ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА 2024 Математические методы криптографии № 65
УДК 519.218+004.056.5 DOI 10.17223/20710410/65/4
О ВЛИЯНИИ ВЕРОЯТНОСТНЫХ ХАРАКТЕРИСТИК ДИСКРЕТНЫХ ИСТОЧНИКОВ, ФОРМИРУЮЩИХ КРИПТОГРАФИЧЕСКИЕ КЛЮЧИ, НА ПРАКТИЧЕСКУЮ СЕКРЕТНОСТЬ КЛЮЧА
A.C. Логачев*, В, О. Миронкин**
* Лаборатория ТВП, г. Москва,, Россия
**
E-mail: mironkin.v@mail.ru
Предложена математическая модель двоичного дискретного источника, приближенная к практическим условиям функционирования устройств генерации криптографических ключей. Модель допускает нестационарность таких устройств, а также наличие статистических зависимостей между их выходными битами. В рамках модели получена достижимая и легко вычислимая оценка снизу практической секретности ключа. Показано, что при определённых параметрах модели оценка позволяет делать содержательные выводы о криптографическом качестве ключей, в то время как другие известные оценки не справляются с этим.
Ключевые слова: практическая секретность ключа, алгоритм опробования до успеха, усечённый алгоритм опробования.
ON THE INFLUENCE OF PROBABILISTIC CHARACTERISTICS OF DISCRETE SOURCES FORMING CRYPTOGRAPHIC KEYS ON THE PRACTICAL SECRECY OF THE KEY
A. S. Logachev*, V. O. Mironkin**
* TVP Laboratory, Moscow, Russia
**
The mathematical model of a binary discrete source is proposed, which is close to the practical conditions for the operation of cryptographic key generation devices. The model takes into account the non-stationarity of such devices, as well as the presence of statistical dependencies between their output bits. Within the framework of the model, an achievable and easily computable lower estimate of the practical secrecy of the key is obtained. It is shown that with certain parameters of the model, the assessment allows us to draw meaningful conclusions about the cryptographic quality of keys, while other well-known estimates do not cope with this.
Keywords: the practical secrecy of the key, algorithm of testing to success, truncated algorithm of testing.
Введение
В соответствии с принципом Керкгоффса [1, 2] защищённость информационных систем держится на секретности используемых в них криптографических ключей. Поэтому совершенно не удивительно, что оценка практической секретности ключа
является не только неотъемлемой составляющей анализа широкого класса алгоритмических методов защиты информации (далее — АМЗИ), в том числе имеющих квантовую природу [3], но и синтеза ряда аппаратно-программных средств, используемых для генерации случайных последовательностей [4], на основе которых формируются ключи шифрования, ключи электронной подписи, пароли, пин-коды и т, д.
Криптографический смысл практической секретности ключа, а также результаты её теоретико-вероятностного исследования достаточно полно изложены в работах [5, 6]. Публикацию II. \ I. Арбекова [5], без сомнения, можно считать основополагающей работой по анализу практической секретности ключа, положившей начало дальнейшим исследованиям в этой области [3, 6].
Напомним, что в соответствии с [5] для произвольных фиксированных п € N и п,
(п)
0 < п ^ 1, практическая секретноеть ключа Qn ) равна минимальному среди средних значений трудоёмкоетей Яа„(ж) всех возможных усечённых алгоритмов Ап(п) опробования ключа из {0,1}п с вероятностями успеха п, п ' п:
Qnп) = тЬ (Да.(*)) .
А(ж): п'п
В работе [6] указанная величина изучается в рамках математической модели, в которой ключ представляет собой реализацию дискретного источника без памяти (далее — ДИБП) [7], функционирующего в соответствии с некоторой полиномиальной схемой:
А ~ (Ш1 Ш2 .. Ш2Л , (1)
\Р1 Р2 ... Р2п)
где шг € {0,1}п, п € N я = 1, 2,..., 2п, а компоненты вектора распределения р = = (р1,р2,...,Р2п) удовлетворяют соотношениям
Р1 + Р2 + ... + Р2П = 1 И 1 > Р1 ' Р2 ' ... ' Р2П > 0. (2)
Для этой модели автором [6] получена следующая оценка снизу практической секретности ключа:
Qn-) № ' (1 - ^) 2П (1 -28г) + 1, (3)
1
2п
где 8 = - \pj — 2 п | — расстояние то вариации между раепределениями (р1 , р2 ,..., р2п ) 2 j=l
и (2-п, 2-п,..., 2-п).
Замечание 1. Оценка (3) получена для алгоритма оптимального опробования ключей, заключающегося в переборе элементов ключевого множества в порядке невозрастания их вероятностей (2), начиная с наиболее вероятного. При произвольном фиксированном распределении (1) такой алгоритм, очевидно, минимизирует среднюю трудоёмкость опробования.
Отметим один из недостатков оценки (3) — для её вычисления необходимо сумми-
2п
мощностей, а также высокой точности расчётов. Кроме того, в соответствии с [6] оценка (3) является содержательной лишь при справедливости неравенства
8 < шш (1/8, п/2). (4)
Формула (3) активно используется на практике, В частности, в классических условиях анализа Л М М I [6, с, 32], когда элементы ключевого множества имеют равновероятное распределение
Таким образом, в «рафинированных» условиях, соответствующих (5), оценка (3) практической секретности ключа является достижимой и её использование в связи с этим не вызывает никаких сомнений. Вместе с тем при синтезе Л М М I могут возникать достаточно естественные вопросы: возможно ли на практике обеспечить выполнение модельных предположений вида (1), характерных лишь для стационарных источников [7]? И если их нельзя обеспечить, то что использовать в качестве аналога оценки (3)? Или никакие аналоги не требуются и её использование является допустимым?
