Научная статья на тему 'Комбинаторно-алгебраические модели в криптографии'

Комбинаторно-алгебраические модели в криптографии Текст научной статьи по специальности «Математика»

CC BY
1070
108
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БУЛЕВЫ ФУНКЦИИ / КОНЕЧНЫЕ АВТОМАТЫ / КОМБИНАТОРНЫЙ АНАЛИЗ / КОНЕЧНЫЕ АЛГЕБРАИЧЕСКИЕ СИСТЕМЫ / ХАОТИЧЕСКАЯ ДИНАМИКА / ОБРАТНЫЕ ЗАДАЧИ / КОНЕЧНЫЕ КОЛЬЦА / СИММЕТРИЧНЫЕ ШИФРЫ

Аннотация научной статьи по математике, автор научной работы — Скобелев Владимир Геннадиевич

В лекции охарактеризованы дескриптивные, алгоритмические и метрические аспекты применения комбинаторно-алгебраических моделей при решении задач современной криптографии; рассмотрено использование методов хаотической динамики; охарактеризованы линейные и нелинейные автоматы, представленные системой уравнений над кольцом Zpk; выделены подмножества обратимых автоматов, предназначенных для построения широкого класса симметричных поточных шифров.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Combinatorics-algebraic models in cryptography

These lectures are devoted to the characterization of descriptive, algorithmic and metric applied aspects of combinatorics-algebraic models for investigation of modern cryptography problems. Some basic ways for application of chaotic dynamics models and methods are presented. Linear and non-linear automata described by systems of equations over the ring Z pk are characterized. Some subsets of invertible automata for design of symmetric stream ciphers are considered.

Текст научной работы на тему «Комбинаторно-алгебраические модели в криптографии»

ПРИЛОЖЕНИЕ Ноябрь 2009

УДК 518.6, 681.3

КОМБИНАТОРНО-АЛГЕБРАИЧЕСКИЕ МОДЕЛИ В КРИПТОГРАФИИ

В. Г. Скобелев

Институт прикладной математики и механики НАН Украины, г. Донецк, Украина

E-mail: [email protected]

В лекции охарактеризованы дескриптивные, алгоритмические и метрические аспекты применения комбинаторно-алгебраических моделей при решении задач современной криптографии; рассмотрено использование методов хаотической динамики; охарактеризованы линейные и нелинейные автоматы, представленные системой уравнений над кольцом Zpk; выделены подмножества обратимых автоматов, предназначенных для построения широкого класса симметричных поточных шифров.

Ключевые слова: булевы функции, конечные автоматы, комбинаторный анализ, конечные алгебраические системы, хаотическая динамика, обратные задачи, конечные кольца, симметричные шифры.

1. Математические основы

Характерной чертой современной криптологии (как любого научного направления, предназначенного для решения практических задач, определяемых современным состоянием технических средств) является использование широкого спектра, часто недостаточно проработанных именно с позиции решения задач криптологии, моделей и методов из различных разделов математики. К ним относятся классические разделы математики со своей сложившейся тематикой исследований (комбинаторный анализ, теория булевых функций, теория автоматов, теория алгоритмов, конечные алгебраические системы), а также формируемые в настоящее время разделы математики (теория квантовых алгоритмов, теория хаоса динамических систем, теория фракталов).

Именно широкий спектр недостаточно теоретически проработанных с позиции криптологии, часто плохо сравнимых друг с другом моделей и методов приводит к тому, что одним из основных методов анализа криптографических алгоритмов является статистический анализ их качества. Упущения, допускаемые при этом, в совокупности с интенсивным развитием средств вычислительной техники являются основной причиной достаточно частого пересмотра криптографических стандартов во всем мире. Осознание этой ситуации и стимулировало разработку математических основ современной криптологии. Цель настоящего раздела — попытка охарактеризовать дескриптивные, метрические и алгоритмичесие аспекты комбинаторно-алгебраических моделей и методов, предназначенных для решения задач современной криптологии, систематически изложенные в [1].

1.1. Булевы функции

В течение последних 20 лет наблюдается интенсивное развитие теории булевых функций, обусловленное именно исследованием проблем, связанных с криптологией. Математический анализ этих достижений, основанный на моделях и методах современной конечной алгебры, комбинаторного анализа и теории вероятностей, систематически представлен в [2].

Изложенные в [2] методы исследования криптографических примитивов могут быть эффективно применены на практике (безусловно, с использованием компьютеров) для анализа булевых вектор-функций

f: Еп ^ Ет (п,т € Н),

где

Е = {0,1},

при относительно небольших значениях числа 2п • т. Существование эффективных методов «хорошей» декомпозиции (с точки зрения криптографии) графиков булевых вектор-функций f : ЕЕп ^ Ет при больших значениях чисел п и т вызывает сомнение.

Тем не менее представленные в [2] методы исследования булевых функций имеют огромное методологическое значение прежде всего потому, что они устанавливают нетривиальные глубокие внутренние связи между теорией булевых функций и современной алгеброй. Сказанное может быть проиллюстрировано следующим образом. При исследовании свойств булевой вектор-функции всегда можно перейти к булевой вектор-функции f : Еп ^ Ет, сохраняющей константу нуль. Для этого достаточно заменить исходную булеву вектор-функцию g(x) булевой вектор-функцией

ад = g(x) 0 g(0).

Обозначим график такой булевой вектор-функции f через graph(f), а множество всех максимальных по включению подпространств линейного пространства Еп+т, содержащихся во множестве graph(f), обозначим через Ып^гарЬ(^). В [3] показано, что имеет место равенство

graph(f) = У V. (1)

'У€Ып^гарЬ(1?))

Следовательно, синтез булевой вектор-функции, обладающей заданными свойствами, по своей сути, сводится к построению множества Ып^гарЬ(^) с соответствующими характеристиками.

Отметим, что представление булевой вектор-функции, сохраняющей константу нуль, в виде системы полиномов Жегалкина также основано на использовании подпространств линейного пространства Еп+т. Однако такое представление по своей структуре значительно сложнее, чем представление (1), так как построение полинома Жегалкина, фактически, представляет собой вариант применения метода включения-исключения. Отсюда вытекает, что любые методы построения системы полиномов Же-галкина для булевых вектор-функций, обладающих заданными значениями криптографических примитивов, заведомо требуют учета нетривиальных соотношений между подпространствами пространства Еп+т, а также нетривиальных свойств преобразований пространства Еп+т.

По-видимому, одной из наиболее значимых для анализа и синтеза блочных шифров является парадигма управляемой подстановочной операции (УПО), для представления которой используется язык схемных реализаций, основанный на использовании комбинаторно-алгебраических конструкций. Попытка систематического исследования этой парадигмы предпринята в [4].

Соответствующая математическая модель представляет собой такую булеву вектор-функцию

f: Еп+™ ^ Е1 ( т,п,1 € Н; I ^ п),

представленную в виде f : En х Em ^ E1, т. е. в виде

y = f(x, v) (x G En, v G Em),

что для каждого vo G Em инъекцией является вектор-функция gv0 : En ^ E1, определяемая равенством

gvo (x) = f(x, vo) (x G En).

Вектор x G En — информационный, а вектор v G Em — управляющий. При этом управляющий вектор формируется из сеансового ключа.

Специальным случаем УПО является блок управляемых перестановок (БУП), характеризуемый тем, что:

1) l = n;

2) для каждого фиксированного v0 G Em вектор-функция gVo представляет собой перестановку компонент информационного вектора;

3) если v0 = v! (v0, v! G Em), то gV0 и gV1 —различные перестановки компонент

информационного вектора.

Для основных типов БУП и УПО в [4] исследованы эффективность и сложность схемных реализаций, принципы синтеза схем с заданными алгебраическими и вероятностно-статистическими свойствами, а также принципы, эффективность и сложность криптоанализа этих схем.

Тем не менее в настоящее время остается много нерешенных задач, связанных с анализом и синтезом как БУП и УПО, так и шифров, основанных на использовании этих парадигм.

Во-первых, задачи обнаружения и локализации неисправности схем, применяемых при построении шифров, остаются вне поля зрения криптографов (криптоаналитик, имея активный доступ к некоторым входам или выходам элементов таких схем, может успешно имитировать их неисправность, что существенно усложнит работу легального пользователя). Ясно, что эти задачи могут быть решены стандартными методами технической диагностики. Однако такие тесты будут значительно сложнее, чем оптимальные тесты, так как они не учитывают существенные характеристики соответствующих схем (в частности, свойство БУП и УПО «быть инъекцией при фиксированном управляющем векторе»). В [1] показано, что для основных типов БУП сложность таких тестов является полиномом не более третьей степени от сложности БУП. В этих тестах используется «бегущая единица» или «бегущий нуль». Поэтому криптоаналитик, даже имея только пассивный доступ к выходам некоторых элементов этих схем (т. е. производя пассивный эксперимент), может идентифицировать соответствующие подстановки или фрагменты ключа методами, отличными от линейного криптоанализа. Отсюда вытекает ряд нерешенных задач анализа вычислительной стойкости и устойчивости блочных шифров в условиях, когда криптоаналитик имеет доступ к входам или выходам УПО, на основе которых построен исследуемый шифр.

Во-вторых, наличие дешифратора в матричном БУП предполагает реализацию каждой из используемых перестановок в явном виде. Это обстоятельство существенно усложняет схемную реализацию БУП. Если же убрать дешифратор, то мы получим представление используемого семейства перестановок в неявном виде (что существенно упрощает схемную реализацию и усложняет криптоанализ), а именно в виде

S = 1/Г1 ◦•••◦ /Г N G E (i = 1,..., m)},

где /! = / (i = 1,... , m) —заданная в явном виде перестановка, /0 (i = 1,... , m) — тождественная перестановка, а о — операция суперпозиции. При этом возникает ряд

нерешенных задач, связанных с выбором порождающих перестановок /1,... , /т, обеспечивающих заданные алгебраические и вероятностно-статистические свойства семейства

1.2. Конечные автоматы

Осознание значимости теории конечных автоматов для математического анализа инъективных дискретных преобразователей информации относится к третьей четверти ХХ века [5-7]. Эти и аналогичные им исследования оперировали с абстрактным автоматом, т. е. моделью

А = ^,Х,У,8,Л),

где Q,X,Y — соответственно конечные множество состояний, входной и выходной алфавиты; 8 : Q х X ^ Q — функция переходов; а Л : Q х X ^ Y — функция выходов. Так как на практике эффективно могут быть использованы абстрактные автоматы только при относительно небольших значениях числа ^| • |Х |, то результаты исследований таких автоматов не оказали существенного влияния на разработку поточных шифров.

Высокая сложность решения задач анализа и синтеза для абстрактных автоматов (а также сетей, построенных из них) стимулировала исследование достаточно узких классов автоматов, для которых решение этих задач существенно проще. К таким классам относится класс линейных автоматов над полем ОГ(рк) (р — простое число, к € Н). Систематический анализ этого класса автоматов с позиции классической теории систем представлен в [8, 9]. Однако эти исследования практически ничего не дали для решения задач криптологии, так как в них не рассматривались задачи исследования вычислительной стойкости поточных шифров, построенных на основе таких автоматов. Такие задачи, по своей сути, сводятся к задачам идентификации параметрически настраиваемых автоматов и к задачам теории экспериментов с автоматами над конечными полями. Этот пробел частично ликвидирован в [10-12].

Исследованная в [13] связка (посредством обратной связи)

операционный автомат — управляющий автомат

является теоретической основой возможности успешного применения конечных автоматов в процессе построения управляющих систем. При таком подходе естественно возникает проблема синтеза автомата по его внешнему поведению. Эта проблема является одной из центральных проблем теории конечных автоматов. В [14] выделены следующие четыре подхода приближенного построения (по своей сути, идентификации) конечного автомата по его внешнему поведению.

Первый подход к построению модели автомата основан на том, что на множестве всех автоматов с одним и тем же входным и выходным алфавитами вводится функция близости, использующая расстояние Хемминга между выходными словами. Предполагается, что задано число состояний искомого автомата. Функция близости применяется в процессе поиска наилучшего приближения искомого автомата во множестве всех автоматов с меньшим числом состояний. Известно, что эта задача решена для класса перестановочных автоматов, которые находят широкое применение в современной криптографии.

При втором подходе к построению модели автомата также предполагается, что задано число состояний искомого автомата. Построение модели А = ^, Х^, 8, Л) искомого автомата основано на построении его статистического аналога, т. е. такого

автомата А; = ^, X, ^ 8;, Л;), что для любого состояния д € Q вероятности событий

8(д,ж) = 8;(д,ж) (х € X)

и

Л(д,х) = Л;(д, х) (х € X)

больше соответственно величин ^|-1 и |Y|-1.

При третьем подходе к построению модели автомата предполагается, что имеется дискретный преобразователь, являющийся черным ящиком, обеспечивающий при идеальных условиях требуемое поведение. Из-за отсутствия идеальных условий (шумы, воздействия внешней среды и т. д.) поведение дискретного преобразователя может отличаться от эталонного поведения. Построение модели автомата основано на построении его следствия, т. е. автомата, на который поступает входная и выходная последовательности исследуемого дискретного преобразователя и который, на основе поведения эталона на подмножестве входных слов фиксированной длины, корректирует выход дискретного преобразователя.

Четвертый подход к построению модели искомого автомата основан на получении следствий из соотношений, описывающих его функционирование. Для абстрактных автоматов такие следствия получаются в терминах обобщенных гомоморфизмов автоматов и построении обобщенного образа автомата (т. е., по сути, некоторого класса автоматов). Обобщение понятия гомоморфизма состоит в рассмотрении (вместо отображений) бинарных отношений, определенных на прямых произведениях автоматных множеств. В случае, когда автомат представлен системой уравнений над конечной алгебраической системой, построение модели исследуемого автомата сводится к решению задачи параметрической идентификации соответствующей дискретной динамической системы.

