CC BY
28
требуется хранить не больше r матриц из 22Ьло элементов. Полученные вероятности (шо) ^ (ш ) могут увеличить число атакуемых раундов. Поэтому приведённый подход эффективнее по сравнению со способом нахождения вероятностей «классических» разностных характеристик. Отметим, что аналогичным образом можно рассматривать матрицы, соответствующие объединению нескольких смежных классов или инвариантных непересекающихся подмножеств. Предложенный подход проиллюстрирован на примере инволютивного алгоритма блочного шифрования ISEBERG [2], представленного на конференции FSE в 2004 г. Проведено сравнении полученных результатов с результатами работы [3].
ЛИТЕРАТУРА
1. Lai X., Massey J. L., and Murphy S. Markov ciphers and differential cryptanalysis // EUROCRYPT1991. LNCS. 1991. V. 547. P. 17-38.
2. Standaert F. X., PiretG., Rouvroy G., et al. ICEBERG: an involutional cipher efficient for block encryption in reconfigurable hardware // FSE’2004. LNCS. 2004. V. 3017. P. 279-299.
3. Sun Y., Wang M., Jiang S., and Jiang Q. Differential cryptanalysis of reduced-round ICEBERG // AFRICACRYPT2012. LNCS. 2012. V. 7374. P. 155-171.
УДК 519.7
УСЛОВИЯ СУЩЕСТВОВАНИЯ СОВЕРШЕННЫХ ШИФРОВ С ФИКСИРОВАННЫМ НАБОРОМ ПАРАМЕТРОВ
С. М. Рацеев
Исследуется задача построения совершенных шифров по заданному множеству открытых текстов X, ключей K и распределению вероятностей Рк на множестве ключей. Приводится критерий, позволяющий однозначно определить, существует ли для заданных X, K, Рк совершенный шифр.
Ключевые слова: шифр, совершенный шифр.
Пусть X, К, Y — конечные множества открытых текстов, ключей и шифрованных текстов соответственно. Обозначим через Т,в = (X, K, Y, E, D, Px, Рк) вероятностную модель шифра [1, 2], где E и D — множества правил зашифрования и расшифрования соответственно. Напомним, что шифр Sb называется совершенным (по Шеннону), если для любых x £ X, y £ Y выполнено равенство Рх|Y(x|y) = Рх(x).
Рассмотрим следующую задачу: по заданному множеству открытых текстов Х0 и множеству ключей К0 с распределением вероятностей Рк0 (независимо от Рх0) однозначно определить, существует ли шифр Sb = (Х0, К0, Y, E, D, Рх0, Рк0), являющийся совершенным. Таким образом, по заданным Х0, К0, Рк0 требуется определить, найдутся ли такие Y, E, D, для которых шифр Sb являлся бы совершенным.
Теорема 1. Для заданных X, |Х | = n, К, Рк существует совершенный шифр
Sb = (X,K,Y,E,D,Px ,Pк)
тогда и только тогда, когда найдётся такое натуральное число s и n таких разбиений множества К
К = К11 и К12 и ... и Ки,
К = К21 и К22 и ... и K2s,
К = К„1 и К„2 и ... и K„s,
для которых выполнены следующие условия:
1) Кц П Kjt = 0, 1 ^ i < j ^ n, t = 1,... , s;
2) для любых 1 ^ i < j ^ n, t = 1,... , s выполнено равенство
E рк(k) = E рк(k).
keKit keKjt
Пусть для некоторого числа s выполнены равенства (1) и условия 1 и 2 теоремы. Тогда матрица зашифрования A для (совершенного) шифра Sb строится следующим образом. Пусть Y = {y1,... , ys} —некоторое множество шифрованных текстов, где s — число частей разбиений из (1). Составим матрицу зашифрования размера |К | х |X |, где строки пронумерованы элементами множества К, а столбцы — элементами множества X, следующим образом. В i-м столбце (i = 1,..., |X|) данной матрицы в строках, пронумерованных элементами множества Kj, поставим элемент yj, j = 1,... , s.
Следствие 1. Пусть для заданных X, К, Рк существует совершенный шифр. Тогда для любого множества открытых текстов X, |X| ^ |X|, и для заданных К, Рк существует совершенный шифр.