Отвечая на первый вопрос, к сожалению, мы получим отрицательный ответ. Действительно, в общем случае учесть влияние всех возможных внешних факторов на процесс формирования криптографических ключей некоторым, вообще говоря, физическим источником достаточно проблематично. Кроме того, сама элементная база реального источника подвержена естественной деградации, влияющей на вероятностные свойства и характеристики формируемых последовательностей,
В таком случае становятся актуальными пока ещё открытые второй и третий вопросы, которые мы рассмотрим в рамках настоящей работы, попутно предлагая некоторые способы построения оценки снизу практической секретности ключа в более общих модельных предположениях, характерных для практики.
Исследование будем проводить в три этапа. На первом этапе построим оценку снизу для средней трудоёмкости алгоритма опробования ключа до успеха, на втором этапе — оценку снизу для средней трудоёмкости процедуры опробования ключа на основе усечённых алгоритмов с некоторыми фиксированными вероятностями успеха и, наконец, на третьем — искомую оценку для практической секретности ключа.
Для решения указанных задач построим теоретико-вероятностную модель источника формирования криптографических ключей,
1. Модель источника формирования криптографических ключей
Рассмотрим невырожденный двоичный дискретный источник — вероятностное пространство ({0,F, Рг), где F —наименьшая по включению а-адгебра на {0, содержащая все цилиндрические множества [7] общего вида, а вероятность Рг такова, что для её конечномерных распределений Pt1,t2,...,tk-, 1 ^ t1 < t2 < . . . < tk, k =1, 2,..., выполняется соотношение
для произвольных (х\,х2,... ,Хк) € {0,1}к., где 0 ^ е ^ 1/2,
Здесь последовательность элементов ¿2,..., определяет моменты времени формирования источником ({0,Т, Рг) значений х1, х2,..., в нашем случае представляющих биты ключа.
Р1 = Р2 = ... = P2« = 2 и, как следствие, ö = 0, выполняется известное равенство [5, с, 46]
Qi1)(0) = (2n + 1)/2.
P2n = 2-n
(5)
(6)
Замечание 2. Ограничение вида (6) на вероятностные свойства источника является достаточно слабым по сравнению с (1), допускающим, в частности, его нестационарность или даже зависимость формируемых им битов ключа. Более того, при е ^ 1/2 это ограничение в принципе вырождается.
Подобная математическая модель источника использовалась в [8] при обосновании качества криптографических преобразований,
В частном случае, когда е = 0, неравенство (6) принимает вид
2-к ^ Дь42...А (жьж2,...,ж*) ^ 2-к,
что при к = п соответствует ДИБП с распределением (5),
Итак, мы построили модель дискретного источника формирования криптографических ключей, В рамках этой модели перейдём к оценке средней трудоёмкости алгоритма опробования ключа до успеха,
2. Оценка снизу средней трудоёмкости алгоритма опробования ключа до успеха
Согласно (6), для произвольного фиксированного е, 0 ^ е ^ 1/2, уместно говорить о формировании ключей из {0,1}п в соответствии с полиномиальной схемой, зависящей от вектора I = (¿ь ¿2,..., ¿п):
А®~СГи ... РГв), (7)
где г € {0,1}п, г = 1, 2,..., 2п, а компоненты вектора раепределения р(1) = (р1(1), р2(1),... ,р2п (I)) удовлетворяют системе соотношений
Гр1(!)+ Р2(1) + ... + Р2П (I) = 1,
<1 >Р1(1) ^ Р2(1) ^ ... ^ Р2П (I) > 0, (8)
[ (1/2 - е)п ^ р (I) ^ (1/2 + е)п , . = 1, 2,..., 2п.
Общая теория [5] позволяет выписать формулу для средней трудоёмкости ЕТд^ алгоритма опробования ключа, сформированного источником в соответствии с вероятностной схемой Ае(1), до успеха:
2П
ЕТд£Й = Е ЗР3(I). (9)
3 = 1
Для произвольных п € Ми е, 0 ^ е ^ 1/2, введём обозначение
Т^еНттГ т ^ (КГд^)) ,
где I = (¿1, ¿2,... ,!п), 1 ^ ¿1 < ¿2 < ... < ¿п, а (р^!),^!),... ,Р2« (I))—векторы, удовлетворяющие (8),
Кроме того, через [г] обозначим наибольшее целое число, меньшее или равное г. Тогда имеет место
Утверждение 1. Для произвольных n G N и e, 0 < e < 1/2, справедливо равенство
T,>(£) = s+1+(2"- s - ')<2"- s) ( 1 - X - £í걆 ( i+х, (10)
где s
2 V2 ) 2 V 2
1 - (1 - 2e)n
При этом для e G {0,1/2}
(1 + 2е)п - (1 - 2е)т
7^(0) = (2n + 1)/2, тП1)(1/2) = 1. (11)
Доказательство. Равенства в (11) очевидны. Перейдём к обоснованию соотношения (10), Зафиксировав произвольные е, 0 < е < 1/2, и t = (t1, t2,..., tn), 1 ^ t1 < t2 < ... < tn, построим вероятностную схему
л®л ••• лй, (i2)
\P?1(t) P2(t) ••• P2" (t)7
минимизирующую величину (9), Очевидно, что количество значений Ae(t), имеющих максимальную вероятность (1/2 + е)га, совпадает с наибольшим натуральным s < 2n, удовлетворяющим неравенству
s (1/2 + e)n + (2n - s) (1/2 - e)n ^ 1, (13)
т, е, с величинои
1 - 2n (1/2 - e)n L (1/2 + e)n - (1/2 - e)nJ
2n 1 - (1 - 2e)n 2 (1 + 2e)n - (1 - 2e)n_
Таким образом,
pi(t) = ... = ps(t) = (1/2 + e)n . (14)
В свою очередь, количество значений Ae(t), имеющих минимальную вероятность (1/2 — е)га, больше либо равно 2n — s — 1, При этом
ps+2(i) = ... = p2n (t) = (1/2 — e)n. (15)
Наконец, с учётом (13)
_ s _ 2n
ps+i (t) = 1 — E M) — E P = 1 — s (1/2 + e)n — (2n — s — 1) (1/2 — e)n ^ 0. (16) j=1 j=s+2
По построению все значения j31(t),..., p2n (^удовлетворяют (8), Для j = 1,...,s, s + 2,..., 2n это очевидный факт. Остаётся убедиться в справедливости неравенства (1/2 — e)n ^ ps+i(t) ^ (1/2 + е)га. Действительно, в соответствии с определением вели-s
p3s+i(t) = 1 — s(1/2 + e)n — (2n — s) (1/2 — e)n + (1/2 — e)n ^ ^ 1 — 1 + (1/2 — e)n = (1/2 — e)n, ps+i(t) = 1 — (s + 1)(1/2 + e)n — (2n — s — 1) (1/2 — e)n + (1/2 + e)n < < 1 — 1 + (1/2 + e)n = (1/2 + e)n.
