CC BY
34
Таким образом, для определения позиции q неизвестного сообщения m потребуется
перехватить не менее Ni = 2maxmax{M(h,a,ß, (1 — Д2)/2)} зашумлённых кодовых
i heHi
сообщений, где i Е {1,..., k — l + 1}.
Пусть q = i — определённая позиция сообщения m после наблюдения N1 зашумлённых кодовых слов. Чтобы оценить необходимый объём выборки для восстановления сообщения m, используем метод восстановления фиксированного сообщения при кодовом зашумлении; метод описан в [3]. Если гипотеза Hi верная, то для применения этого метода нужно использовать выборку (2). Пусть N2 — необходимое число перехватов для восстановления исходного сообщения m по выборке (2). Тогда минимальное число перехватов зашумлённых кодовых слов, необходимое для восстановления исходного сообщения m, равно max (N1, N2).
ЛИТЕРАТУРА
1. Wyner A. D. The wire-tap channel // Bell Sys. Tech. J. 1975. V. 54. P. 1355-1387.
2. Коржик В. И., Яковлев В. А. Неасимптотические оценки эффективности кодового зашум-ления одного канала // Пробл. передачи информ. 1981. Т. 17. №4 С. 11-18.
3. Иванов В. А. Статистические методы оценки эффективности кодового зашумления // Труды по дискретной математике. 2002. Т. 6. С. 48-63.
4. Chabot C. Recognition of a code in a noisy environment // Proc. IEEE ISIT, June 2007. P. 2211-2215.
5. YardiA.D. and Vijayakumaran S. Detecting linear block codes in noise using the GLRT // Proc. IEEE Intern. Conf. Communications (ICC), Budapest, Hungary, June 9-13, 2013. P. 4895-4899.
УДК 519.6 DOI 10.17223/2226308X/9/23
О ТОЧНОСТИ МАТРИЧНО-ГРАФОВОГО ПОДХОДА К ОЦЕНКЕ ПЕРЕМЕШИВАЮЩИХ СВОЙСТВ ПРЕОБРАЗОВАНИЙ
С. Н. Кяжин, Ф. В. Лебедев
Приведены экспериментальные результаты оценки точности матрично-графового подхода к исследованию перемешивающих свойств нелинейных преобразований. В качестве класса преобразований, для которого проводилась оценка, взяты все преобразования множества Vn двоичных n-мерных векторов, перемешивающий граф которых есть n-вершинный граф Виландта, а также раундовые подстановки алгоритмов блочного шифрования AES, «Кузнечик» и «Магма» (ГОСТ 28147-89). Установлено, что полученные при матрично-графовом подходе оценки точны для 25 % преобразований с перемешивающим графом Виландта (n = 9,10,11), а также для раундовой подстановки алгоритмов AES и «Кузнечик». Указанные оценки не являются точными для раундовых подстановок алгоритма «Магма» и для 75% преобразований с перемешивающим графом Виландта.
Ключевые слова: перемешивающие свойства, матрично-графовый подход, граф Виландта, AES, «Кузнечик», «Магма».
Введение
Для оценки перемешивающих свойств с помощью композиции преобразований используют оценочный матрично-графовый подход [1, гл. 10]. Начиная с 2010 г., в журнале «Прикладная дискретная математика» опубликован ряд теоретических и прикладных работ, развивающих данный подход (обзор результатов до 2012 г. см. в [2]).
58
Прикладная дискретная математика. Приложение
Перемешивающим графом преобразования д множества Xп называется п-вершин-ный орграф Г(д), где пара вершин (г, ) образует дугу в Г(д), если и только если г является существенной переменной координатной функции д^-. Матрица М(д) смежности вершин графа Г(д) называется перемешивающей матрицей преобразования д. Преобразование называется совершенным, если все координатные функции зависят от всех переменных.
Многие криптографические функции, например алгоритмы блочного шифрования, являются итеративными (реализуется степень некоторого преобразования д), то есть перемешивающей матрицей реализуемой функции является М(дг), г Е N. В общем случае (М(д))* ^ М(дг), г Е N. Следовательно, если матрица (М(д))г не положительна, то преобразование дг не совершенно, г Е N [1, гл. 10]. На данном утверждении основан матрично-графовый подход к исследованию перемешивающих свойств, задача которого — определить наименьшее натуральное к, при котором (М(д))к > 0 (такое к называется экспонентом матрицы М(д), обозначается ехрМ(д)). Вместо матрицы (М(д))г равносильно рассматривать её носитель — матрицу, в которой все положительные элементы заменены на 1. Точность матрично-графового подхода определяется различием матриц (М(д))* и М(д*), г Е N.