Задачи анализа и синтеза поточных шифров оказались мощным катализатором появления новых направлений дискретного анализа, в которых переплетаются модели и методы теории конечных автоматов, современной алгебры и комбинаторного анализа. Рассмотрим кратко некоторые из таких направлений.

Первым типом модели структурного конечного автомата, часто применяемого при решении задач криптографии, является специальным образом подобранная комбинаторная структура, находящаяся под управлением псевдослучайного генератора. Основная сложность построения таких моделей конечного автомата связана именно с выбором комбинаторной структуры, так как здесь переплетаются все три аспекта исследования задач математической кибернетики:

1) дескриптивный аспект, состоящий в формальном определении класса возможных кандидатов;

2) алгоритмический аспект, состоящий в построении соответствующих алгоритмов и доказательстве их корректности;

3) метрический аспект, состоящий в анализе сложности предложенных алгоритмов и, в силу специфики криптографии, анализе вычислительной стойкости некоторых из них.

Проиллюстрируем сказанное на примере.

Пример 1. Естественным обобщением парадигмы УПО является регулярная комбинаторная структура (РКС), являющаяся, по своей сути, представленным в неявном виде управляемым бинарным отношением. РКС, по-видимому, впервые введена в [15] и предназначена для математического анализа решения задачи разрушения частот букв — модельной задачи криптографии. Рассмотрим кратко эти построения.

Пусть L С E+ — заданный язык; L(k) = {u £ L|d(u) ^ k} (k £ N), где d(u) —длина слова u; n(u, a) (u £ E+, a £ E) —число вхождений буквы a в слово u и

Е n(u,a)

v(L(k),a) = .. . (k £ N, a £ E).

E d(u)

uEL(k)

Предполагается, что для каждого a £ E существует предел

lim v(L(k),a) = a(a) > 0,

откуда вытекает, что для любого фиксированного положительного числа е для каждого a £ E существует такое число k0(a, е) £ N, что для всех k > k0(a,е) (k £ N)

|v(L(k),a) — a(a)| < e.

Зафиксируем такое положительное число е, что

a(a) — е > 0

для всех a £ E, и положим k0(е) = max k0(a, е).

Относительной частотой появления буквы a £ E в словах языка L назовем число

frqnc(L,a) = vЩ^(е)), a).

Отметим, что из приведенных построений вытекает, что:

1) frqnc(L, a) > 0 для всех a £ E;

2) Е frqnc(L,a) = 1.

Предположим, что каждое число frqnc(L, a) (a £ E) представлено двоичной дробью, вычисленной с точностью до 2-r (r £ N), причем выполнены оба приведенных выше условия.

Алгоритмом побуквенного кодирования назовем алгоритм, вычисляющий значения фиксированного инъективного отображения

cdng : E ^ E11 (h = [log |E|D

с временной и емкостной сложностью, соответственно равной

O(li) (|E| ^ro),

O(|E| ■ h) (|E|^ro).

Ясно, что для всех a £ E

frqnc(cdng(L), cdng(a)) = frqnc(L,a),

т. е. относительные частоты букв в словах языков L и cdng(L) совпадают. Отсюда вытекает корректность построения комбинаторных структур в терминах языка cdng(L) и относительных частот букв в словах языка L. В дальнейшем, для краткости, вместо записи frqnc(L,a) будем использовать запись frqnc(a).

Зафиксируем число к Є N (к ^ г) и такое число /2 Є N что /2 ^ її + к. Регулярная комбинаторная структура для языка Ь определена в [1, 16] как бинарное отношение А С Е11 X Е12, удовлетворяющее следующим пяти условиям:

1) рг1А = Ыпд(Е);

2) А(Ыпд(а)) = 2Г ■ /гдпс(а) для всех а Є Е;

3) А(с^пд(а1)) П А(Ыпд(а2)) = 0 для всех а1,а2 Є Е (а1 = а2);

4) каждое множество А(Ыпд(а)) (а Є Е) представлено в неявном виде с емкостной сложностью 0(/2) (/2 ^ то);

5) существует алгоритм А, который при фиксированной начинающейся с нуля нумерации элементов любого множества А(Ыпд(а)) (а Є Е) порождает 0-й элемент множества А(Ыпд(а)) и по і-му элементу (і = 0,1,... , |А(Ыпд(а))| — 1) множества А(Ыпд(а)) порождает (і + 1)(mod |А(Ыпд(а))|)-й элемент множества А(Ыпд(а)) с временной и емкостной сложностью, равной 0(/2) (/2 ^ то).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В [1, 16] доказано, что множество регулярных комбинаторных структур для языка Ь непусто. Этот результат является, по своей сути, аналогом доказательства непротиворечивости построенного фрагмента теории и обосновывает исследование возможности построения математической модели дискретного преобразователя, основанного на использовании таких структур и предназначенного для разрушения частот букв в языке Ь. Такой дискретный преобразователь автоматного типа построен в [1, 16]. Псевдослучайный генератор применяется для инициализации значений элементов множеств А(Ыпд(а)) (а Є Е). Доказана корректность предложенных алгоритмов. Показано, что при выполнении ряда предвычислений разрушение частот букв в языке Ь осуществляется с линейным замедлением. Исследована вычислительная стойкость реализуемого построенным дискретным преобразователем алгоритма (при его интерпретации в качестве поточного шифра).

Второй тип модели структурного конечного автомата, применяемого при решении задач криптографии, основан на использовании представленного в неявном виде семейства легко вычислимых перестановок заданного конечного множества, выбор элементов которого управляется посредством заданного быстрого алгоритма. Рассмотрим общую схему построения таких моделей.

Перестановка / Є Б элементов конечного множества Б называется легко вычислимой, если существует алгоритм Л;, реализующий эту перестановку с временной и емкостной сложностью, соответственно равной

V; = 0(^ |Б|) (|Б| ^ то),

7> = 0(1с^|Б|) (|Б| ^ то).

Перестановка Ї элементов конечного множества

Б = Б1 х ••• х Бі

называется легко вычислимой разложимой перестановкой, если существуют такие легко вычислимые перестановки

/1,...,/і

элементов соответственно множеств Б1, . . . , Бі, что для любого Б = (в1,... , з) Є Б

ад = (/1(з1),...,/ад))

(несложно показать, что если /,...,/ —легко вычислимые перестановки, то f —легко вычислимая перестановка множества S, так что это определение корректно).

Пусть в неявном виде задано такое семейство легко вычислимых разложимых перестановок

F = f = {/¡‘’.■■■,/,(‘))}i€Z„,

что:

1) генерация алгоритма Af0 осуществляется за время O(log |S|) {|S|) ^ to);

2) преобразование алгоритма A. (j Є Zm) в алгоритм Af(j.+1)(mod m) осуществляется за время O(log2|S|) (|S|) ^ to).

Обозначим через B быстрый алгоритм, который (по заданному входу) генерирует такую последовательность натуральных чисел

По,Пі,П2 ..., (2)

что для всех і Є N

П << m.

Соответствующий дискретный преобразователь автоматного типа преобразует любую последовательность

^ sb s2> ■ ■ ■

элементов множества S в последовательность

fno (s0) , frao+rai {s1) , frao+rai+ra2 (s2) , ■ ■ ■

Проиллюстрируем сказанное на примере.

Пример 2. В [1, 17, 18] предложен следующий подход к построению поточных шифров. Шифруемая входная последовательность разбивается на тройки байтов, которые интерпретируются как RGB-компоненты bmp-файла. Шифрование каждой такой тройки байтов (по своей сути, изменение цвета соответствующего пикселя) осуществляется посредством семейства легко вычислимых перестановок

F {fi}i€Z2B6 ,

определяемого соотношениями

rn = (r0 + n ■ |аП ■ a — аП ■ a2 — аП ■ a3|) (mod 256),

= (g0 + n ■ |аП ■ a2 — аП ■ аі — аП ■ a3|) (mod 256),

= (b0 + n ■ |аП ■ a3 — аП ■ аі — аП ■ a2|) (mod 256),

где r0, g0, b0 и rn, gn, bn — соответственно исходные и преобразованные компоненты цве-

та пикселя, а аі, а Є Z (і = 1, 2, 3) —параметры, играющие роль секретного сеансового ключа.

Последовательность натуральных чисел (2) вычисляется на основе номеров итераций построения на дисплее точек выбранного псевдофрактала.

Третий тип модели структурного конечного автомата, применяемого при решении задач криптографии, основан на представлении обратимых автоматов системами уравнений над конечной алгебраической системой. Значимость таких моделей обусловлена тем, что в последнее десятилетие в криптографии наметилась устойчивая тенденция

перехода от чисто комбинаторных конструкций к конечным алгебраическим системам. Эта тенденция проявляется в том, что практически во всех современных стандартах шифрования присутствует фрагментарное применение теории конечных полей, а значительное число схем поточного шифрования, представленных в рамках реализуемых в настоящее время европейского и японского проектов (соответственно МЕББГЕ и CRYPTR.EC), основано на использовании автоматов над полем (2к). Известно, что

поле — это специальный случай кольца. При этом наличие в кольце делителей нуля дает возможность охарактеризовать сложность поиска в терминах сложности решения уравнений над кольцом. Конечные автоматы над конечным кольцом, применяемые для решения задач криптографии, будут рассмотрены в последующих разделах. Сейчас отметим только, что исследование таких автоматов актуально для современной криптографии по следующим причинам.

Во-первых, при соответствующих ограничениях на параметры автоматы над конечным кольцом определяют класс поточных шифров, вычислительная стойкость которых может быть теоретически охарактеризована в терминах сложности решения уравнений над кольцом.

Во-вторых, устанавливается нетривиальная внутренняя связь между современной криптологией и теорией систем, так как сложность и эффективность успешных атак для криптоаналитика естественно характеризуется в терминах сложности решения таких классических задач теории динамических систем, как управляемость, наблюдаемость, параметрическая идентификация.

В-третьих, устанавливается нетривиальная внутренняя связь между современной криптологией, теорией автоматов и современной алгеброй, что дает возможность при решении задач криптографии систематически и комплексно использовать модели и методы этих разделов математики, а также стимулировать формирование некоторых направлений исследований этих разделов математики, предназначенных именно для нужд криптографии.

1.3. Комбинаторный анализ

Об исключительной роли, которую комбинаторные конструкции играли и играют в криптографии, прежде всего свидетельствуют многочисленные примеры шифров и криптографических протоколов, основанных на их использовании (см., напр., [19]).

По-видимому, для современной криптографии важными являются следующие особенности, связанные с применением комбинаторного анализа.

Во-первых, это переосмысление известных комбинаторных конструкций в контексте задач современной криптографии.

Пример 3. В качестве регулярных комбинаторных структур, предназначенных для разрушения частот букв, в [15] использовались:

1) грани куба Еп, которые, как известно, являются стандартной комбинаторной конструкцией в теории минимизации ДНФ;

2) система попарно непересекающихся шаров в пространстве Еп, которая, как известно, применяется в теории кодов, контролирующих ошибки.

Во-вторых, это анализ возможности применения экстремальных и близких к ним комбинаторных объектов для решения задач криптографии.

Пример 4. В [20] было построено и исследовано семейство связных графов, удовлетворяющих следующим трем условиям:

1) граф имеет почти регулярную структуру (откуда вытекает возможность его эффективного представления в неявном виде);

2) число гамильтоновых путей между двумя фиксированными вершинами является субэкспонентой от числа ребер;

3) существует такой алгоритм, который порождает субэкспоненциальное число гамильтоновых путей на графе между этими фиксированными вершинами, причем каждый из этих путей порождается за время O(n) (n ^ то), где n — число вершин графа.

В [15] показано, что такие графы могут быть эффективно применены при решении задачи диффузии информации — модельной задачи криптографии.

В-третьих, это необходимость метрического анализа комбинаторных конфигураций, определяемых в терминах модульной арифметики, в отличие от классического подхода комбинаторного анализа, основанного на использовании линейно или частично упорядоченных множеств (см., напр., [21, 22]).

Пример 5. В [23] исследована следующая комбинаторная конфигурация.

Пусть S — непустое конечное множество, а ai,... , an G N — взаимно простые числа. Положим

(S) = {f |f : S ^ } (i = 1,... ,m),

F (S ) = {f |f : S ^ Z m }.

П a

i=1

Определим отображение fmod ai (f G F (S ); i = 1,... ,m) равенством

fmodai = f (s)(modai) (s G S).

Зафиксируем подмножества Fai (S) Ç Fai (S) (i = 1,... ,m) и положим

Fai (S) = {f G F (S ) | fmod ai G Fai (S)} (i = 1, . . . ,m).

В [23] доказано, что

m m

IП Fai (s )| = П iFOi (s ). (3)

i=1 i=1

Нетривиальность равенства (3) обусловлена хотя бы тем, что оно дает возможность найти точное число обратимых матриц над кольцом Zn (n G N), его следствиями являются китайская теорема об остатках и формула Эйлера для количества чисел, взаимно простых с данным числом.

1.4. Алгебра

К стандартному аппарату алгебры, применяемому в современной криптологии, относятся (см., напр., [24]) ряд разделов теории чисел (методы решения сравнений, использование первообразных корней, сведение задачи к поиску индекса (дискретного логарифма), применения цепных и подходящих дробей), ряд разделов теории конечных алгебр (конечные группы, конечные поля и векторные пространства над ними, кольца и модули линейных форм над ними), теория эллиптических кривых, а также теория алгебраических систем.

Формирование проблематики этих разделов математики осуществлялось без учета потребностей криптологии, и только в настоящее время начинают выделяться те их направления, которые существенно опираются на теорию алгоритмов и компьютерную математику и действительно могут стать мощным инструментом при исследовании задач защиты информации.

По-видимому, одним из самых тонких и сложных моментов, связанных с использованием систем уравнений над конечными алгебраическими системами в криптографии, является теоретическое исследование сложности их решения. Именно эта сложность, в конечном итоге, характеризует сложность идентификации сеансового ключа для шифра, определяемого этими системами уравнений.