n
s
Итак, распределение вероятностной схемы (12), удовлетворяющее (14)—(16), минимизирует (9), Таким образом,
2n s 2п
min _ (ETao) = ET^ = Е jPj(t) = E ipj(t) + (s + 1)i5s+i(i) + E JPj(t) =
Pl(t),...,P2n (t) j=1 j = 1 j=s+2
s 2п
= E 3(1/2 + e)n + (s + 1)(1 - s(1/2 + e)n - (2n - s - 1)(1/2 - e)n)+ E j(1/2 - e)n =
j=1 j=s+2
= s + 1 + <2"-s-^-s) (i -е)" - f(£±i2 (i + £
Полученное выражение не зависит от t и поэтому представляет собой искомый результат (10), ■
Для 0 < е < 1/2 оценка (10) является достижимой, имеет достаточно простой аналитический вид и эффективно вычислима при больших значениях n G N. В качестве примера приведём значения величин Q^1^) и тП1)(е), рассчитанные с использованием формул (3) и (10) для наиболее часто применяемых на практике значений n G N с указанием соответствующих АМЗИ (табл. 1),
Таблица 1
Оценка e
10-4 5•10-4 10-3 5•10-3 10-2 5•10-2 10-1
n = 56 (DES)
Qk1)(0) 3,60 • 1016 3,60 • 1016 3,60 • 1016 3,60 • 1016 3,60 • 1016 3,60 • 1016 3,60 • 1016
г^оо 3,58 • 1016 3,50 • 1016 3,40 • 1016 2,62 • 1016 1,78 • 1016 2,71 • 1014 1,46 • 1012
Qk1)(^) 3,40 • 1016 2,64 • 1016 1,77 • 1016 _ _ _ _
n = 112 (3DES)
Qn)(0) 2,60 • 1033 2,60 • 1033 2,60 • 1033 2,60 • 1033 2,60 • 1033 2,60 • 1033 2,60 • 1033
Tn1)(e) 2,57 • 1033 2,45 • 1033 2,31 • 1033 1,28 • 1033 5,00 • 1032 7,95 • 1028 3,55 • 1024
2,31 • 1033 1,27 • 1033 2,17 • 1032 _ _ _ _
n = 128 (AES, DEAL, KASUMI, Present, SEED, Speck)
Qk1)(0) 1,70 • 1038 1,70 • 1038 1,70 • 1038 1,70 • 1038 1,70 • 1038 1,70 • 1038 1,70 • 1038
T(1)(e) 1,68 • 1038 1,59 • 1038 1,48 • 1038 7,40 • 1037 2,44 • 1037 1,10 • 1033 1,25 • 1028
Q№) 1,49 • 1038 7,25 • 1037 _ _ _ _ _
n = 160 (SEAL)
Qn)(0) 7,31 • 1047 7,31 • 1047 7,31 • 1047 7,31 • 1047 7,31 • 1047 7,31 • 1047 7,31 • 1047
T(1)(e) 7,19 • 1047 6,72 • 1047 6,15 • 1047 2,46 • 1047 5,72 • 1046 2,10 • 1041 1,57 • 1035
Q[n)(S) 6,17 • 1047 2,22 • 1047 _ _ _ _ _
n = 168 (3DES)
Qn)(0) 1,87 • 1050 1,87 • 1050 1,87 • 1050 1,87 • 1050 1,87 • 1050 1,87 • 1050 1,87 • 1050
T(1)(E) 1,84 • 1050 1,71 • 1050 1,56 • 1050 5,88 • 1049 1,26 • 1049 2,46 • 1043 9,33 • 1036
Q[n)(S) 1,56 • 1050 5,13 • 1049 _ _ _ _ _
n = 192 (AES, DEAL, Speck)
Qk1)(0) 3,14 • 1057 3,14 • 1057 3,14 • 1057 3,14 • 1057 3,14 • 1057 3,14 • 1057 3,14 • 1057
T(1)(e) 3,08 • 1057 2,84 • 1057 2,54 • 1057 8,03 • 1056 1,32 • 1056 4,06 • 1049 1,97 • 1042
Q(n)(S) 2,55 • 1057 5,95 • 1056 _ _ _ _ _
n = 256 («Кузнечик», «Магма», AES, DEAL, Speck, Threefish)
Qn)(0) 5,79 • 1076 5,79 • 1076 5,79 • 1076 5,79 • 1076 5,79 • 1076 5,79 • 1076 5,79 • 1076
T(1)(e) 5,64 • 1076 5,05 • 1076 4,34 • 1076 8,31 • 1075 6,88 • 1074 1,58 • 1066 3,11 • 1056
Q[n)(S) 4,37 • 1076 _ _ _ _ _ _
Из табл. 1 видно, что результат утверждения 1 позволяет точнее оценить среднюю трудоёмкость опробования ключа до успеха по сравнению с формулой (3), Вместе с этим при малых значениях е (например, меныних 10-4) разность значений оценок тП^е) и ^'(б) не столь велика и использование оценки (3), вообще говоря, допустимо, А вот в области больших отклонений (е ^ 5 • 10-3) формула (3) в принципе не работает (в табл. 1 этот факт отмечен символом «-»),
Нетрудно понять, что причиной отсутствия данных в ячейках табл. 1, соответствующих значениям величины ^^'(б), является невыполнение условия (4) для соответствующих значений параметров ие, Разберемся подробнее с этим вопросом,
е
пне оценки (3) при фиксированном п € N.
