доказательство. Пусть шифр £н является совершенным. Тогда, в частности, опорный шифр шифра £н будет являться совершенным по Шеннону. Поэтому условия (г) и (гг) следуют из теоремы 1.

Обратно, пусть выполнены условия (г) и (гг) для шифра £н. Зафиксируем произвольное значение I € N. Из пункта (г) следует, что для любых и = иг^.щ € € и1 и V = Уг^ц, € V1 найдется такой ключевой поток ^ = jг•••jl € N, зависящий от и и V, что

Щи) = Е^ (иг)-Е^ (щ) = Уг-ц = V.

Далее, зафиксируем произвольным образом некоторые значения а = аг•••Щ € иl, Ь = Ь1...Ь1 € и1, V = уг..щ € Vl. Тогда

l l \Nr(а,У)\ = П \Nr(ащ)\^ Ц \Nr(ЬиЩ)\ = \Nr(Ь,У)\.

г=г г=г

Таким образом, из теоремы 1 следует, что шифр £1н является совершенным по Шеннону. В силу произвольности значения I следует совершенность шифра £н. Теорема доказана.

Обозначим через Р1т вероятность успеха имитации сообщения для шифра Т*1Н, а через Р1роат(а) — вероятность успеха подмены в сообщении длины I ровно а символов для шифра Т*Н, где а ^ I. Из теоремы 2 следует, что если для некоторого шифра £н выполнено равенство \и\ = \У\, где и, V — множества шифрвеличин и шифробозначений соответственно, то Р1т = Р1роШ(а) = 1 для любых натуральных I и а ^ I, то есть такие шифры максимально уязвимы к угрозам имитации и подмены сообщения. В следующем предложении приводится шифр замены с неограниченным ключом, опорный шифр которого является совершенным и достигает нижних границ для вероятностей успеха имитации и подмены сообщений.

Предложение 4. Пусть М = М(п2 — п, 2) — матрица над множеством V = = {^1, ...,уп}, построенная перед предложением 2, г = п2 — п, \и\ = 2, и пусть матрица М является матрицей зашифрования для опорного шифра замены с неограниченным ключом £н. Пусть также случайный генератор ключевых последовательностей фс из конструкции шифра £н имеет равномерное распределение. Тогда для любого натурального I шифр Т*Н является совершенным по Шеннону и выполнены следующие равенства:

' 2 V ^ _ ( 1

Р1 =(2\ Р1 ш ^ ^ ' р ойш( ) ^ п — 1) '

то есть РШ ^ 0 при I ^ то, Р1роШХ.а) ^ 0 при а ^ то.

Доказательство следует из предложения 2 и теоремы 3.

Литература

[1] Основы криптографии / А.П. Алферов [и др.]. М.: Гелиос АРВ, 2005.

[2] Зубов А.Ю. Криптографические методы защиты информации. Совершенные шифры. М.: Гелиос АРВ, 2005.

[3] Рацеев С.М. О совершенных имитостойких шифрах // Прикладная дискретная математика. 2012. № 3(17). С. 41-47.

Поступила в редакцию 23/IX/2013; в окончательном варианте — 23/IX/2013.

ON PERFECT IMITATION RESISTANT CIPHERS OF SUBSTITUTION WITH UNBOUNDED KEY

© 2013 S.M. Ratseev2

Constructions of perfect imitation resistant ciphers are investigated in the work. It is well known that Vernam cipher with equiprobable gamma is a perfect cipher but it is not imitation resistant. It is because in Vernam cipher equipotent alphabets for plaintexts and ciphertexts are used. On the basis of A.Yu. Zubov's mathematical model of substitution cipher with unbounded key a model of perfect and imitation resistant cipher is constructed. At that reference cypher of the given model is perfect and reaches lower boundaries for success probability of imitation and substitution of communication.

key words: cipher, perfect cipher, imitation of communication.

Paper received 23/IX/2010. Paper accepted 23/IX/2010.

2Ratseev Sergey Mihailovich (RatseevSM@mail.ru), the Dept. of Information Security and Control Theory, Ulyanovsk State University, Ulyanovsk, 432017, Russian Federation.