Пример 6. В [25] исследовано семейство легко вычислимых перестановок

Г = {6 = {/|‘),...,/,(‘))Ьа„,

которое является нетривиальным обобщением семейства перестановок из [17, 18]. Компоненты этих перестановок определяются уравнениями над кольцом

% = {^рк , ф, о) ,

где р — простое число. Показано, что параметрическая идентификация этого семейства перестановок сводится к решению системы высокостепенных уравнений над конечным кольцом, при этом необходимо решить I задач поиска дискретного логарифма.

По-видимому, заслуживает внимания исследование возможности применения для решения задачи выбора секретного ключа средней длительности для двух пользователей параметрических диофантовых уравнений (как известно, проблема поиска решения диофантовых уравнений алгоритмически неразрешима). На примерах простейших параметрических диофантовых уравнений нетрудно убедиться, что структура множества их решений может существенно варьироваться в зависимости от значений параметров. Поэтому даже передача открытым текстом номера решения, определяющего секретный сеансовый ключ, мало что даст криптоаналитику для идентификации этого ключа.

Одним из наиболее перспективных методов генерации ключей для электронноцифровой подписи является применение эллиптических кривых над конечным полем. Это направление исследований в настоящее время интенсивно развивается (см., напр., [26, 27]). Однако в настоящее время отсутствует систематизация полученных результатов и системная характеристика тонких мест этого направления именно с позиции современной криптологии.

Наконец, следует отметить, что в последнее время при исследовании различных аспектов решения задачи защиты информации фрагментарно используются те или иные варианты многоосновных алгебраических систем. К таким исследованиям относятся анализ структуры гомоморфизмов универсальных многоосновных алгебр, применяемых при минимизации сложности решения уравнений, связанных с анализом блоков шифрования [28], попытка теоретической проработки основ построения системы компьютерного моделирования системы защиты информации (с применением системы автоматического вывода), предпринятая в [29], а также исследования формальных моделей систем компьютерной безопасности (см., напр., [30]).

Рассмотренные особенности комбинаторно-алгебраических моделей далеко не исчерпывают всего круга проблем, возникающих при их применении для исследования задач современной криптографии.

Во-первых, вне внимания криптографии остаются многочисленные комбинаторноалгебраические конструкции, успешно применяемые в теории кодов, контролирующих

ошибки [31]. Применение таких конструкций (после соответствующей их модификации) дает возможность автоматически обнаруживать и исправлять некоторые случайно или преднамеренно внесенные ошибки, что повышает эффективность использования шифрсистем.

Во-вторых, как показал печальный опыт с ранцевым алгоритмом шифрования, требует самого тщательного теоретического обоснования сужение множества исходных данных ЖР-полных задач, которые естественно возникают при их применении в криптографии. Сложность такого теоретического обоснования весьма велика, так как оно, по своей сути, эквивалентно доказательству утверждения о том, что не существует эффективная атака того или иного типа. По-видимому, единственным эвристическим выходом из этой ситуации является использование семейства однотипных, имеющих различные размеры, комбинаторных конструкций, определяемых применяемой ЖР-полной задачей. Такой подход дает возможность в процессе сеанса шифрования динамически варьировать применяемые конструкции (и их размеры) с помощью псевдослучайного генератора. При таком подходе, по крайней мере, есть надежда, что криптоаналитик столкнется с трудной проблемой тождества слов.

В-третьих, в настоящее время интенсивно развивается теория квантовых вычислений [32]. Существенной особенностью этой теории является то, что она в корне изменяет взгляд на прикладную теорию алгоритмов, так как, во-первых, ее эффективным инструментом являются методы, осуществляющие построение решения с заданной вероятностью, а, во-вторых, в ее рамках возможно эффективно реализовать ряд методов поиска, имеющих экспоненциальную сложность в классической прикладной теории алгоритмов. По-видимому, серьезным предупреждением для криптографии является существование полиномиального квантового алгоритма для разложения числа на два простых сомножителя. Поэтому исследование комбинаторно-алгебраических моделей, для анализа которых не существует эффективных квантовых алгоритмов, является актуальным для современной криптографии.

Все сказанное выше, наряду с интенсивным развитием средств вычислительной техники, обосновывает актуальность теоретической проработки математических основ, обеспечивающих адекватное и эффективное применение комбинаторноалгебраических моделей в процессе решения задач современной криптографии.

2. Модели хаотической динамики в анализе шифров

На протяжении последнего двадцатилетия усилия многочисленных коллективов ученых различных стран привели к значительным успехам в области исследования свойств детерминированного хаоса динамических систем (см., напр., [33, 34]).

Говоря неформально, динамическая система представляется таким набором из п динамических переменных, характеризующих состояние системы, что их значения в любой последующий момент времени получаются из набора исходных значений по определенному правилу, называемому оператором эволюции системы. Динамику (иными словами, эволюцию) такой системы можно представить как движение точки по траектории в п-мерном фазовом пространстве. Динамическую систему, представленную системой дифференциальных уравнений, часто называют потоком, а представленную системой рекуррентных соотношений — отображением (отметим, что при компьютерном моделировании динамических систем всегда происходит переход от потока к отображению). Динамическая система называется хаотической, если сколь угодно малое изменение начального состояния системы быстро нарастает во времени. Это означает, что сколь угодно малая неточность в задании начального состояния

системы делает невозможной предсказуемость ее эволюции на достаточно больших интервалах времени.

Выделим в фазовом пространстве динамической системы некоторую область (ее часто называют облаком) и рассмотрим эволюцию облака. Если с течением времени объем облака остается постоянным, то динамическая система называется консервативной (с физической точки зрения консервативность означает сохранение энергии). Если же с течением времени объем облака изменяется, то динамическая система называется диссипативной. Для диссипативных систем характерно то, что с течением времени облако съеживается и концентрируется на одном или нескольких аттракторах, т. е. подмножествах фазового пространства, обладающих, как правило, нулевым фазовым объемом (наиболее известные примеры аттракторов — это положение равновесия и предельный цикл, т. е. замкнутая фазовая траектория, к которой с течением времени стремятся все близкие траектории). Множество всех точек фазового пространства, из которых траектории приходят к одному и тому же аттрактору, называется бассейном этого аттрактора.

В диссипативных системах хаос часто связан с наличием странных аттракторов, представляющих собой фрактальные множества (или, кратко, фракталы), т. е. множества, имеющие сложную самоподобную структуру и притягивающие к себе все траектории, принадлежащие бассейнам этих аттракторов.

В процессе исследования хаотических динамических систем большое внимание уделялось (и уделяется в настоящее время) применениям таких систем к решению задач преобразования информации. Здесь следует особо отметить исследования, связанные с разработкой методов записи и восстановления информации, основанные на использовании устойчивых циклов [35-38], которые, в конечном счете, привели к парадигме хаотического процессора [39], т. е. к математической модели, позволяющей работать с информацией как с траекторией в фазовом пространстве и управлять характером динамических явлений с целью осуществления базовых операций хаотического процессинга. Именно представление информации траекториями, а также обработка информации посредством хаотических динамических систем и составляют основу применения моделей и методов хаотической динамики в криптографии.

Подчеркнем, что применение любой схемы представления информации циклами, порождаемыми в фазовом пространстве хаотической динамической системой, по сути, приводит к шифрованию исходной информации, причем вычислительная стойкость такого шифра заведомо не меньше, чем вычислительная стойкость шифра замены, переводящего элементы исходной информации в циклы.

Цель настоящего раздела — проиллюстрировать основные из подходов, применяемых при использовании моделей и методов хаотической динамики для решения задач современной криптографии.

2.1. Модель хаотической динамики в криптографии

с открытым ключом

В [40-42] предложен следующий подход к разработке шифрсистем с открытым ключом, основанный на неоднозначности обращения кусочно-линейных хаотических отображений.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В качестве кусочно-линейного хаотического отображения выбрано отображение тент, рекуррентное уравнение которого имеет вид

—, если 0 ^ жп < а,

хп+1 = { 1а- ж„ (п € Z+), (4)

если а < ж„ ^ 1,

, ------ ^

1 — а

где а € (0; 1) —параметр.

В случае когда а = 0,5, решение рекуррентного уравнения (4) имеет вид

жп = — ■ агссо8(со8(2га ■ п ■ ж0)) (п € 2+), (5)

п

где ж0 — начальное значение.

Равенство (5) представляет собой подсемейство однопараметрического семейства отображений

Тк(ж) = — ■ агссо8(сов(к ■ п ■ ж0)) (к € М). (6)

п

В дальнейшем рассматривается именно семейство отображений (6), что совершенно не влияет на общность рассуждений.

Отметим, что семейство отображений (6) удовлетворяет полугрупповому свойству

Тг., = Т О Т, (г, 5 € М), (7)

где о — операция суперпозиции отображений. Из (7), в свою очередь, вытекает, что семейство отображений (6) удовлетворяет также свойству коммутативности, т. е.

Тг о Т, = Т, о Тг (г, 5 € М).

Предполагается, что подлежащее шифрованию сообщение — это т-битовая последовательность, а М — целое число, представляющее эту последовательность.

В [41, 42] исследована следующая математическая модель шифрсистемы с открытым ключом.

Формирование ключей пользователем А осуществляется следующим образом:

1) генерируются такие натуральные числа р и д, что п = р ■ д > 2т;

2) ищется неустойчивая неподвижная точка ж0 € (0; 2-т) отображения Тп;

3) вычисляется открытый ключ у0 = Тр(ж0).

Пара (ж0, д) — личный секретный ключ пользователя А.

Для того чтобы отправить пользователю А сообщение М, пользователь В вычисляет и отправляет пользователю А шифртекст с = Тм (у0).

Для того чтобы расшифровать сообщение, пользователь А вычисляет значение

М=

Т, (с)

Ж0

Действительно, с учетом того, что М ■ Ж0 ^ 1, получим

Т,(с) Т,(Тм(У0)) _ т,(Тм(Тр(ж0))) _ Тм(Т„(ж0))

Ж0 Ж0 Ж0 Ж0

Тм(ж0) агссо8(сов(п ■ М ■ ж0)) п ■ М ■ ж0

Ж0 п ■ Ж0 п ■ Ж0

М.

В [41] исследована вычислительная стойкость рассмотренного шифра, а в [42] — точность вычислений, при которых процесс шифрование — расшифрование корректен.

Ясно, что рассмотренный выше подход к построению шифрсистемы с открытым ключом применим для любых кусочно-линейных хаотических отображений. Однако как анализ вычислительной стойкости соответствующего шифра, так и поиск условий, при которых процесс шифрование - расшифрование корректен, существенно зависят от используемого кусочно-линейного отображения.

2.2. Коммуникационная система на основе х а о т и ч е с к о г о н о с и т е л я

В [43] предложена следующая математическая модель вычислительно стойкой коммуникационной системы, содержащей хаотические динамические системы.

Используемая передатчиком управляемая хаотическая динамическая система, играющая роль носителя, предназначенного для маскирования зашифрованного аналогового сообщения та(£), имеет следующий вид:

1) переходы состояний определяются системой уравнений

'¿1 = 0,7 ■ ¿1 - ¿2 - ¿з,

> = 91, (8)

¿з = 3(91 - ¿4),

,¿4 = 39з — 30(?4 — 1)Н(¿4 — 1) — 30 ■ 6ега(£);

2) выход определяется уравнением

4

УСО = (¿4(£) - 1)Н(¿4(£) - 1) + ^ кг ■ ¿¿(¿). (9)

г=1

Обозначения в (8) и (9) следующие : Н(г) — функция Хевисайда, а беп(£) — функция шифрования, представляющая собой п-сдвиговый регистр, определяемый уравнением

еепСО = /1 (.../1(/1 М*),К (^)),К (^)),...,к (10)

где

{х + К + 2 ■ к, если - 2 ■ к ^ х + К ^ -к,

х + К, если - к<х + К<к, (11)

х + К - 2 ■ к, если к ^ х + К ^ 2 ■ к.

В (10) и (11) числа к и п представляют собой параметры шифра, а в качестве ключа

К(¿) может быть выбрана любая функция от переменных состояния системы.

Сигнал, передаваемый передатчиком, имеет вид

¿(¿) = у(*) + беп(*).

Используемая приемником управляемая хаотическая динамическая система имеет следующий вид:

1) переходы состояний определяются системой уравнений

= 0,7 ■ (11 - с/2 - (з,

(2 =

' (з = 3((1 - (4) , (12)

¿4 = 3(з - 30(г(*) - кг ■ ((*));

< г=1

2) выход определяется уравнением

4

Єега(^) = ¿(і) — (?4 — 1) —(?4 — 1) — ' 9г(і).

і=1

Расшифрование выхода бГєп(і) осуществляет все тот же п-сдвиговый регистр

т(і) = /і(. . . /і(/і(Єеп(І), -КК(і)), -ККСО), . . . , -К(і)).

Числа к (і = 1,... , 4) подбираются таким образом, чтобы была обеспечена синхронизация систем (8) и (12). В этом случае для достаточно больших значений і

жДі) ^ Хі(і) (і = 1,... , 4).

А так как ключи зависят только от переменных состояния, то

КК (і) ^ К (і).

Следовательно,

Єега(і) ^

откуда вытекает, что

т(і) ^ т(і).

Высокая вычислительная стойкость рассмотренной коммуникационной системы обусловлена следующими обстоятельствами.

Во-первых, криптоаналитику достаточно сложно восстановить геометрическую структуру траектории используемой хаотической динамической системы в 4-мерном фазовом пространстве.

Во-вторых, даже если криптоаналитик сможет выделять зашифрованное сообщение

Єеп(і) = ¿(г) - у(і),

у него возникнут проблемы с его расшифрованием, так как ключ не передается по каналу связи.