Утверждение 2. Для любого п € Ми вероятностной схемы (12) оценка (3) корректна при выполнении неравенства
0 ^ е < 1 2
1 +
1
4 + 23-
1
(17)
Доказательство. Очевидно, для е = 0 оценка (3) корректна. Зафиксируем произвольные значения п € Ми е, 0 <е< 1/2, Тогда для для расстояния по вариации 6 между распределениями (р31(^),... ,р2п (¿)) и (2-п,..., 2-п) справедливо равенство
1 2П
2 Е
2 ¿=1
Ц 1+И" - -1
2 V V 2 / 2п
1 + 2
+ (2П - 8 - -(1 - е
2 V 2п V 2
+
1 - »( 2+ е) " - С2" - 8 - 1)(1 - е) " - 1
+
(18)
Используя вытекающее из (13) соотношение
(8 + 1) (1/2 + е)п + (2п - 8 - 1) (1/2 - е)п > 1, оценим сверху второе слагаемое в правой части (18):
1 - «I 2+е) - <2" - 8 - 1)(± - е) -
1 - (. + Ч(2+е) - <2" - 8 - - е) е
1
2п
1
< -2
1 - (8 + 1)(2+ е) (2" - 8 - 1)(2 - е
1
+ 2
2+е
1
2"
=К<8+42+е) +<2"- 8 - 42 -е) - ^+2(2+е
1
2 п+1'
(19)
6 ^ (8 + 1) ((1/2 + е)п - 2-п)
6
п
п
п
п
В свою очередь, из (4) следует, что выполнение неравенства
(s+ш+4G+е) - 2n) =
2n
1 - (1 - 2е)п Л //1 1\ 1
где ш = ( 2
(1 + 2е)п - (1 - 2е) 1 - (1 - 2е)п
+1
2+ Ч - 2П < 8'
(20)
- s 2n
1 - (1 - 2е)т
(1 + 2е)га - (1 - 2е)" ) ^ (1 + 2е)п - (1 - 2е)га'
является достаточным условием корректного использования оценки (3),
Рассмотрим (20) подробнее. Используя справедливое при -1 < х < 1, к € N нера-
венство
1 - kx ^ (1 - x)k
обращающееся в равенство при x = 0, а также разложение
]n/2[
2k- 1(n~\2k— 1
(1 + 2e)n - (1 - 2e)n = 2 £ СПк-1(2е)
(21)
k=1
где ]z[ — наименьшее целое число, большее или равное z, выпишем вспомогательное соотношение
1 - (1 - 2е)п 1 - 1 + 2пе =1
(1 + 2е)п - (1 - 2е)п < 4Пе = 2'
позволяющее записать достаточное условие выполнения (20):
(2"-1 + Ч(2+е)" - ^)
1 \ 1 1
е |--< - ^ е < -
24 8 2
1+
1
4 + 23-n
- 1
(22)
Утверждение доказано.
На рис, 1 представлена зависимость размера определённой в (17) области допустимых для корректного использования оценки (3) значений е от величины п € N.
Рис. 1. Область значений е, удовлетворяющих (17)
n
ь
n
е
рассчитанных для указанных в табл. 1 значений п € N.
Таблица 2
п 56 112 128 160 168 192 256
Макс, знач. £ 2,00 • 10-3 9,97 • 10-4 8,72 • 10-4 6,98 • 10-4 6,65 • 10-4 5,81 • 10-4 4,36 • 10-4
Замечание 3. Данные табл. 2 в достаточной мере соответствуют информации, приведённой в табл. 1, При необходимости интервал (17) допустимых значений е может быть скорректирован за счёт более точного оценивания в (21),
Перейдём теперь к оценке длины криптографического ключа, для которой возможно использование оценки (3) при фиксированном значении е, 0 < е < 1/2,
Утверждение 3. Для любого е, 0 < е < 5/16, и вероятностной схемы (12) оценка (3) корректна при выполнении неравенства
1 ^ п < ^1+2£(5/4 - 4е).
(23)
Доказательство. Рассмотрим левую часть первого из неравенств (22), Используя разложения [9]
п п
(1 + 2е)п = £ СП(2е)к, £ СП = 2п к=0 к=0
и учитывая, что е < 1/2, выпишем цепочку соотношений
пп
(2П-1 + !)(( (1 + 2е)П - 1 1
1 у 1
- + е--
2 2П
(1 + 2е)П (1 + 2е)П - 1
2
2
+ - (2еСП + СП (2е)2 + ... + СП (2е)П)
2П
(1 + 2е)П - 1
2
£
- (С* + 2еС2 + ... + СП (2е)П-1) < (1 + 2е)П 1 +
(24)
2П-1 Ч п '---п ' п ч—/ ) 2
(С1 + С2 + ... + СП) < (1 + 2е)П - 1 + 2е,
2п-^ П ' " п.....— п) 2
позволяющую записать достаточное условие выполнения (3):
((1 + 2е)п - 1)/2 + 2е< 1/8 ^ п< log1+2£(5/4 - 4е). Здесь 0 < е < 5/16, ■
На рис, 2 в логарифмической шкале представлена зависимость размера определён-
п
от величины е, 0 < е < 5/16,
Для значений е, указанных в табл. 1, приведём результаты оценки правых границ
п
Таблица 3
£ 10-4 5•10-4 10-3 5•10-3 10-2 5•10-2 10-1
Макс, знач. п 1114 221 110 20 9 _ _
■Ь
+
Замечание 4. Данные табл. 3 в целом соответствуют информации, приведённой в табл. 1, При необходимости интервал (23) может быть скорректирован за счёт более точного оценивания в (24),
Рис. 2. Область значений и, удовлетворяющих (23)
Результаты утверждений 2 и 3 позволяют оценить связь параметров ^п,е,а также описывают ограничения, возникающие при использовании оценки (3) в случаях больших отклонений вероятностных характеристик источников формирования криптографических ключей от «идеальных».