В работе приведены результаты экспериментального исследования точности мат-рично-графового подхода для преобразований с перемешивающим графом Виландта (класс графов Виландта введён в [3]) и для раундовых подстановок ряда блочных шифров.
1. Точность матрично-графового подхода к оценке перемешивающих свойств нелинейных преобразований с перемешивающим графом
Виландта
Обозначим через (п) множество всех нелинейных преобразований множества Уп вида д = д' ф а с перемешивающим графом Виландта, где а Е Уп и преобразование д' : Уп ^ Уп задано системой координатных функций:
д' = {д1(Хп),д2(ж1),дз(ж2), . . . ,дп-1(Хп-2),дп(Хп-2,Хп-1)}.
По результатам вычислительного эксперимента множество (10) разбивается на равномощные классы С1, С2, С3, С4. Каждому классу однозначно соответствует последовательность значений ^н((М(д))\ М(д*)), г = 2,..., 100, где ^н(М1, М2) —расстояние Хэмминга между матрицами М1, М2, определяемое как количество различных элементов. В табл. 1 приведены условия распределения преобразований по классам.
Таблица 1
010 = Х8Х9 или 010 = Х8Х9 ф Х9 010 = Х8Х9 ф Х8 Условия принадлежности
010 = Х8Х9 ф Х8 ф Х9 классам
С1 Оз О2 || а У нечётный, «9 =0
С2 О 4 О1 || а || чётный, «9 = 1
Оз О1 О4 ||а|| нечётный, «9 = 1
О4 О2 Оз ||а|| чётный, «9 =0
Для преобразований д Е {С1, С2, С3} выполнено (М(д))к = М(дк), начиная с некоторого к Е N. Для преобразования д Е С4 для любого г Е N выполнено равенство (М(д))г = М(дг). При п = 9,11 наблюдается аналогичное разбиение, что позволяет выдвинуть гипотезу о подобном разбиении данного множества преобразований на классы при любом п > 2.
Для преобразований д Е Ощ(п) выполнены свойства, связанные с перемешиванием.
Утверждение 1. Пусть полугрупповое преобразование д Е (п) имеет тип (й, т), 7 = ехрМ(д). Если й + т < 7, то существует такое г Е М, что (М(д))г > М(дг).
Утверждение 2. Для любого д Е (п) найдётся такой вектор а Е Уп, что для любого г Е N преобразование (д ф а)г не является совершенным.
2. Точность матрично-графового подхода к оценке перемешивающих свойств раундовых подстановок шифров ЛЕ8, «Кузнечик» и «Магма»
Пусть д!, д2 — раундовые подстановки алгоритмов блочного шифрования АЕБ [4] и «Кузнечик» [5] соответственно, построенных на основе БР-сетей. Для д Е {д1,д2} экспериментально определено, что М(дк) = (М(д))к для к = 2,..., Л, где Л — число раундов шифрования алгоритма (Л Е {10,12,14} при д = д1, Л = 9 при д = д2).
Для алгоритма «Магма» [5], построенного на основе сети Фейстеля, матрично-гра-фовый подход не является точным. В табл. 2 для раундовой подстановки д показана зависимость границы к, при которой йн(М(дг), (М(д))г) = 0 для г ^ к, от числа нулевых младших битов раундового ключа при условии, что все раундовые ключи равны.
Таблица 2
Число нулевых младших битов ключа exp M (g) Значения k
0, ..., 16 3 6
17, ..., 20 3 7
21, ..., 32 4 8
Выводы
Результаты оценочного матрично-графового подхода к исследованию перемешивающих свойств преобразований для некоторых преобразований абсолютно точны (для 25% преобразований из множества Gw(n), n = 9,10,11). Для многих других преобразований оценки не точны, но могут считаться практически приемлемыми.
Направление дальнейших исследований перемешивающих свойств преобразований следует увязать с глубоким изучением их алгебраических и комбинаторных свойств.
ЛИТЕРАТУРА
1. Фомичев В. М. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010. 424 с.
2. Когос К. Г., Фомичев В. М. Положительные свойства неотрицательных матриц // Прикладная дискретная математика. 2012. №4(18). С. 5-13.
3. Фомичев В. М. Оценки экспонентов примитивных графов // Прикладная дискретная математика. 2011. №2(12). С. 101-112.
4. FIPS PUB 197. Advanced Encryption Standard. NIST, 2001. 47 p.
5. ГОСТ Р 34.12-2015. Информационная технология. Криптографическая защита информации. Блочные шифры. М.: Стандартинформ, 2015. 25 с.