2.3. Поточные шифры на основе хаотических

д и н а м и ч е с к и х с и с т е м

Рассмотренная выше коммуникационная система является системой с памятью (т. е., по своей сути, поточной системой) и основана на том обстоятельстве, что за счет синхронизации хаотических динамических систем восстанавливаемое аналоговое сообщение сходится к исходному. Однако синхронизация хаотических динамических систем — сложная проблема, исследованию которой посвящено значительное число конференций по хаотической динамике (см., напр., [44, 45]), и анализ скорости синхронизации требует индивидуального подхода к каждому типу систем. Ситуация еще более усложняется при компьютерном моделировании таких систем и переходе от аналогового сигнала к дискретному, т. е. при переходе к шифрсистемам в их обычном смысле в криптографии. Поэтому естественно избежать проблемы синхронизации хаотических динамических систем. Такой подход систематически изложен в [1] и состоит в следующем.

Рассмотрим хаотическую динамическую систему

Я = ґ(Я,а) (13)

где вектор динамических переменных q = (q(1),... ,q(n))T Є Rn определяет состояние системы в момент t Є R+, а вектор a = (а1,... , am)T Є Rm определяет значение параметров системы.

Построение поточного шифра на основе динамической системы (13) осуществляется следующим образом.

Во-первых, осуществляется дискретизация системы (13) (этот этап не нужен, если исходная динамическая система является дискретной), т. е. приведение системы к виду

qí+i = h ■ f(q^ a) + q^ (14)

где h (h > 0) —шаг дискретизации, а t Є Z+.

Во-вторых, с целью построения дискретной динамической системы с функцией выхода и с внешним управлением (т. е. модели автоматного типа) в систему (14) аддитивно вносится информационная переменная xt+i = (x(+i,... , )T, определяющая

значение блока информации, шифруемого в момент t +1.

В результате таких построений можно выделить следующие два типа систем:

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1) систему типа Мили

qí+i = h ■ f(q^ a) + qt + h ■B ■ xt+b yt+i = C ■ qt + D ■ xt+b

(t є z+); (15)

2) систему типа Мура

qt+i = h ■ f(qt, a) + qt + h ■B ■ xt+l, yt+i = C ■ qt+l,

(t Є Z+). (16)

В (15) и (16) А, В, С, О — п х п-матрицы, qQ — начальное состояние, а уі+1 — результат шифрования блока информации хі+1.

Истинны следующие утверждения.

Утверждение 1. Динамическая система (15) представляет собой поточный шифр тогда и только тогда, когда О — невырожденная п х п-матрица.

Следствие 1. Для поточного шифра (15) расшифрование осуществляет динамическая система

qt+i = h ■ f(qt, a) + (I - h ■ B ■ D i ■ C) ■ qt + h ■ B ■ D i ■ xt+i

yt+i = D- ■ (xt+i - C ■ qt),

где I — единичная п х п-матрица.

Утверждение 2. Динамическая система (16) представляет собой поточный шифр тогда и только тогда, когда В и С — невырожденные п х п-матрицы.

Следствие 2. Для поточного шифра (16) расшифрование осуществляет динамическая система

Ч*+1 = С ' Х*+Ь /, ^ ) (1й)

у4+1 = -^-1 ■ В-1 ■ (^ ■ ^,а) + я4) + й-1 ■ В-1 ■ С-1 ■ х*+ь + '

Итак, каждый из шифров (15) и (16) представляет собой симметричный поточный шифр. При этом секретным ключом для шифра (15) являются параметры Л, а, В, С, О и начальное состояние qQ, а для шифра (16) —параметры Л, а, В, С и начальное состояние qQ.

Следует особо отметить следующее свойство рассматриваемых шифров: в процессе шифрование — расшифрование как динамические системы (15) и (17), так и динамические системы (16) и (18) движутся по одной и той же траектории в пространстве состояний. Это свойство дает возможность за счет одновременного использования прямой и обратной системы осуществлять контроль (т. е. обнаружение и исправление) некоторых ошибок, возникающих именно в процессе передачи информации по каналу связи.

Вычисления в поле действительных чисел К (или в поле рациональных чисел Q при компьютерном моделировании) наталкивается на фактор накопления ошибок округления, в результате проявления которого процесс шифрование — расшифрование теряет свою корректность. Обеспечение корректности вычислений за счет повышения их точности связано с непростым анализом применяемой системы, приводит к существенному замедлению процесса шифрование — расшифрование в случае линейных систем и практически неосуществимо для нелинейных систем.

Именно это обстоятельство обосновывает целесообразность нивелирования ошибок округления за счет перехода к действиям в конечной алгебраической системе. Аргументы в пользу выбора конечного кольца в качестве такой алгебраической системы были изложены в разд. 1. В результате возникает новый класс симметричных поточных шифров, а именно класс симметричных поточных шифров, построенных на основе аналогов хаотических динамических систем над конечным кольцом. По своей сути такие шифры представляют собой конечные автоматы над конечным кольцом. Таким образом, мы приходим к новому разделу теории автоматов, имеющему нетривиальную область приложений, а именно современную криптологию.

В качестве конечного кольца всюду в дальнейшем выбрано кольцо

Проиллюстрируем построение таких шифров на основе модельных нелинейных хаотических динамических систем (см., напр., [34]).

Пример 7. Система Ресслера имеет вид

(Zpfc , ф, о) ,

где p — простое число, k Е N, а операции определены равенствами

а ф b = (a + b) (mod pk), a о b = (a ■ b) (mod pk).

x = — y — z,

y = x + a ■ y, (t Є R+).

z = b + (x — r) ■ y,

(19)

Дискретизируем систему (19), внесем информационную переменную в 1-е уравнение, перейдем к вычислениям в кольце Zрк и к стандартным обозначениям теории

автоматов. Получим инициальный автомат

(мя, qo) : <

' 9(+\ = д(1) 0 Л о д*2) 0 Л о д(3) 0 Л о й о х*+1, 9(+\ = Л о 9(1) 0 (а о Л 0 1) о ^2),

9(+\ = Л о Ь 0 (1 0 Л о г) о ¿3) 0 Л о 9(1) о 9*

(1)

Ш+1 = ^*+1,

(3)

(1) (3) Е ^+),

(20)

где 0 — операция, обратная операции 0, а а, Ь, й, Л, г Е ^рк, причем й и Л — обратимые элементы кольца Zрк.

Пример 8. 1-я система Спротта имеет вид

X = у.

у = —х + у ■ г, (г Е К+).

г = 1 — y2,

(21)

Дискретизируем систему (21), внесем информационную переменную в 1-е уравнение, перейдем к вычислениям в кольце Zрк и к стандартным обозначениям теории автоматов. Получим инициальный автомат

(М5, qQ) : <

Ч(+\ = %(1) 0 Л о ¿2) 0 Л о а о х*+1,

9(+1 = ?*(2) 0 Л о 5*(1) 0 Л о ?*(2) о 5*(3),

9(+\ = Л 0 %(3) 0 Л о

(г е ^+)

(22)

(1)

Ш+1 = Щ+ъ

где а, Л Е ^рк —обратимые элементы кольца Zрк. Пример 9. Система Лоренца имеет вид

X = а1 ■ (у — х),

у = х ■ (а2 — г) — у, (г Е К+).

= х ■ у — а3 ■ г,

(23)

Дискретизируем систему (23), внесем информационную переменную во 2-е уравнение, перейдем к вычислениям в кольце Zрк и к стандартным обозначениям теории автоматов. Получим инициальный автомат

"д(+)1 = (1 0 Л о а1) о 9*(1) 0 Л о а1 о д*2),

9*+^ = (1 0 Л) о д(2) 0 Л о 9*(1) о (а2 0 9(3)) 0 Л о а о х4+ь

9(+\ = (1 0 Л о а3) о 9(3) 0 Л о 9(1) о 9(2),

(2)

ш+1 = q¿+)l,

(г Е 2+), (24)

где а1, а2, а3, а, Л Е ^„к, причем а и Л — обратимые элементы кольца Z„к.

Пример 10. Отображение Эно имеет вид

хга+1 1 а ' хп Ь ' уп

уга+1 — xra,

(п Е ^+).

(25)

Перейдем от (25) к отображению

х,+2 =1 — а ■ х^+1 — Ь ■ х, (г Е Ж+).

(26)

Добавим в (26) информационную переменную, перейдем к вычислениям в кольце Zрк и к стандартным обозначениям теории автоматов. Получим инициальный автомат

где с Е Ърк — обратимый элемент кольца Zpk.

Отметим, что теоретический анализ вычислительной стойкости шифров (20), (22), (24) и (26) сводится к решению задач параметрической идентификации, идентификации начального состояния соответствующего автомата и к анализу множеств неподвижных точек отображений, реализуемых инициальными автоматами.

Выше были рассмотрены некоторые подходы к применению моделей и методов хаотической динамики для решения задач современной криптографии.

Среди попыток построения шифрсистем с открытым ключом следует также отметить предложенный в [46] протокол обмена ключами, основанный на использовании фракталов Мандельброта и Жюлиа для порождения открытых и секретных ключей. Хотя вычислительная стойкость предложенного протокола такая же, как и вычислительная стойкость протокола Диффи — Хеллмана, предложенный протокол использует ключи меньшего размера и работает быстрее, т. е. является более эффективным с точки зрения вычислений.

При построении коммуникационной системы на основе хаотического носителя в качестве такого носителя может быть выбрана практически любая хаотическая динамическая система. Основная проблема, которая здесь возникает, связана с построением схемы, обеспечевающей синхронизацию систем, расположенных в приемнике и передатчике. Ряд схем синхронизации модельных нелинейных хаотических динамических систем исследован в [44].

Исследованию линейных рекуррентных последовательностей над конечным кольцом (такие последовательности являются, по сути, автономными автоматами специального вида над конечным кольцом) посвящено значительное число публикаций. Их библиография представлена, например, в обзоре [47]. Однако исследования неавтономных автоматов над конечным кольцом, особенно в свете их приложения к решению задач криптографии, практически отсутствуют в настоящее время. В следующем разделе мы рассмотрим некоторые классы автоматов над кольцом Zрк, которым, в частности, принадлежат автоматы, построенные в примерах 7-9.

В предыдущих двух разделах было показано, что как для теории автоматов, так и с точки зрения анализа математических основ современной криптографии актуально исследование автоматов, представленных системой уравнений над конечным кольцом. Такое исследование систематически изложено в [1].

В настоящем разделе мы рассмотрим основные характеристики ряда таких моделей как с точки зрения теории автоматов, так и с точки зрения современной криптографии. К стандартным задачам теории автоматов относится выделение основных нетривиальных подмножеств автоматов (в терминах критерия принадлежности автомата тому

у*+1 = 9*+2,

(27)

3. Автоматы над конечным кольцом

или иному подмножеству), подсчет или оценка мощности этих подмножеств автоматов, поиск критериев эквивалентности состояний и автоматов, исследование сложности идентификации начального состояния автомата, а также исследование сложности идентификации автомата, принадлежащего заданному множеству автоматов (для модели, представленной системой уравнений, такое множество естественно определять в терминах вариации параметров).

Для криптографии объектом исследования является обратимый автомат, т. е. автомат, который при фиксации начального состояния реализует инъективное отображение входной полугруппы в выходную полугруппу. Ясно, что обратимый автомат и обратный ему автомат определяют симметричный поточный шифр. Поэтому с позиции криптографии представляет интерес выделение для исследуемых моделей подмножеств обратимых автоматов и решение для этих подмножеств автоматов перечисленных выше задач. При этом сложность решения задач идентификации начального состояния автомата и параметрической идентификации автомата характеризует с теоретической точки зрения сложность атаки криптоаналитика на секретный ключ соответствующего шифра.

Кроме перечисленных выше задач для криптографии представляет интерес исследование структуры множества неподвижных точек отображения, реализуемого инициальным обратимым автоматом (что дает возможность принять меры для предотвращения возможности появления критических фрагментов открытого текста на выходе шифра), а также изучение вариации поведения обратимого автомата при вариации его параметров или вариации начального состояния. Решение последней задачи представляет собой основу для разработки аналогов методов дифференциального и интегрального анализа поточных шифров, определяемых исследуемыми моделями (переход от булевой функции к словарной является принципиально новым моментом такого анализа для поточных шифров по сравнению с анализом блочных шифров).

В качестве конечного кольца выбрано кольцо Zрк = (2рк, 0, о). Такой выбор сделан только для того, чтобы упростить формулы, определяющие число автоматов, принадлежащих тем или иным подмножествам (остальные результаты истинны для любых конечных колец).

где А, В, С, О Е Мп — фиксированные матрицы, а qt, х,, у, Е 27^ —вектор-столбцы, представляющие состояние автомата, входной символ и выходной символ в момент г.

Замечание 1. Интерес к исследованию множеств автоматов Ап1 и Ап2 обусловлен следующим. Как показывает предыдущий опыт (см., напр., [8, 9], для линейных автоматов решение многих задач значительно проще, чем в общем случае. Это дает возможность получить более завершенный (чем в общем случае) фрагмент теории и

3.1. И с с л е д у е м ы е м о д е л и Обозначим через Мп (п Е М) множество всех п х п-матриц над кольцом Zpk. В [1, 48, 49] исследовано множество Ап,1 линейных автоматов Мили

(28)

и множество Дп,2 линейных автоматов Мура

(29)

понять ту внутреннюю сложность решения задач, которая возникает при переходе от конечного поля к конечному кольцу.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В [1, 50] исследовано множество А^д линейных с лагом I одномерных автоматов Мили

{п

Ф+1 = 0 «г ◦ &+г_г Ф Ь О ж*+1,

*= Е ^+) (З0)

Ут = 0 С О ф+г— Ф d О Ж*+1,

г=1

и множество Аг,2 линейных с лагом I одномерных автоматов Мура

{п

5*+1 = 0 а о %+г— Ф Ь о ж*+1,

*= (^ Е Z+), (31)

у*+1 = 0 Сг О ^¿+¿+1—г, г=1

где д Е —переменная состояния; qQ = (ф_ 1,... , д1, д0)т — начальное состояние автомата; х Е Zpfc и у Е — соответственно входная и выходная переменная; аг, сг, Ь, d Е ^рк (г = 1,... ,/) —параметры.