Далее от модели применения одного алгоритма опробования, достоверно приводящего к успеху, перейдём к модели последовательного применения алгоритмов, завершающихся успехом с некоторыми фиксированными вероятностями, не меньшими п, где 0 < п ^ 1,
3. Оценка снизу средней трудоёмкости процедуры опробования ключа на основе усечённых алгоритмов
В соответствии с |5| дня определения истинного ключа в общем случае используется последовательность разнесённых но времени выполнения усечённых алгоритмов
п
0 < п ^ 1. Так, в случае п = 1 указанная последовательность состоит из одного алгоритма опробования до успеха и, как следствие, средняя трудоёмкость такой процедуры опробования ключа совпадает со средней трудоёмкостью этого алгоритма. Её мы оце-
0<п<1
Согласно |5, 6, 10|, дня каждого такого усечённого алгоритма «успехом» считается событие, состоящее в определении истинного ключа (каждый раз нового, выбираемого в соответствии с распределением (1)), При этом в |5| дня вычисления средней трудоёмкости процедуры определения ключа, заключающейся в последовательном применении усечённых алгоритмов опробования, используется модель независимых испытаний
п
случайную величину т, имеющую геометрическое распределение с параметром п (далее будем обозначать т ~ Сеот(п)).
Замечание 5. Как и в н, 2, мы откажемся от жёстких условий стационарности источника и независимости битов формируемых им ключей, позволяющих применять дня анализа классическую модель независимых испытаний.
Дня источника, функционирующего в соответствии с вероятностной схемой (7), через г = 1, 2,..., обозначим случайную величину, равную трудоёмкости определения истинного ключа при применении г-го усечённого алгоритма.
В силу возможной зависимости битов ключей, формируемых источником (6), в общем случае величины £ь£2,... являются зависимыми.
Для произвольного г = 1, 2,... через рг(й) обозначим распределение вероятностной схемы (7) в момент применения г-го усечённого алгоритма:
Рг(^) = ),Р2(¿г), . . . ,Р2П (*»))
Здесь и = (¿1г),4г)
Лг)
¿П ^ — вектор соответствующих моментов времени формирования битов ключа. Отметим, что для источника, не являющегося в общем случае стационарным, рг(йг) = р(^) и, как следствие, Е£г = Е^-, г,] ^ 1, г = Для произвольного г = 1, 2,... и к € {1, 2,..., 2П} положим
пкг) =£ Р (¿г).
¿=1
г
Е£г
1 - /г +£ ^(¿г),
(25)
где/г = шт{к € {1, 2,..., 2П}: п^ ^ п}.
¿=1
Замечание 6. Поскольку в общем случае п^ = п, то фактически г-й усечённый
(г) \ '
алгоритм имеет вероятность успеха пгу ^ п.
Наконец, через т обозначим случайную величину, равную порядковому номеру усечённого алгоритма опробования, при применении которого определяется истинный ключ,
С учётом изложенного, трудоёмкость процедуры определения ключа, сформированного в соответствии с (7), заключающейся в последовательном применении усечён-
п
в следующем виде:
Т
(п)
А (¿1),..., А (и)
О ^
г=1
Для произвольных параметров п € Ми е, 0 < е < 1/2, вероятностной схемы (7), а также для произвольного п, 0 < п ^ 1, введём обозначение
Т«п)(е) = _ш1п
¿1.....¿т
(
Р1(*1),...,Р2" (¿1) \Р1(?т),...,Р2" (¿т)
,(п)
\
/
где 1 ^ ¿1г) < ¿2г) < ... < ¿г?; (р1(иг),р2(иг),... ,р2п(¿г)) — векторы, удовлетворяющие (8),
(г) (г) (г)
¿га ,
г = 1,..., т. Тогда справедливо
Утверждение 4. Для произвольных п € N е, 0 < е < 1/2, и п, 0 < п ^ 1, справедливы следующие равенства: — если 0 < п ^ 5 (1/2 + е)га, то
2
Т(п) (е)
2« (1+2е)т
2пп (1+2е)т
+
(1+2е)г 2«+1
2пп (1+2е)г
+
2пп (1+2е)г
; (26)
- если 5(1/2 + е)" < п ^ 1 - (2" - в - 1) (1/2 - е)" то
т"п)(е)
2п(в + 1)
2" - (2" - 5 - 1) (1 - 2е)"
-(5 + 1) (2 (1/2 + е)" + (2" - 5 - 1) (1/2 - е)") ;
если 1 - (2" - 5 - 1) (1/2 - е)" < п ^ 1, то
-2"(1-п)
(27)
Т"п)(е)=
2"—
г2"(1-п) 1 ) г2"(1-п) 1
Ц1-2е)"1 ) Ц1-2е)"1
(1-2в)
2"—
I (1-2в)п
(1-2е)" +
5(5 + 1) /1
(28)
5
+1 ( 22п-2га+1 5-2п+
1 - (1 - 2е)"
2"(1-п)" ( 2"(1-п)"
_(1-2е)"_ { (1-2е)"_
-2"+1-1 ) +52+Л (1/2-е)
(1 + 2е)" - (1 - 2е)
Т«(0) = 2" - 12-п
При этом для е Е {0,1/2}
2™ , Т(п)
(1/2) = 1.