Следствие 2. Для заданных X, |X| = n, К, Рк, Y, |Y| = s, существует совершенный шифр Sb = (X, К, Y, E, D, Рх, Рк) тогда и только тогда, когда найдётся n таких разбиений (1), для которых выполнены условия 1 и 2 теоремы 1.
Следствие 3. Для заданных К, Рк существует совершенный шифр Sb тогда и только тогда, когда найдутся такие n и s, n ^ s, и такие разбиения (1), для которых выполнены условия 1 и 2 теоремы 1.
Пусть Pim —вероятность успеха имитации, Ppodm —вероятность успеха подмены шифрованного сообщения для шифра Sb .
Следствие 4. Пусть для шифра Sb (с матрицей зашифрования A) выполнены равенства (1) с условиями 1 и 2 теоремы 1. Тогда
Pim = n max Y, Рк (k),
k€Kii
E рк(k)
1 keKiDKj
Ppodm _ P 7T\ ,
n \ рк(k)
i=j Z' 4 '
kGKii
n
где Кг = U Кг, i = 1, . . . , s. j=1
Отметим, что некоторый интерес представляют совершенные шифры с дополнительными условиями, например условиями имитостойкости. О таких шифрах можно посмотреть в работах [2 - 4].
К1г П Kj = 0, 1 ^ i < j ^ s,
К2г П K2j = 0, 1 ^ i < j ^ s,
Кпг П Knj
0,
ЛИТЕРАТУРА
1. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2005. 480 с.
2. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры. М.: Гелиос АРВ, 2005. 192 с.
3. Рацеев С. М. О совершенных имитостойких шифрах // Прикладная дискретная математика. 2012. №3 (17). С. 41-47.
4. Рацеев С. М. О совершенных имитостойких шифрах замены с неограниченным ключом // Вестник Самарского государственного университета. Естественнонаучная серия. 2013. №9/1 (110). С. 42-48.
УДК 512.62
КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ АНАЛОГА СХЕМЫ ДИФФИ — ХЕЛЛМАНА, ИСПОЛЬЗУЮЩЕГО СОПРЯЖЕНИЕ И ВОЗВЕДЕНИЕ В СТЕПЕНЬ, НА МАТРИЧНОЙ ПЛАТФОРМЕ1
В. А. Романьков
Доказано, что смешанный обобщённый вариант протокола Диффи — Хеллмана на матричной платформе, использующий одновременное возведение в степень и сопряжение фиксированной матрицы, в генерическом случае допускает вычисление разделённого ключа за полиномиальное время, если соответствующая кратная задача дискретного логарифма решается за полиномиальное время. Алгоритм вычисления использует разработанный автором метод линейного разложения, позволяющий находить разделённый ключ без решения задачи поиска сопрягающих элементов, и подход Менезеса с соавт., сводящий вычисление степени матрицы к решению кратной задачи дискретного логарифма. Комбинация этих двух подходов не может использоваться напрямую. Доказательство основного утверждения требует анализа содержаний мономиальных матриц в смежных классах по перестановочным подгруппам группы матриц. Это, в свою очередь, требует изучения аналогичного вопроса для групп подстановок. Последнее облегчается тем, что имеется ряд известных утверждений на эту тему.
Ключевые слова: криптоанализ, проблема поиска, сопряжение, протокол Диффи — Хеллмана.
Идея реализации протокола Диффи — Хеллмана на различных платформах, отличных от классических мультипликативных групп конечных полей и завоевавших признание групп эллиптических кривых, использована в целом ряде работ. Чаще всего в качестве платформы выбирались матричные группы, также предлагались конечные и абстрактные бесконечные группы, почти всегда допускающие точное представление матрицами над полем (кроме конечных — это свободные, конечно порождённые нильпотентные и метабелевы, а также полициклические группы, группы кос Артина и т.п.). В данной работе мы ограничимся рассмотрением матричного случая. В начальный период схема Диффи — Хеллмана просто переносилась с мультипликативной группы поля на матричную группу, то есть фиксировался элемент g матричной группы G, первый из корреспондентов (Алиса) выбирал случайное натуральное число k и посылал по открытой сети степень gk, второй корреспондент (Боб) аналогично выбирал l и посылал g1. После этого Алиса и Боб легко вычисляли общий ключ gk1.
1Работа поддержана грантом РФФИ, проект № 13-01-00239-a.