Замечание 2. Интерес к исследованию множеств автоматов А^д и Аг,2 обусловлен следующим. Применение при построении поточных шифров линейных сдвиговых регистров, реализующих вычисления в конечном кольце, привело к необходимости систематического анализа свойств линейных и полилинейных рекуррент над конечными коммутативными кольцами и модулями (см., напр., [47, 51]), а элементы множеств Агд и Аг,2 являются математической моделью специального класса таких регистров с внешним управлением.

Автоматы (30) и (31) могут быть представлены в матричном виде (М„ = А О ? ф IО ^ (, Е 2+),

чу*+1 = <у ◦ у*ф Dq ◦ х*+ъ

(М2, у,) Л ^ = АО 4 фВ О Х‘- (* Е Ж+),

[ут = с ◦ уъ+ъ

где

'у1 = (%+г_1,..., qt+l, %)Т (^Е ^+), (32)

х4+1 = (х4+1, 0,0,..., 0)т (£ Е ^+), (33)

&+1 = (Ут, 0, 0,..., 0)т (* Е Z+), (34)

/ а1 0. . . 0 Ь 0. .0

0 «2 . . . 0 0 0. .0

А = , в =

V 0 0. . «г У I0 0. . 0/

С

( С1 0

0 С2

V

00

Б

( d 0 00

0 0

V

00

0

(36)

/

Отсюда вытекает, что для автоматов (30) и (31) заведомо истинны все результаты, полученные для автоматов (28) и (29), переформулированные с учетом равенств

(32)-(36).

В [1, 52, 53] исследовано:

1) множество Ап1 представленных в матричном виде нелинейных автоматов Мили (М1, *,):{Ч‘+1 = А О 4 О ЧТ О Ь Ф С О Ч‘ Ф Й Ф Е О х'+1' (« Е Z+)

)у*+1 = С ф р ◦ х4+ь

и множество Ап,2 представленных в матричном виде нелинейных автоматов Мура

(^^2, Яо) :

Я4+1 = А О qt О qT О Ь ф С о qt ф ё ф Е о х*+1,

у*+1 = С ◦ qt+l,

(* Е Z+),

где Ь, ё Е Znfc —фиксированные вектор-столбцы; А, С, Е,С,Р Е Мп — фиксированные матрицы; qt, х*, у* Е Znk —вектор-столбцы, представляющие состояние автомата, входной символ и выходной символ в момент ¿;

2) множество Ап3 представленных в матрично-скалярном виде нелинейных автоматов Мили

д(+1 = qT О Аг О qt ф с* О qt ф di ф 6* О х(г+1 (г = 1,... , г)

(г)

(Mз, qQ) ^ 9*+1 = qT О А* О qt ф С* О qt ф ^ (г = г + 1,..., п),

(г) (г

,у*+1 = О & ф / г О х4+1

(г Е Z+)

•(г)-----—(г) ^ /г О х(+1 (г = 1,...,г),

и множество Ап4 представленных в матрично-скалярном виде нелинейных автоматов Мура

9*(+1 = qT ◦ а* о qt

(^^4, qQ) : <( д(+1 = qT О а* о qí

di

(г)

6г О Х*+1

(г = 1, . . . , г),

dг (г = г + 1,..., п),

(* Е Z+),

(г) (г) ( • 1 ч

У(+1 = #г О 9+1 (г = 1,...,г),

(г) _

где г (1 ^ г ^ п) — фиксированное число; Аг Е Мп — фиксированные матрицы; с* Е Znk (г = 1,... , п) — фиксированные векторы; бг, дг, /г Е Zpk (г = 1,..., г) — фиксированные обратимые элементы кольца Zрк; qt, х*, у* Е Znk —вектор-столбцы, представляющие состояние автомата, входной символ и выходной символ в момент ¿.

Замечание 3. Интерес к исследованию множеств автоматов Ап,1, Ап,2, Ап,3 и Ап,4 обусловлен тем, что значительное часть автоматов над кольцом Zрк, построенных на основе модельных хаотических динамических систем, принадлежит именно этим множествам автоматов. В частности, все автоматы над кольцом Zpk, построенные в разд. 2, принадлежат множеству Ап,4.

В [1, 54, 55] исследовано множество Agh симметричных нелинейных автоматов Мура

(Мош Яо)

¿її

¿її

(3)

qn+i

(i)

un+i

q

(ї)

n

(2)

n

(3)

n

Ji)

(d<

(d<

(d<

(i)

qn+1 (i

) a о (qi1))2 !c о (qi1))2 f ib о (qi1))2 f

1,2, 3),

> b о (qi2))2 a о (qi2))2 c о (qi2))2

' c о (qi3))2 > b о (qi3))2 a о (qi3))2

a 1 о xn+1,

«2 о Xn+1, «3 о Xn+1,

(n Є Z+)

и множество Afr симметричных нелинейных автоматов Мура

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Яо)

qS+1

qi2)1

(3)

q«+1

(i)

/ (qi1)) о С

(3)

/(qi2)) о zq(n

(i)

/(qi3)) о Z

(2)

a1 о xn+1, a2 о xn+1, a3 о xn+1,

(n Є Z+)

№ = «!.+1 (г = 1,2,3),

^ ^ М1) (2) (3)ч T ^ ^3 , (1) (2) (3)ч T ^3

где ж„ G Zpfc, yra = (yn , yn , yn )T G Z^fc и qra = (qn , qn , q™ )T G Zpfc — соответственно входной символ, выходной символ и состояние автомата в момент n; отображение f (ж) = a о ж о (1 Q ж) представляет собой аналог логистического отображения над кольцом Zpk; a1,a2,a3,Z G Zpk —фиксированные обратимые элементы кольца Zpk;

a, b, c, d G Zpk — фиксированные элементы кольца Zpk.

Подчеркнем, что автоматы Mgh и Mfr построены на основе модельных хаотических динамических систем, исследованных в [56], а именно: Guckenheimer and Holmes cycle (GH) и free-running system (FR).

Замечание 4. Интерес к исследованию автоматов Mgh и Mfr обусловлен следующими обстоятельствами.

Во-первых, оба автомата имеют нетривиальные группы симметрий, а, как известно, теория симметрий [57] —мощный аппарат анализа динамических систем.

Во-вторых, изменение динамических переменных Guckenheimer and Holmes cycle представлено многочленами 3-й степени, а, как известно, решение кубических уравнений над конечным кольцом — сложная задача.

В-третьих, изменение динамических переменных free-running system осуществляется с помощью показательной функции, а, как известно, дискретное логарифмирование (т. е. операция, обратная показательной функции) — базовая конструкция криптографии.

Анализ представленных автоматных моделей показывает, что если М — обратимый автомат, а М-1 —обратный ему автомат, то упорядоченная пара ((М, q0), (М-1, q0)) — симметричный поточный шифр, причем в процессе шифрование— расшифрование автоматы М и М-1 движутся в пространстве состояний по одной и той же траектории. Отсюда вытекает, что за счет одновременного использования прямого и обратного автоматов возможно осуществлять контроль (т. е. обнаружение или исправление) некоторых ошибок, возникающих в процессе передачи информации по каналу связи.

Подчеркнем, что для шифра ((М, q0), (М-1, q0)) параметры представляют собой ключ средней длительности, а начальное состояние q0 — сеансовый ключ.

3.2. Конечно-автоматные характеристики исследуемых

моделей

Анализ представленных автоматных моделей показывает, что каждое из множеств An,3, An,4, Agh и Afr состоит из обратимых автоматов.

Обозначим через Х1пу (X Е {Ап,1, Ап,2, Агд, Д^,2, Ап,1, Ап,2}) множество всех обратимых автоматов М Е X, через М^™ — множество всех обратимых матриц А Е Мп, а через Мп°п"1пу — множество всех необратимых матриц А Е Мп.

Принадлежность автомата множеству Х1пу (X Е {Ап,1, Дп,2, Агд, Дг,2, Ап,1, Ап,2}) характеризуется следующим образом:

1) М1 Е Ап,1 —обратимый автомат тогда и только тогда, когда Б Е М^™;

2) М2 Е Ап,2 — обратимый автомат тогда и только тогда, когда В, С Е М^™;

3) М1 Е Агд —обратимый автомат тогда и только тогда, когда d Е Zpk —обратимый элемент кольца Zрк;

4) М2 Е Аг,2 — обратимый автомат тогда и только тогда, когда с1, Ь Е Zpk — обратимые элементы кольца Zрк;

5) М1 Е Ап1 —обратимый автомат тогда и только тогда, когда Б Е М^™;

6) М2 Е Ап 2 —обратимый автомат тогда и только тогда, когда Е, С Е МЩ™.

Именно на основании этих критериев и построены соответствующие обратные автоматы.

Пример 11.

1. Автоматы, обратные автоматам Мг Е Ап,г (г = 1, 2), имеют вид

(М,-1,Чо): (Ч‘+- = А1 О Ч‘ ф Б1 О х‘+‘- (г Е 2+),

[Ут = С1 О Ч* ф б1 о xí+l, где А1 = А © В о Б-1 о С, В1 = В о Б-1, С1 = ©Б-1 о С, Б1 = Б-1, и

(М2-1, Чо): (^ = В О х‘+‘'п (г Е 2+),

[У*+1 = С1 О Ч* ф Б1 о х*+ь

где В1 = С-1, С1 = ©А, Б1 = В-1 О С-1.

2. Автоматы, обратные автоматам Мг Е Ап,г (г = 1, 2), имеют вид

(МГ1, чо) .} Ч« = А О Ч* о чТ о Ь ф с о 4 ф а ф Е1 О х‘+1' (г € г+),

У1+1 = Р 1 О (х<+1 © С ◦ ч(),

где С1 = С © Е О Б-1 О С, Е1 = Е О Б-1, и

(м2->,чо)Л4‘+‘ = 0хс+!; а.. т ЬЛС т... (гЕ2+).

^у*+1 = Е 1 О (С 1 О х*+1 © (А О ч* О чт О Ь ф С О ч* ф ё)),

Отметим, что построенные в примере 11 обратные автоматы — автоматы типа Мили.

Основные нетривиальные подмножества исследуемых автоматов характеризуются следующим образом:

1) граф переходов автомата Мг Е Ап,г (г = 1, 2) —полный граф с петлями тогда и только тогда, когда В Е М^™;

2) если А Е М“у, то Мг Е Ап,г (г = 1, 2) —перестановочный автомат;

3) если С Е Мп^, то М1 Е Ап,1 —приведенный автомат, и его степень различимости

равна 1;

4) если А, С Е МЩ™, то М2 Е Ап,2 —приведенный автомат, и его степень различимости равна 1;

5) если A, C G Mnon-inv и система уравнений

J A о u = 0,

|C о u = 0

имеет ненулевое решение, то в автомате М1 G An1 существуют состояния-близнецы;

6) если A G Mnon-inv, то в автомате М2 G An,2 существуют состояния-близнецы;

7) для всех l G N автомат М- G Ai,j (j = 1, 2) является сильно связным автоматом тогда и только тогда, когда b G Zpk — обратимый элемент кольца Zpk;

8) для всех l G N, если автомат М- G А¿,- (j = 1, 2) является сильно связным автоматом, то диаметр его графа переходов равен l;

9) для всех l G N автомат Mj G А^,- (j = 1, 2) является перестановочным автоматом тогда и только тогда, когда a^ G Zpk — обратимый элемент кольца Zpk;

10) если E G Mnnv, то G A^V (i = 1, 2) — сильно связный перестановочный автомат, причем диаметр его графа переходов равен 1;

11) если G G Mnnv, то М1 G A^nV —приведенный автомат;

12) М2 G A“v — сильно связный перестановочный автомат, и диаметр его графа переходов равен 1 ;

13) если E G Mnon-inv, то или автомат М1 G A“v несвязен, или диаметр его графа переходов больше чем 1;

14) если r = n, то G An i (i = 3, 4) — сильно связный перестановочный автомат, и диаметр его графа переходов равен 1 ;

15) если r < n, то автомат Mj G An i (i = 3, 4) не является сильно связным перестановочным автоматом или диаметр его графа переходов больше чем 1;

16) из каждого состояния q G Z^k автомата Mi G An,j (i = 3, 4) в точности pbr различных состояний автомата Mj G An i являются 1-достижимыми;

17) любой автомат Mgh G Agh, а также любой автомат Mfr G Afr не является сильно связным автоматом;

18) подавтомат автомата Mgh G Agh, а также подавтомат автомата Mfr G Afr, определяемые множеством состояний

S1 = {q = (q,q,q)T|q G Zpk},

являются приведенными перестановочными автоматами, причем диаметр графа переходов каждого из них равен 1 ;

19) если d = 0 (modрГ0,5^!), то автомат MgH G AgH не является перестановочным автоматом;

20) автомат Mfr G Afr не является перестановочным автоматом. Сформулированные выше утверждения характеризуют подмножества автоматов в терминах обратимых, необратимых и произвольных элементов или матриц над кольцом Zpk . Отсюда вытекает следующий унифицированный способ оценки мощности подмножеств автоматов: если в характеристике автомата, принадлежащего заданному подмножеству, фигурирует Y1 обратимых, y2 необратимых и y3 произвольных элементов или матриц над кольцом Zpk , выбор которых осуществляется независимо, а число таких элементов или матриц над кольцом Zpk равно соответственно р1, р2 и р3, то оценка мощности заданного подмножества автоматов имеет вид р1 • р2 • Р3 .

Пример 12. Число обратимых и необратимых элементов кольца Zpk равно (см., напр., [1]) соответственно (р — 1) • pk-1 и pk-1, и (см., напр., [23]) верны следующие

равенства:

|Мп| = Р”

К"I = |м„| ■ П(1 -Р-),

п|

г=1

п

|М|;°п-1""| = |м„|(1 - П(1 - Р-‘)).