(29)
Доказательство. Зафиксируем произвольное значение п, 0 < п ^ 1, Тогда по определению условного математического ожидания [11, с, 54]
ЕТ
(п)
Г Л 1-1
ЕТ, & =Е ЕЕ &т = ЯР г{Т = о},
г=1 1=1 \г=1
г=1
где Рг{т = 0} = пги) Л (1 - п(г)), При этом по построению процедуры опробования, а
также с учётом соотношения (25)
г=1
1-1
ЕЕ 6т = Я = Е + Е ).
(30)
г=1 г=1
Выпишем (30) для минимизирующей его вероятностной схемы (12) с распределением (14)—(16). Рассмотрим сначала два граничных случая: е Е {0,1/2}.
Пусть е = 0, Тогда для г = 1,..., 0 справедливы равенства = ] 2"п[ и п(г) = /¿/2"". Таким образом, (30) принимает следующий вид:
/ т \ 1 ]2пп[ ] 2"п[+1
Е Е &т = Л = 0 - 1)] 2" п[ + — Е г = 0 - 1)] 2"п[ + Ц_1+- ] 2"п[.
г=1
2
г=1
2 "+1
При этом Рг{т = ]}
]2 п[ ]2 п[
2
1
2
1-1
, т. е. т ~ Сеот .
2
]2 п[
Тогда
Ет = ^^ и ЕТ ('Чх N „ ^ = ]2"п[ Е 0 - (1 - ]2"пП5 +
2
]2 п[
,(п)
5=1
2
2
"Ё(Т-гГ
+ 12";п[+ 1 ]2"п[ Е Л - М)= 2" - ]2"п[ + (!2"п[)2 + |2"п[
2"+1
5=1
2
2
2 +1
1>
2
П
С учётом отсутствия зависимости полученного выражения от ¿1,...,ит выполняется первое из равенств (29),
Пусть е = 1/2. Тогда /г = 1 и п(г) = 1. Таким образом,
Рг{т = 1} = 1 и ЕТ
(п)
Л1/2(*1),...,Л1/2(*т )
1,
откуда следует второе из равенств (29).
Пусть теперь 0 < е < 1/2, Рассмотрим отдельно три случая
2пп
Если п ^ 5(1/2 + е)« то /г =
(1 + 2е)т
образом, (30) принимает следующий вид:
и п(г) = /г (1/2 + е)п для г = 1,..., Таким
Е(£ СгТ = Я = 3 - 1)
чг=1
2П п
3 - 1)
2пп
(1 + 2е)т
+
(1 + 2е) (1 + 2е)т 2«+1
]2пп/(1+2е)п [
+ (1/2 + е)п Е г
г=1
2пп
В рассматриваемом случае Рг{т=3}=(1/2+е)
(1 + 2е)т 2пп
+1
2пп
(1 + 2е)г
1
1-1 2+е
т. е. т ~ Сеот ( ( 1 + е зультате
2пп
(1 + 2е)т
(1 + 2е) поэтому Ет = 2га/ ( (1 + 2е)
2пп
(1+2е)п 2П п
¿-1
ЕТ
(п)
А (¿1),...,А (¿т) 2«
2П п
(1 + 2е)т
Е(т - 1) +
(1 + 2е)г
2«+1
2пп
(1 + 2е)т
2пп
(1 + 2е)т
(1 + 2е)т 2«+1
2пп
(1 + 2е)
(1 + 2е)п 2
+
(1 + 2е)п 2пп
В ре-
+
2пп
(1 + 2е)г
(1 + 2е)т
откуда следует (26).
Если 5(1/2 + е)п < п ^ 1 - (2П - 5 - 1) (1/2 - е)« то для г = 1,...,3 получаем
/г = 5 + 1 и п(;) = 5(1/2 + е)п + 1 - 5(1/2 + е)п - (2П - 5 - 1) (1/2 - е)п+ +(/г - 5 - 1)(1/2 - е)п =1 - (2П - 5 - 1) (1/2 - е)п,
поэтому
Е Е &т = Л = 3 - 1)(5 + 1) + (1/2 + е)"Е г+
\г=1 / г=1
+(5 + 1) (1 - 5 (1/2 + е)п - (2П - 5 - 1) (1/2 - е)п) = 3 (5 + 1) - + е) " - (5 + 1) (2П - 5 - 1)(± - е
При этом Рг{т = 3} = (1 - (2П - 5 - 1) (1/2 - е)п) ((2П - 5 - 1) (1/2 - е)га)^-1, т.е. т ~
2«
~ Сеот (1 - (2П - 5 - 1) (1/2 - е)га). Таким образом, Ет = --—-г^:-:—и
2« - (2П - 5 - 1) (1 - 2е)т
ЕТ
(п)
А (¿1),...,А (¿т)
(5 + 1)Ет -
5(5 + 1) /1
2 + е) - (5 + 1)(2П - 5 - 1Н2 - *
п
п
п
п
п
2
п
п
п
2
(s + 1)
_2!__s(1 + Л™ - (2™ - s -1)(1 - в
2™ - (2™ - s - 1)(1 - 2в)™ 2^2 + J (2 S 1) \2 &
откуда получаем (27),
Наконец, если 1 - (2™ - s — 1) (1/2 - в)™ < п ^ 1, то для i = 1,..., j справедливы
равенства = 2™ -
2™(1 - п) (1 - 2в)™_
п
(i)
1
Е(Е 6т = j) =(j - 1) ( 2™ -
vi=1
2™(1 - п) (1 - 2в)™
2™(1 - п) (1 - 2в)™
2- в
поэтому
+ '1 + в) "Si: +
+(s + 1Н 1 - *( 2 + Ч - (2™ - s - чи - в
+ '2- в
- -S - i
(j - 1) 2™-
2™(1-п) _ (1-2в)™ 2™(1 - п) (1 - 2в)™
(j - 1) (V -
+ s + 1-^^(1+ вУ - (s + 1)(2™ - s - 1)Q - в) +
- s - 1 2™ -2™(1 - п)
2™(1 - п) (1 - 2в)™
+s+2
1
2 - в
(1 - 2в)™
+ _ ( 22™ - 2™+1s - 2™ +
:>™+1,
2™(1 - п)" ( 2™(1 - п)"
(1 - 2в)™_ { (1 - 2в)™_
s(s + 1) 1 ™
+ s + 1 - "V2 2+ в> +
- 2™+1 - 1J + s2 + s 2™(1 - п)
При этом Рг{т = j} = (1 -" 2™(1-п)
2™(1 - п) (1 - 2в)™
2- в
(1 - 2в)™
2- в
1
2 - в ™\ j-1
т ~ Geom 1 —
(1-2в) и выполняется равенство
2-в
Следовательно, Ет = ( 1-
2™(1-п) (1-2в)™
1
2 -в
т, е.