г=1

На основании этих оценок в [58] установлены следующие оценки мощностей множеств автоматов:

1) для всех п Е N истинны равенства

п

А"| = |А™|- П(1 - р-7)' (г= 12).

.7 = 1

где

|Ап,г| = |Мп|5-г (г = 1, 2);

2) если п”!) —множество всех диагональных матриц X Е Мп, на главной диагонали которых расположены обратимые элементы кольца Zpk,

в”п" = {М1 Е Апп!|Б Е эп1)},

в”2 = {М2 Е аппV|в, с Е п”!)}, то для всех п Е N истинны равенства

|В”"| = |А:п,1 |((Р - 1)” ■ (г = 1,2);

3) если вп,г (г = 1, 2) —множество всех автоматов М^ Е Ап,г, у которых граф переходов — полный граф с петлями, и

С”" = Сп,г П А”" (г =1, 2), то для всех п Е N истинны равенства

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

|&:щ| = |Дп.<|- П(1 -Р-7)2 (г = !,2);

7=1

4) если Сп,г (г = 1, 2) — множество всех перестановочных автоматов М^ Е Ап,г и

Спп" = Сп,г П Дпп" (г = 1, 2), то для всех п Е N истинны равенства

п

|с;п" | = |а,,,|- П(1 - р-7 Г+1 (г = 1,2);

7=1

5) если Эп,г (г = 1, 2) — множество всех приведенных автоматов М^ Е Ап,г и

о”" = Оп,г П А”" (г = 1, 2),

то для всех п Е N истинны неравенства

|о”"| > |А”,|-П(1 -Р-7),+1 (г =1,2);

7=1

6) если Еп,, (г = 1, 2) —множество всех автоматов М, Е Ап,,, имеющих состояния-близнецы, и

Е.;щ = Б”,, П А”" (г =1,2),

то для всех п ^ N истинны неравенства

пп

К"| > |Д”,,| ■ (1 - П(1 - р-7))3- ■ П(1 - р-7)‘ (г = 1,2);

7=1 7=1

(2)

7) если Б”) —множество всех диагональных матриц X Е Мп, у которых на главной диагонали расположены необратимые элементы кольца Zpk,

р;п" = {м е апп"! | а, с е о”2)}

и

Р”п'2 = {М2 € А”|Л € 0”2)},

то для всех п Е N истинны равенства

п

|р;ш| = |А”п"| ■ Р(3-‘) ” ■ П(1 - Р-7)‘ (г = 1,2);

7=1

8) для всех п Е N истинны равенства

~1 п" ~

|Аг,7 | = |А1,71- Р-7(Р - 1)7 (7 = 1, 2),

где

|Д 1,71 = Рк ■(2 ■ г+з-л ^ = 1, 2).

~5С ф ~

9) если А г • (7 = 1, 2) — множество всех сильно связных автоматов М7 Е Дг7- и

,7

-'80-1 п" ~5С ~1 п"

Дг,7 = Д1,7 П Д1,7 (7 = 1, 2),

то для всех I Е N истинны равенства

80-1 "

|Дг,7 | = |Дг,7|- (1 - Р ) (7 = 1, 2);

10) если Ар7 (7 = 1, 2) —множество всех перестановочных автоматов М7 Е Дг7- и

~рчп" ~р ,

Дг,7 = Дг,7 П Дг,7 (7 = 1, 2),

то для всех I Е N истинны равенства

|Дг,7 | = |Дг,7|(1 - Р 1)7+! (7 = 1, 2)-

Отметим, что оценки мощностей подмножеств обратимых автоматов, установленные в примере 12, дают возможность оценить число ключей средней длительности для шифров, построенных на основе обратимых автоматов с соответствующей структурой.

3.3. Эквивалентность состояний исследуемых моделей

Исследование структуры множеств эквивалентных состояний исследуемых моделей представляет интерес не только с позиции теории автоматов, но и с позиции криптографии, так как эти результаты дают возможность охарактеризовать структуру множества эквивалентных сеансовых ключей поточных шифров, построенных на основе обратимых автоматов с соответствующей структурой.

В [1, 48, 49] показано, что:

1) инициальные автоматы (М1, q0) и (М1, q0) (М1,М'1 G An1) эквивалентны тогда и только тогда, когда выполнены следующие условия:

а) D = D';

б) с о q0 е C о q0 = 0;

в) C о (A')* о q0 е C о A* о q0 = 0 (t = 1,... , 2 • ^ — 2);

г) C' о (A' )* о B' е C о A* о B = O (t = 1,..., 2 • 'п — 3) (через O обозначена нулевая

n х n -матрица);

д) C' о B' е C о B = O;

2) инициальные автоматы (М2, q0) и (М2, q0) (М2,М2 G An,2) эквивалентны тогда и только тогда, когда выполнены следующие условия:

а) C' о B' е C о B = O;

б) C' о (A')* о q0 е C о A* о q0 = 0 (t = 1,..., 2 • 'п — 1);

в) C' о (a')* о B' е C о A* о B = O (t =1,..., 2 • •” — 2).

Из этих критериев вытекает, что:

1) состояния q0 и q0 автомата М1 G Ап,1 эквивалентны тогда и только тогда, когда выполнены следующие условия:

а) C о (q0е q0) = 0;

б) C о A* о (q0 е q0) = 0 для всех t = 1,... ,pk 'п — 2;

2) состояния q0 и q0 автомата М2 G An,2 эквивалентны тогда и только тогда, когда C о A* о (q0 е q0) = 0 для всех t = 1,... ,pk •n — 2.

Отметим, что из этих утверждений, в частности, следует, что:

1) если C G Mnnv, то М1 G Ап1 —приведенный автомат;

2) если A, C G Mnnv, то М2 G Ап 2 — приведенный автомат.

В [1, 52, 53] показано, что:

1) если G G Mnon-inv, то q0 и q0 — эквивалентные состояния автомата М1 G An1^^ тогда и только тогда, когда выполнены следующие условия:

а) G о (q0е q0) = 0;

б) G о (q* е qt) = 0 (t = 1,... ,pk ^ — 2) для любого входного слова x1... xt G Z^*;

2) состояния автомата М2 G An“;> эквивалентны тогда и только тогда, когда они являются близнецами;

3) состояния q0 и q0 автомата М3 G An 3 эквивалентны тогда и только тогда, когда для всех i = 1 , . . . , r выполнены следующие условия:

а) qji) е q0j) = 0;

б) qij) е q*j) = 0 для любого входного слова x1... xt G Zpk* (t = 1,... ,pk • n — 2);

4) состояния q0 и q0 автомата М4 G An,4 эквивалентны тогда и только тогда, когда q(j) е q*j) = 0 (i = 1,..., r) для любого входного слова x1... xt G Zpk* (t = 1,... ,pk • n — 1).

В [1, 55] показано, что:

а) состояния автомата Mgh G Agh эквивалентны тогда и только тогда, когда они являются близнецами;

б) состояния автомата Мря Е Аря эквивалентны тогда и только тогда, когда они являются близнецами.

Приведенные выше критерии эквивалентности состояний исследуемых моделей дают возможность для поточных шифров, построенных на основе обратимых автоматов с соответствующей структурой, представить в виде множества решений систем уравнений над конечным кольцом множество всех состояний автомата, эквивалентных заданному состоянию (т. е., по своей сути, множество всех сеансовых ключей соответствующего поточного шифра, эквивалентных заданному сеансовому ключу).

Пример 13. В [1] показано, что для автомата М2 Е А”1" множество всех состояний q, эквивалентных заданному состоянию qQ, совпадает с множеством решений следующей системы нелинейных уравнений:

А о (1 о qT 0 qQ о ст) о Ь 0 о(1 0 qQ) = 0.

Дополнительный учет факторов, вытекающих из структуры уравнений, которые определяют построенный на основе конкретной модельной хаотической динамической системы обратимый автомат, дает возможность детализировать приведенные выше критерии эквивалентности состояний, а также провести более тщательный их анализ.

Проиллюстрируем сказанное на примере автоматов, построенных в разд. 2.

Пример 14.

1. Состояния qQ = (?0!), ?02), ?03))т и qQ = ^!)^2), 1о3))Т автомата Мд Е А3,4 явля-

ются эквивалентными состояниями тогда и только тогда, когда

Г^ = ¿!) 0 (а 0 Л-1) о А,

Г qQ2) = ¿>2) 0 А,

из) = 9>3) 0 (а о Л-1 0 Л-2 0 1) о А, где А — решение нелинейного уравнения

(а о Л 0 1) о (а о Л-1 0 Л-2 0 1) о А2 0 (д>3) о (а о Л 0 1)0

0^ о (а 0 Л-1 0 Л) 0 (1 0 Л о г) о (а о Л-1 0 Л-2 0 1)) о А = 0.

Отсюда, в частности, вытекает, что:

14 / (1) (2) (3)ч Т ~ М1) -42) Ч3)\Т

1) если у двух различных состояний qQ = (щ , ^0 , ^0 )т и €1(3 = (qQ , )т

автомата Мд Е А3,4 совпадают вторые компоненты, то состояния с0 и €1(3 являются неэквивалентными состояниями автомата Мд Е А3 4;

2) любые эквивалентные состояния qQ = (5с!), ?С2), 5>3))Т и с = (1С!), 102), 1>3))Т автомата Мд Е А3,4 являются близнецами.

2. Состояния qQ = (д0!), 5>2), 5>3))т и с = (10!), 102), 1о3))Т автомата М^ Е А3,4 явля-

ются эквивалентными состояниями тогда и только тогда, когда

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Г (й!) 0 ?0!)) 0 Л о (й2) 0 ¿2)) =0,

Г (й2) 0 ¿2)) 0 л о (^!) 0 ¿!)) 0 л о (1>2) о й>3) 0 ?02) о ?03))=°

Ы2) о 1(3) 0 &(2) о 9(3) = 0 (^ = 1... ,Р3к - 3)

для всех х1... х Е 2!рк.

(1) (2) (3) т

Из этого утверждения, в частности, вытекает, что состояния с0 = (д> , , дС )

и с0 = (1С>1), 1>2), 1>3))Т автомата М^ Е А3,4 являются близнецами тогда и только тогда, когда

1>(1) = 9о!) 0 Л о А,

12) = ¿>2) 0 А,

1>(3) = 9о3) 0 2 о Л о д02) о А 0 Л о А2, где А — решение нелинейного уравнения

А3 0 3 о ¿2) о А2 0 (2 о (¿2))2 0 Л-1 о ¿3) 0 1 0 Л-2) о А = 0.

3. Состояния с0 = (дС!), д02),д03))Т и с = (10!), 1°2), 1о3))Т автомата М^ Е А3,4 являются эквивалентными состояниями тогда и только тогда, когда

а2 о (10!) 0 90!)) 0 (Л-! 0 1) о (1>2) 0 ?02)) 0 (¿!) о 1>3) 0 д0!) о ?03)) = 0,

а2 о (^!) 0 9°(1)) 0 Й!) о 1°3) 0 9°(1) о 9°(3)) = 0 (^ = 1... ,Р3 'к - 2)

для всех х1 ... Ж* Е ^рк.

Т/Г ! (1) (2) (3)ч Т

Из этого утверждения, в частности, вытекает, что состояния с0 = (д, , )Т

и ¿¡С, = (1°С!), 1>(2), 1>3) )Т автомата М^ Е А3 4 являются близнецами тогда и только тогда,

когда

¿!) = 90!) 0 Аl,

1°.2) = 9°>2) 0 А2,

.¡°)3) = 9(3) 0 Аз, где (А1, А2, А3) —решение нелинейной системы уравнений

(Л-1 0 а!) о А1 0 а! о А2 = 0,

(а2 0 53)) о А1 0 (Л 1 0 1) о А2 0 оС)) о А3 0 А1 о А3 = 0, дС ) о А1 0 о>) о А2 0 (Л 1 0 а3) о А3 0 А1 о А2 = 0.

4. Состояния ¿0 = (д1,д0)Т и ¿¡С = (11,10)Т автомата Мн Е А2 4 являются эквива-

лентными состояниями тогда и только тогда, когда

а о (1 0 д!) 0 Ь о (1о 0 до) = 0,

^ о (11 0 51) = 0.

Из этого утверждения, в частности, вытекает, что:

1) если Ь Е ^рк —обратимый элемент кольца Zрк, то Мн Е А2 4 —приведенный автомат;

2) состояния ¿0 = (д1, д0)Т и ¿¡С, = (11,10)Т автомата Мн Е А2 4 являются близнецами тогда и только тогда, когда

^ = 51,

Ь о (1о 0 до) = 0.

В заключение отметим, что из установленных выше критериев вытекает, что для нелинейных автоматов над кольцом ^рк построение в явном виде множества состояний, эквивалентных заданному состоянию, является трудной задачей, сводимой к решению систем нелинейных уравнений над кольцом Zрк. Такая особенность структуры множеств эквивалентных состояний, по-видимому, свидетельствует о том, что минимизация нелинейного автомата может существенно усложнить систему уравнений, представляющую такой автомат.

3.4. Параметрическая идентификация исследуемых моделей

С позиции теории автоматов сложность решения задачи параметрической идентификации исследуемых моделей характеризует сложность решения задачи распознавания автомата в классе, полученном вариацией значений параметров, а с позиции криптографии — сложность атаки криптоаналитика на ключ средней длительности поточного шифра, построенного на основе соответствующего обратимого автомата.

Именно с позиции криптографии целесообразно рассматривать наиболее сильную атаку криптоаналитика. В терминах теории систем такие предположения состоят в том, что:

1) экспериментатор полностью управляет входом и полностью наблюдает выход исследуемой модели;

2) экспериментатор может осуществлять над исследуемой моделью кратный эксперимент любой кратности, причем под кратным экспериментом понимается возможность установки исследуемой модели в любое требуемое экспериментатору состояние.

В [1, 48, 49] показано, что:

1) для автомата М1 Е Ап,1:

а) каждая из матриц С и Б идентифицируется в результате п-кратного эксперимента высоты 1 ;

б) если С Е И”1", то идентификация каждой из матриц А и В сводится к решению п систем линейных уравнений п-го порядка над кольцом Zрк, построенных в результате п-кратного эксперимента высоты 2;

в) если С Е И”01-11", то идентификация матриц А и В сводится к решению высокостепенных систем уравнений

г-1

С о (Аг о ¿0 0 ф А"--7 о В о Х^ 0 Хг) = Уг+1 0 Б о Х"+1 7=1

для всех ¿0 Е ^”к и Х1... Хг Е (г = 1,... ,Рпк - 1);

2) для автомата М2 Е Ап,2 идентификация матриц А, В, С сводится к решению высокостепенных систем уравнений

г-1

С о (Аг+! о ¿0 0 ф Аг-7 о В о Х7+1 0 Х"+1) = Уг+1 7=0

для всех ¿0 Е ^”к и Х1 ... Хг Е ^”кг (г = 1,... ,Рпк - 1).

В [1, 52, 53] показано, что:

1) для автомата М1 Е А”1":

а) каждая из матриц О и Р идентифицируется в результате п-кратного эксперимента высоты 1 ;

б) идентификация вектора d с точностью, определяемой матрицей О, осуществляется простым экспериментом длины 2;

в) идентификация матрицы Е с точностью, определяемой матрицей О, осуществляется п-кратным экспериментом высоты 2;

г) идентификация матриц А, С и вектора Ь сводится к поиску начального состояния ¿0 Е 2” и входного слова Х1 ... Х^ Е ^”кг с последующим решением нелинейной системы уравнений

О о (А о ¿4-1 о ¿Т-1 о Ь 0 С о ¿4-1 0 d 0 Е о Х*) = ут 0 Р о Х*+1 (£ = 1,..., 1 - 1);

2) для автомата М2 Є А^:

а) идентификация матрицы Е осуществляется в результате п-кратного эксперимента высоты 1, причем множество возможных кандидатов на матрицу Е определяется множеством решений (С, ё) уравнения

С о 6. = уі

б) идентификация матриц А, С и вектора Ь сводится к поиску начального состояния qQ Є 2у, и входного слова х1... х^ Є с последующим решением нелинейной системы уравнений

С о (А о qt о qT о Ь ® С о qt ф ё ф Е о хт) = уі+1 (і = 0,1,..., І - 1).

Ясно, что дополнительный учет факторов, вытекающих из структуры уравнений, определяющих обратимый автомат, построенный на основе конкретной модельной хаотической динамической системы, дает возможность провести более тщательный анализ сложности решения задачи параметрической идентификации.

Пример 15.

1. В [1, 55] показано, что:

1) для каждого из автоматов Мон Є Дои и Мря Є Дря идентификация параметров а1,а2,аз осуществляется простым экспериментом длины 1;

2) для автомата Мон Є Дон:

а) идентификация параметров Ь и с осуществляется кратным экспериментом кратности 2 и высоты 1;

б) для любого простого числа р > 3 идентификация параметров а и і сводится к решению системы двух линейных уравнений, сформированной в результате простого эксперимента длины 1 ;

3) для автомата Мря Є Дря для любого простого числа р > 3 идентификация параметров а и £ сводится к решению системы двух уравнений, сформированной в результате простого эксперимента длины 1.

2. Для автомата Мд Є А34 задача параметрической идентификации решается следующим образом.

Подав на автомат (Мд, qQ), где qQ = (0,1,0)т, входной символ х1 = 0, получим

к = ©уі.

Подав на автомат (Мд, 0) входной символ х1 = 1, получим

<і = ©к-1 о у1.

Подав на автомат (Мд, 0) входное слово ж1ж2 = 00, получим

Ь = ©к-2 о у2.

Подав на автомат (Мд, qQ), где qQ = (0, 0,1)т, входное слово ж1ж2 = 00, получим

г = ©к-2 о у2 Ф 2 о к-1 © Ь.

Подав на автомат (Мд, qQ), где qQ = (0,1,0)т, входное слово ж1ж2 = 00, получим

а = ©2 о к 1 © Ь © к 2 о у2.

3. Для автомата М^ Є А3,4 задача параметрической идентификации решается следующим образом.

Подав на автомат (М^, qQ), где qQ = (0,1, 0)т, входной символ х1 = 0, получим

к = У1.

Подав на автомат (М^, 0) входной символ х1 = 1, получим

а = ©к-1 о у1.

4. Для автомата М^ Є А3,4 задача параметрической идентификации решается следующим образом.

Подав на автомат (М^, qQ), где qQ = (0,1, 0)т, входной символ х1 = 0, получим

к =1 © у1.

Подав на автомат (М^, 0) входной символ х1 = 1, получим

а = ©к-1 о у1.

Подав на автомат (М^, qQ), где qQ = (1,0, 0)т, входное слово ж1ж2 = 00, получим

а2 = к-1 о у1

и

У2 = (1 © к) о к о а2 ф к о а2 о (1 © к о а1 ) .

Из этого уравнения определяется множество допустимых значений параметра а1. Подав на автомат (М^, qQ), где qQ = (1,0,1)т, входное слово ж1ж2 = 00, получим

У2 = (1 © к) о к о (а2 © 1) ф к о (1 © к о а1) о (а2 ф к о а3 © 1).

Из этого уравнения определяется множество допустимых значений параметра а3.

5. Для автомата Мн Є А2 4 задача параметрической идентификации решается следующим образом.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Подав на автомат (Мн, 0) входной символ х1 = 1, получим

с = У1 © 1.

Подав на автомат (Мн,qQ), где qQ = (0,1)т, входной символ х1 = 0, получим

Ь =1 © У1.

Подав на автомат (Мн, qQ), где qQ = (1, 0)т, входной символ х1 = 0, получим

а =1 © у1.

В заключение отметим, что полученные результаты дают возможность разбить на следующие два класса параметры, определяющие ключ средней длительности для поточного шифра, построенного на основе обратимого автомата над кольцом Z.

К 1-му классу относятся параметры, идентификация которых не составляет большого труда. Для обеспечения секретности значений этих параметров бесполезно применять существенные меры.

Ко 2-му классу относятся параметры, идентификация которых является трудной задачей. Именно на обеспечение секретности значений этих параметров и следует направить все усилия.

3.5. Идентификация начального состояния исследуемых

моделей

Задача идентификации начального состояния конечного автомата — одна из модельных задач теории экспериментов с конечными автоматами (см., напр., [59]). В [60] показано, что с позиции теории систем эта задача представляет собой анализ наблюдаемости динамической системы. В [61] показано, что даже для слабоинициальных абстрактных автоматов с двухбуквенным входным алфавитом длина минимального диагностического слова может являться субэкспонентой от размера автоматной таблицы. Отсюда вытекает (см., напр., [62]), что заведомо имеет субэкспоненциальную временную сложность любой алгоритм поиска минимального диагностического слова, который за единицу времени восстанавливает фрагмент диагностического слова, длина которого — полином от размера автоматной таблицы.

С позиции криптографии сложность решения задачи идентификации начального состояния автомата характеризует сложность атаки криптоаналитика на сеансовый ключ поточного шифра, построенного на основе соответствующего обратимого автомата.

Охарактеризуем сложность решения задачи идентификации начального состояния посредством простого диагностического эксперимента для поточного шифра, построенного на основе обратимого автомата над кольцом Zрк. При этом естественно предположить, что криптоаналитику известны параметры исследуемого автомата, но он не может управлять этими параметрами.

Замечание 5. Такие предположения характеризуют внутреннюю сложность задачи идентификации начального состояния автомата. При их ослаблении сложность решения рассматриваемой задачи существенно возрастает, так как возникает тот или иной вариант задачи построения контрольного эксперимента с автоматом. Если же предположить, что экспериментатор может управлять параметрами, то возникает совершенно иная новая задача, а именно: идентификация начального состояния автомата посредством кратного эксперимента на основе вариации его параметров.

Исследование этой задачи, по своей сути, представляет собой разработку методов дифференциального и интегрального анализа для словарных функций, реализуемых инициальными обратимыми автоматами. Насколько известно автору, решение этой задачи отсутствует в настоящее время.

В [1, 48, 49] показано, что:

1) для автомата М1 Є Дп,1:

а) если С Є М^, то идентификация начального состояния сводится к решению системы линейных уравнений над кольцом Zрк, полученной в результате простого эксперимента длины 1 ;

б) если С Є М™™, то идентификация начального состояния (с точностью до множества эквивалентных состояний) сводится к решению при известных матрицах А, В, С, Б систем линейных уравнений

І-1

С о (А о qQ ф ф Аг-І о В о х^ ф Хі) = уі+1 © Б о хт і=1

для всех qo Є и Х1... х Є (і = 1,... ,рпк - 1);

2) для автомата М2 Є Дп,2:

а) если С Є М^, то идентификация начального состояния сводится к решению системы линейных уравнений над кольцом Zрь, полученной в результате простого эксперимента длины 1 ;

б) если А, С Є М™™, то идентификация начального состояния (с точностью до множества эквивалентных состояний) сводится к решению при известных матрицах А, В, С систем линейных уравнений

В [1, 52, 53] показано, что для автомата М1 Є А“і и А^ и Ап,3 и Ап,4 идентификация начального состояния (с точностью до множества эквивалентных состояний) сводится к поиску входного слова заранее неизвестной длины и решению высокостепенных систем нелинейных уравнений над кольцом Zpfc, полученных в результате подачи этого слова на исследуемый автомат.

В [1, 55] показано, что:

1) для автомата Мон Є Дои идентификация начального состояния сводится к последовательности решений систем трех кубических уравнений над кольцом Zрь;

2) для автомата Мря Є Дря идентификация начального состояния сводится к последовательности решений задач дискретного логарифмирования над кольцом Zрь.

В заключение отметим, что высокая сложность решения задачи идентификации начального состояния обратимых автоматов над кольцом Zрь свидетельствует о том, что криптоаналитик столкнется с высокой сложностью идентификации секретного сеансового ключа при атаке на шифры, построенные на основе таких автоматов.

В замечании 5 было отмечено, что с позиции криптографии исследование вариации поведения словарной функции, реализуемой инициальным обратимым автоматом, является актуальной при разработке методов дифференциального и интегрального анализа, предназначенных для исследования сложности атаки криптоаналитика на секретный ключ поточного шифра, построенного на основе соответствующего обратимого автомата.

Проиллюстрируем некоторые особенности решения этой задачи на примере автомата М1 € Дга,1 (см., напр., [1, 48, 49]).

і-1

С о (Аі+1 о qo ф ф А" 3 о В о х^+1 Ф Хі+1 ) = У"+1

для всех qo Є и Х1 ... х Є (і = 1,. . . ,рпк - 1).

3.6. Вариация поведения исследуемых моделей

Пусть

(37)

Положим

А = А ф ДА, В = В ф ДВ, С = С ф ДС, Б = Б ф ДБ,

Чі+1 = Я*+1 ф Д7*+ъ у = qt ф ^ х*+1 = х*+1 ф Дх*+Ь у4+1 = ут ф дУ4+1

и вычтем из уравнений системы (38) уравнения системы (37). Получим

' Дя4+1 = (А о Дqt ® В о Дхт) ® (ДА о qt ф ДВ о хт)ф ®(ДА о Дqt ф ДВ о Дхт),

Ду*+1 = (С о Дqt ф Б о Дхт) ф (ДС о qt ф ДБ о хт)ф ф(ДС о Дqt ф ДБ о Дх4+1),

Таким образом, анализ вариации поведения словарной функции, реализуемой инициальным автоматом М1 € Дп,1, сводится к совместному исследованию систем уравнений (37)-(39).

Нетрудно убедиться в том, что для нелинейных автоматов над кольцом Zаналог системы уравнений (39) является значительно более громоздким.

Отсюда вытекает, что, по всей видимости, единственным способом анализа вариации поведения словарной функции, реализуемой инициальным автоматом над кольцом Z, является компьютерное моделирование с использованием той или иной системы символьных вычислений.

3.7. Множество неподвижных точек исследуемых моделей Неподвижной точкой словарной функции

/ : X + ^ X+

называется такое слово и € X+, что

/ (и) = и.

С позиции криптографии актуальность исследования структуры множеств неподвижных точек словарных функций, реализуемых обратимыми автоматами над кольцом Z, обусловлена тем, что учет этой структуры дает возможность разработать меры по предотвращению ситуации, когда критический фрагмент открытого текста преобразуется в себя поточным шифром, построенным на основе такого автомата.

Рассмотрим результаты исследования структуры множеств неподвижных точек словарных функций, представленные в [1, 55, 63].

Обозначим через $^Х,(М, q0) (М € Дп,1 и Дп,2 и Дон и Дря) множество всех неподвижных точек словарной функции, реализуемой инициальным автоматом (М, q0). Положим

411,(М, ч„) = 5,м(М, qo) П )‘ (( € М).

Так как

5/^’(М, Ч„) £ {их|и € 5®,(М, qo), х € 2^ } (( € М),

то достаточно исследовать структуру множества б^-ЦДМ, q0).

В [1, 63] показано, что:

1) если М € Дп,1, то х € $|2,(М, q0) тогда и только тогда, когда х — решение уравнения

(I © Б) о х = С о q0;

2) если М € Дп,2, то х € $|2,(М, q0) тогда и только тогда, когда х — решение уравнения

(I © С о В) о х = С о А о q0.