™ -1
ET
(п)
As (ti),...,As(tT)
2n- "2™(1-п)" _(1-2в)™_ ) "2™(1-п)" _(1-2в)™_ (1-2в)™
2n- "2™(1-п)" _(1-2в)™_ (1-2в)™
s(s + 1) 1
+s+1-^U+в| +
+ _ ( 22™ - 2™+1s - 2™ +
,™+1,
2™(1 - п) (1 - 2в)™
2™(1 - п) (1 - 2в)™
- 2™+^ 11 + s2 + s
1
2 - в
из которого следует (28), ■
Замечание 7. Верификация выражений (26)-(28) выполнена с использованием автоматизированной системы упрощения алгебраических выражений пакета Wolfram Mathematica 12,1,
Проиллюстрируем характер зависимости от величины п, 0 < п ^ 1, при
n = 7 и некоторых фиксированных значениях параметра в (рис, 3),
в
ки зрения трудозатрат) последовательности разнесённых по времени выполнения усечённых алгоритмов опробования становится выше, чем у алгоритма опробования до успеха.
Приведённые результаты и примеры ещё раз подтверждают тезис о важности обоснования выбора модели опробования ключа —до успеха или на основе нескольких
л
Г1
п
II
Г1
п
Е = 10-3
е = 2-10-'
ТП(Е)
0.6 0.8
е = 4-10-"
е = 8-10-'
0.6 0.8
0.4 0.6 0.8 1.0
Рис. 3. Зависимость Т«п)(е) от п при п = 7 и некоторых значениях е
усечённых алгоритмов, В отдельных случаях та или иная модель может давать существенный выигрыш по трудоёмкости.
Итак, мы получили точные и достижимые оценки снизу дня средней трудоёмкости процедуры опробования ключа па основе усечённых алгоритмов с вероятностями успеха, не меньшими некоторой заданной границы п, 0 < п ^ 1, Перейдём к финальному этапу исследования — оценке практической секретности ключа.
4. Оценка снизу практической секретности ключа
Для произвольных параметров п € Ми е, 0 <е< 1/2, вероятностной схемы (7) через Т«(е) обозначим практическую секретность ключа, сформированного источником (6).
Согласно общей теории |5, 6| и результатам предыдущих пунктов настоящей работы, справедливо равенство
( (
Т«(е) = шт
0<п<1
шт
\\
Р1 (¿1) ,...,Р2П (¿1)
\Р1 (¿т),...,Р2" (¿т)
->(п)
"А (¿1),..., А (¿т)
/
(31)
/
где ¿г
^ ,4г),
Дг)), 1 ^ г? < ¿2г) <
< 4, векторы (р1(йг),р2(йг), . . . ,Р2П (¿¿)) удовлетворяют (8), г = 1,...,^ап-нижняя граница вероятностей успеха усечённых алгоритмов опробования, 0 < п ^ 1.
п
п
п
п
С учётом введённых в п, 3 обозначений выражение (31) может быть записано в компактном виде
ВД= гшп (Т«(е)) . (32)
Таким образом, процесс вычисления Тп(е) сводится к определению минимума кусочно-постоянной функции, описанной в утверждении 4,
В табл. 4 приведены достижимые оценки снизу практической секретности ключа Тп(е), вычисленные с использованием формул (32) и (26)-(28) для значений п € N не, 0 < е < 1/2 указанных в табл. 1, и показано, на как их значениях п достигаются эти оценки.
Таблица 4
Оценка е
10-4 5•10-4 10-3 5•10-3 10-2 5•10-2 10
n = 56
вд 3,58 • 1016 3,50 • 1016 3,40 • 1016 2,33 • 1016 1,26 • 1016 1,73 • 1014 1,33 • 1012
п 1 1 1 0,639 0,758 0,997 0,999
n = = 112
вд 2,57 • 1033 2,45 • 1033 2,31 • 1033 9,02 • 1032 2,85 • 1032 6,00 • 1028 3,52 • 1024
п 1 1 1 0,756 0,906 0,999 0,999
n = = 128
вд 1,68 • 1038 1,59 • 1038 1,48 • 1038 4,98 • 1037 1,36 • 1037 8,56 • 1032 1,25 • 1028
п 1 1 1 0,784 0,930 0,999 1
n = = 160
вд 7,19 • 1047 6,72 • 1047 6,15 • 1047 1,53 • 1047 3,08 • 1046 1,74 • 1041 1,57 • 1035
п 1 1 1 0,834 0,962 0,999 1
n = = 168
вд 1,84 • 1050 1,71 • 1050 1,56 • 1050 3,60 • 1049 6,72 • 1048 2,08 • 1043 9,33 • 1036
п 1 1 1 0,845 0,968 0,999 1
n = = 192
вд 3,08 • 1057 2,84 • 1057 2,49 • 1057 4,72 • 1056 7,01 • 1055 3,54 • 1049 1,97 • 1042
п 1 1 0,595 0,874 0,980 0,999 1
n = = 256
ад 5,64 • 1076 5,05 • 1076 3,96 • 1076 4,56 • 1075 3,64 • 1074 1,47 • 1066 3,11 • 1056
п 1 1 0,626 0,929 0,994 0,999 1
Заключение
Для математической модели дискретного источника (6), приближённой к реальным условиям функционирования физических устройств, используемых для формирования криптографических ключей, в том числе допускающей нестационарность таких устройств, а также наличие зависимости между битами формируемых ключей, получены достижимые оценки снизу практической секретности ключа.