(* € Ж+). (39)

Отсюда вытекает, что:

1) для любого автомата М € Дп,1 и Дп,2 множество 5^(М, 0) непусто;

2) для любого автомата М € Дгад, если I © Б € М^, то £^2,(М, q0) — бесконечное множество, причем 5^1,(М, q0) —одноэлементное множество для всех £ € М;

3) для любого автомата М € Дп,2, если I © С о В € М^™, то 5/ж^(М, q0) — бесконечное множество, причем 5^2,(М, q0) —одноэлементное множество для всех £ € М.

В [55] показано, что:

1) если М € Дон, то х € 5|1,(М, q0) тогда и только тогда, когда х — решение системы уравнений

Г (1 © «1) о X = ^01) о (^ ф а о (^01))2 ф Ь о (^02))2 ф С о (¿3))2,

< (1 © а^) о х = ^02) о (^ ф с о (¿1))2 ф а о (¿2))2 ф Ь о (¿3))2,

[ (1 © аз) о х = ¿3) о (^ ф Ь о (^01))2 ф с о (д02))2 ф а о (¿3))2;

2) если М € Дря, то х € 5(2,(М, q0) тогда и только тогда, когда х — решение системы уравнений

г(1 © а1) о х =/ (^01)) о с 9°3),

< (1 © а2) о х =/(?02)) о с901),

[(1 © а3) о х =/ (?03)) о с 9°2).

Из этих уравнений несложно получить критерии непустоты множества 5/2,(М, q0) (М € Дон и Дря) в случае, когда все элементы 1 © а (г = 1, 2, 3) являются обратимыми элементами кольца Zрь.

В заключение отметим, что хотя учет структуры множества неподвижных точек словарных функций, реализуемых обратимыми автоматами над кольцом Zрь, дает возможность разработать меры по предотвращению ситуации, когда критический фрагмент открытого текста преобразуется в себя поточным шифром, построенным на основе такого автомата, сама разработка этих мер является достаточно сложной задачей.

Выше был рассмотрен фрагмент теории автоматов над конечным кольцом с позиции их возможного использования при построениии поточных шифров. Некоторые задачи, требующие дополнительного анализа, были охарактеризованы выше.

Если в качестве элементов секретного ключа кроме параметров автомата и начального состояния автомата использовать также числа р и к, то при атаке, направленной на идентификацию секретного ключа, криптоаналитик столкнется, по-видимому, с необходимостью решения варианта проблемы тождества слов в свободных полугруппах. Ясно, что вычислительная стойкость таких поточных шифров существенно возрастет. Однако при этом возникает следующая проблема.

Специального исследования требует сравнительный анализ скорости поточных шифров, построенных на основе обратимых автоматов над кольцом Zpfc, со скоростью существующих поточных шифров. Результаты компьютерного моделирования с использованием стандартных программ, реализующих операции в конечном кольце, показывают, что скорость шифров, построенных на основе обратимых автоматов над кольцом Zрь, существенно падает с ростом значений р и к.

Поэтому при использовании обратимых автоматов над кольцом Zpfc для построения поточных шифров, по-видимому, придется существенно использовать аппаратнопрограммные реализации операций над фиксированным конечным кольцом, либо выделять мнотонно возрастающую подпоследовательность к (г € М) значений числа к

и разрабатывать быстрые алгоритмы реализации операций над последовательностью

колец Zpfci (i G N).

ЛИТЕРАТУРА

1. Скобелев В. В., Скобелев В. Г. Анализ шифрсистем. Донецк: ИПММ НАН Украины, 2009. 479 с.

2. Логачев О. А., Сальников А. А., Ященко В. В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2004. 470 с.

3. Скобелев В. Г., Сперанский Д. В. Идентификация булевых функций методами линейной алгебры // Украинский математический журнал. 1995. Т. 47. №2. С. 260-268.

4. Молдовян А. А., Молдовян Н. А., ГуцН.Д., Изотов Б. В. Криптография. Скоростные шифры. СПб: БХВ-Петербург, 2002. 496 с.

5. Huffman D. A. Canonical forms for information-lossless finite state logical machines // IRE Transactions Circuit Theory. Special Supplment. 1959. V. CT-6. P. 41-59.

6. Even S. On information-lossless automata of finite order // IEEE Transactions on Electronic Computers. 1965. V. C-14. No. 4. P. 561-569.

7. КурмитА.А. Автоматы без потери информации конечного порядка. Рига: Зинатне, 1972. 266 с.

8. Гилл А. Линейные последовательностные машины. М.: Наука, 1974. 298 с.

9. Фараджев Р. Г. Линейные последовательностные машины. М.: Сов. радио, 1975. 248 с.

10. Агибалов Г. П. Распознавание операторов, реализуемых в линейных автономных автоматах // Изв. АН СССР. Техническая кибернетика. 1970. №3. С. 99-108.

11. Агибалов Г. П., Юфит Я. Г. О простых эксперименах для линейных инициальных автоматов // Автоматика и вычислительная техника. 1972. №2. С. 17-19.

12. Сперанский Д. В. Эксперименты с линейными и билинейными конечными автоматами. Саратов: СГУ, 2004. 144 с.

13. Глушков В. М. Синтез цифровых автоматов. М.: Физматлит, 1962. 476 с.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

14. БабашА.В. Приближенные модели конечных автоматов // Обозрение прикладной и промышленной математики. 2005. Т. 12. Вып. 2. С. 108-117.

15. Скобелев В. В. Построение стойких к частотному анализу криптосистем на основе регулярных комбинаторных структур // Искусственный интеллект. 2004. №1. С. 88-96.

16. Скобелев В. В. Разрушение частот букв на основе регулярных комбинаторных структур // Труды ИПММ НАНУ. 2008. Т. 17. С. 185-193.

17. Скобелев В. Г., Зайцева Э. Е. Шифры на основе фракталов // Труды ИПММ НАНУ. 2006. Т. 12. С. 63-68.

18. Зайцева Э. Е., Скобелев В. Г. Шифр на основе отображения Мандельброта // Вестник Томского госуниверситета. Приложение. 2007. №23. С. 107-113.

19. Шнайер Б. Прикладная криптология. Протоколы, алгоритмы, исходные тексты на языке СИ. М.: Триумф, 2003. 816 с.

20. Скобелев В. Г. Локальные алгоритмы на графах. Донецк: ИПММ НАН Украины, 2003. 217 с.

21. Сачков В. Н. Введение в комбинаторные методы дискретной математики. М.: Наука, 1982. 384 с.

22. Стенли Р. Перечислительная комбинаторика. М.: Мир, 1990. 440 с.

23. Скобелев В. В. Точная формула для числа обратимых матриц над конечным кольцом // Труды ИПММ НАНУ. 2009. Т. 18. С. 63-68.

24. Харин Ю. С., Берник В. И., Матвеев Г. В., Агиевич С. В. Математические и компьютерные основы криптологии. Минск: Новое знание, 2003. 382 с.

25. Скобелев В. Г., Зайцева Э. Е. Анализ класса легко вычислимых перестановок / / Кибернетика и системный анализ. 2008. №5. С. 12-24.

26. Коблиц Н. Введение в эллиптические кривые и модулярные формы. М.: Мир, 1988. 316 с.

27. Коблиц Н. Курс теории чисел и криптография. М.: Научное изд-во ТВП, 2001. 262 с.

28. Горчинский В. Г. О гомоморфизмах многоосновных универсальных алгебр в связи с криптографическими применениями // Труды по дискретной математике. Т. 1. М.: Научное изд-во ТВП, 1997. С. 67-84.

29. Lynch N. I/O automaton models for proofs for shared-key communication systems // Proceedings of the 12th IEEE Computer Security Foundations Workshop (CSFW’99). Mordana, Italy, 1999. 16 p.

30. Девянин П. Н. Модели безопасности компьютерных систем. М.: Издательский центр «Академия», 2005. 144 с.

31. Блейхут Р. Теория и практика кодов, контролирующих ошибки. М.: Мир, 1986. 576 с.

32. Нильсен М., Чанг И. Квантовые вычисления и квантовая информация. М.: Мир, 2006. 824 с.

33. Шустер Г. Детерминированный хаос. М.: Мир, 1985. 255 с.

34. Кузнецов С. П. Динамический хаос. М.: Физматлит, 2001. 296 с.

35. Дмитриев А. С. Запись и восстановление информации в одномерных динамических системах // Радиотехника и радиоэлектроника. 1991. Т. 36. №1. С. 101-108.

36. Дмитриев А. С. Хаос и обработка информации в одномерных динамических системах // Радиотехника и радиоэлектроника. 1993. Т. 38. №1. С. 1-24.

37. Андреев Ю. В., Бельский Ю. Л., Дмитриев А. С. Запись и восстановление информации с использованием устойчивых циклов двумерных и многомерных отображений // Радиотехника и радиоэлектроника. 1994. Т. 39. №4. С. 114-123.

38. Дмитриев А. С., Старков С. О. Передача сообщений с использованием хаоса и классическая теория информации // Зарубежная радиоэлектроника. Успехи современной радиоэлектроники. 1998. №11. С. 4-32.

39. Андреев Ю. В., Дмитриев А. С., КуминовД.А. Хаотические процессоры // Радиотехника и радиоэлектроника. 1997. Т. 42. №10. С. 50-79.

40. Костенко П. Ю., Сиващенко С. И., Антонов А. В., Костенко Т. П. Применение методов хаотической динамики для обеспечения информационной скрытности в коммуникационных системах и сетях // Изв. вузов. Радиоэлектроника. 2006. Т. 49. №3. С. 63-70.

41. Костенко П. Ю., Антонов А. В., Костенко Т. П. Обратные задачи хаотической динамики и статистический анализ при обеспечении информационной скрытности в коммуникационных системах и сетях // Кибернетика и системный анализ. 2006. №5. С. 96-106.

42. Костенко П. Ю., Антонов А. В., Костенко Т. П. Развитие концепции односторонних функций для систем криптографической защиты информации с использованием достижений хаотической динамики // Кибернетика и системный анализ. 2006. №6. С. 136-146.

43. Grassi G., Mascolo S. Hyperchaos-based secure communications by observer design // Proceedings of the 7th International Workshop on Nonlinear Dynamics of Electronic Systems, Ronne, Denmark, July 15-17, 1999. P. 157-160.

44. Proceedings of the 7th International Workshop on Nonlinear Dynamics of Electronic Systems, Ronne, Denmark, July 15-17, 1999. Technical University of Denmark, Technical University of Dresden, 1999. 294 p.

45. Synchronization: Theory and applications, Yalta, Crimea, Ukraine, May 19 - June 1, 2002. NATO Science Series: II. Mathematics, Physics and Chemistry. V. 109. Kluver Academic Publishers, 2002. 258 p.

46. Alia M. A., Samsudin A. B. New key exchange protocol based on Mandelbrot and Julia fractal sets // IJCSNS International Journal of Computer Science and Network Security. 2007. V. 7. No. 2. P. 302-307.

47. Кузьмин А. С., Куракин В. Л., Нечаев А. А. Псевдослучайные и полилинейные последовательности // Труды по дискретной математике. Т. 1. М.: Научное изд-во ТВП, 1997.

С.139-202.

48. Скобелев В. В. Исследование структуры множества линейных БПИ-автоматов над кольцом Zpk // Допов^ НАНУ. 2007. № 10. С. 44-49.

49. Скобелев В. В. Анализ структуры класса линейных автоматов над кольцом Zpk // Кибернетика и системный анализ. 2008. №3. С. 60-74.

50. Скобелев В. В. Характеристики линейных одномерных автоматов с лагом l над конечным кольцом // Труды ИПММ НАНУ. 2008. Т. 16. С. 190-196.

51. Кузьмин А. С., Куракин В. Л., Нечаев А. А. Свойства линейных и полилинейных рекур-рент над кольцами Галуа (I) // Труды по дискретной математике. Т. 2. М.: Научное изд-во ТВП, 1998. С. 191-222.

52. Скобелев В. Г. Нелинейные автоматы над конечным кольцом Zpk // Кибернетика и системный анализ. 2006. №6. С. 29-42.

53. Скобелев В. Г. О некоторых свойствах нелинейных БПИ-автоматов над кольцом Zpk // Прикладная радиоэлектроника. 2007. Т. 6. №2. С. 288-299.

54. Скобелев В. В. Симметрические динамические системы над конечным кольцом: свойства и сложность идентификации // Труды ИПММ НАНУ. 2005. Т. 10. С. 184-189.

55. Скобелев В. В. О двух типах нелинейных автоматов над конечным кольцом Zpk // Кибернетика и системный анализ. 2009. №4. С. 57-68.

56. Ashwin P., Ruclidge A. M., Sturman R. Cyclic attractors of coupled cell systems and dynamics with symmetry // Synchronization: Theory and applications, Yalta, Crimea, Ukraine, May 19 - June 1, 2002. NATO Science Series: II. Mathematics, Physics and Chemistry. V. 109. Kluver Academic Publishers, 2002. P. 5-23.

57. Голод П.И., КлимыкА.У. Математические основы теории симметрий. Ижевск: НИЦ «Регулярная и хаотическая динамика», 2001. 528 с.

58. Скобелев В. В. Анализ комбинаторно-алгебраических моделей инъективных дискретных преобразователей информации: дис. ... канд. физ.-мат. наук. 01.05.01—теоретические основы информатики и кибернетики. Донецк: ИПММ НАН Украины. 2009. 128 с.

59. Гилл А. Введение в теорию конечных автоматов. М.: Наука, 1966. 272 с.

60. Горяшко А. П. Проектирование легко тестируемых дискретных устройств // Автоматика и телемеханика. 1984. №7. С. 5-35.

61. Скобелев В. Г. Об оценках длин диагностических и возвратных слов для автоматов // Кибернетика. 1987. №4. С. 114-116.

62. Скобелев В. Г. Анализ дискретных систем. Донецк: ИПММ НАН Украины, 2002. 172 с.

63. Скобелев В. В. Характеристика неподвижных точек линейных автоматов над конечным кольцом // Прикладная дискретная математика. 2008. №1(1). С. 126-130.

i Надоели баннеры? Вы всегда можете отключить рекламу.