Результаты работы обобщают ранее известные оценки, выписанные в достаточно «рафинированных» модельных предположениях [5, 6],
ЛИТЕРАТУРА
1. Kahn D. The Codebreakers: the Story of Secret Writing. N.Y.: Scribner, 1996. 1181 p.
2. Illnauep Б. Прикладная криптография. Протоколы, алгоритмы и исходные тексты на языке С. М.: Триумф, 2002. 816 с.
3. Арбеков И. М. Элементарная квантовая криптография: Для криптографов, не знакомых с квантовой механикой. M.: URSS, 2022. 168 с.
4. TuramM., Barker Е., Kelsey J., and McKay К. Recommendation for the Entropy Sources Used for Random Bit Generation. NIST Special Publ. 800-90B. 2018. 76 p.
5. Арбеков И. M. Критерии секретности ключа // Матем. вопр. криптогр. 2016. Т. 7. Вып. 1. С.39-56.
6. Arbekov I. М. Lower bounds for the practical secrecy of a key // Матем. вопр. криптогр. 2017. Т. 8. Вып. 2. С. 29-38.
7. Лось А. Б., Миронкин В. О. Теоретико-информационные аспекты защиты информации. М.: URSS, 2023. 144с.
8. Лось А. В., Нестеренко А. Ю., Рогачева О. А. О влиянии неравновероятности выходной последовательности на качество криптографических преобразований // Алгебра, теория чисел, дискретная геометрия и многомасштабное моделирование: современные проблемы, приложения и проблемы истории. Материалы XXII Междунар. конф., посвящённой 120-летию со дня рождения академика А. Н. Колмогорова и 60-летию со дня открытия школы-интерната № 18 при Московском университете. Тула: ТГПУ им. Л. Н. Толстого, 2023. С. 151-157.
9. Феллер В. Введение в теорию вероятностей и ее приложения. Т. 1. 2-е изд. М.: Мир, 1963. 498 с.
10. Карпов А. А., Миронкин В. О., Михайлов М. М. Об энтропийных характеристиках последовательной процедуры опробования элементов полиномиальной схемы // Обозр. прикл. и промышл. матем. 2021. Т. 28. №1. С. 9-12.
11. Кельберт М. Я., Сухов Ю. М. Вероятность и статистика в примерах и задачах. Т. I: Основные понятия теории вероятностей и математической статистики. 2-е изд., доп. М.: МЦНМО, 2010. 486 с.
KEFEKENCES
1. Kahn D. The Codebreakers: the Story of Secret Writing. N.Y., Scribner, 1996. 1181 p.
2. Schneier B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. John Wiley k, Sons, 1996.
3. Arbekov I. M. Elementarnava kvantovava kriptografiva: Diva kriptografov, ne znakomvkh s kvantovov mekhanikov. [Elementary Quantum Cryptography: For Cryptographers who are not Familiar with Quantum Mechanics]. Moscow, URSS Publ., 2022. 168p. (in Russian)
4. TuramM., Barker E., Kelsey J., and McKay К. Recommendation for the Entropy Sources Used for Random Bit Generation. NIST Special Publication 800-90B, 2018. 76 p.
5. Arbekov I. M. Kriterii sekretnosti klvucha [Key secrecy criteria]. Matem. Vopr. Kriptogr., 2016, vol.7, no. 1, pp.39-56. (in Russian)
6. Arbekov I. M. Lower bounds for the practical secrecy of a key. Matem. Vopr. Kriptogr., 2017, vol. 8, no. 2, pp. 29-38.
7. Los A. B. and Mironkin V. O. Teoretiko-informatsionnve aspektv zashchitv informatsii [Information-Theoretical Aspects of Information Security]. Moscow, URSS Publ., 2023. 144 p. (in Russian)
8. Los А. В., Nesterenko A. Yu., and Rogacheva О. А. О vlivanii neravnoverovatnosti vvkhodnov posledovatel'nosti na kachestvo kriptograficheskikh preobrazovaniv [On the effect of the nonprobabilitv of the output sequence on the quality of cryptographic transformations]. Algebra, teoriva chisel, diskretnava geometriva i mnogomasshtabnoe modelirovanie: Sovremennve problemv, prilozheniva i problemv istorii. Materialv XXII Mezhdunar. konf., posvvashchennov 120-letivu so dnva rozhdeniva akademika A. N. Kolmogorova i 60-letivu so dnva otkrvtiva shkolv-internata № 18 pri Moskovskom universitete. Tula, TGPU im. L. N. Tolstogo, 2023, pp. 151-157. (in Russian)
9. Feller W. An Introduction to Probability Theory and its Applications, vol.1. John Wiley k Sons, 1957.
10. KarpovA.A., Mironkin V. O., and Mikhaylov M. M. Ob entropivnvkh kharakteristikakh posledovatel'noy protsedurv oprobovaniva elementov polinomial'noy skhemv [On the entropy characteristics of a sequential procedure for testing elements of a polynomial scheme]. Obozr. Prikl. i Promyshl. Matem., 2021, vol.28, no. 1, pp. 9-12. (in Russian)
11. Kel'bert M. Ya. and Sukhov Yu.M. Verovatnost' i statistika v primerakh i zadachakh. T.I: Osnovnve ponvativa teorii verovatnostev i matematicheskov statistiki [Probability and Statistics in Examples and Problems. Vol. I: Basic Concepts of Probability Theory and Mathematical Statistics]. 2nd ed. Moscow, MCCME Publ., 2010. 486p. (in Russian)