Вестн. Сам. гос. техн. ун-та. Сер. Физ.-мат. науки. 2014. № 1 (34). С. 192—199
УДК 519.72
О ПОСТРОЕНИИ СОВЕРШЕННЫХ ШИФРОВ
С. М. Рацеев
Ульяновский государственный университет,
Россия, 432017, Ульяновск, ул. Л. Толстого, 42.
К. Шеннон в 40-х годах XX века ввел понятие совершенного шифра, обеспечивающего наилучшую защиту открытых текстов. Такой шифр не дает криптоаналитику никакой дополнительной информации об открытом тексте на основе перехваченной криптограммы. В 'работе исследуется задача построения совершенных шифров по заданному множеству открытых текстов X, ключей K и распределению вероятностей P(K) на множестве ключей. Приводится критерий, позволяющий однозначно определить, существует ли для заданных X,
K, P(K) совершенный шифр. Показано, что данная задача сводится к построению набора разбиений множества K с определёнными условиями. Так как одним из недостатков вероятностной модели шифра являются ограничения, накладываемые на мощности множеств открытых текстов, ключей и шифрованных текстов, в работе также рассматривается задача построения совершенного шифра замены с неограниченным ключом по заданному множеству шифрвеличин, ключей и распределению вероятностей на множестве ключей.
Ключевые слова: шифр, совершенный шифр, набор ключей, распределение вероятностей.
Пусть X, K, Y — конечные множества открытых текстов, ключей и шифрованных текстов соответственно. Обозначим через
вероятностную модель шифра (см. [1]), где E и D — множества правил зашифрования и расшифрования соответственно. При этом предполагается, что априорные распределения вероятностей P (X) и P (K) на соответствующих множествах X и K независимы и не содержат нулевых вероятностей. Распределения P(X) и P(K) естественным образом индуцируют распределение вероятностей P(Y) следующим образом:
Обозначим через K(x,y) множество всех таких ключей k £ K, для которых Ер(x) = у. Условная вероятность Py|х(y|x) определяется естественным образом:
ISSN: 2310-7081 (online), 1991-8615 (print); doi: http://dx.doi.org/10.14498/vsgtu1271 © 2014 Самарский государственный технический университет.
Образец цитирования: С. М. Рацеев, “О построении совершенных шифров” //
Вестн. Сам. гос. техн. ун-та. Сер. Физ.-мат. науки, 2014. № 1 (34). С. 192-199. doi: 10.14498/vsgtu1271.
Сведения об авторе: Сергей Михайлович Рацеев (к.ф.-м.н.), доцент, каф. информационной безопасности и теории управления.
E-mail address: [email protected]
= (X,K,Y,E,D,P (X ),P (K))
PY(y) = PX(x) ■ PK(k).
(x,k)eX\K Ek (x)=y
PYIX (y|x)
K (x, y) = 0, K (x, y) = 0.
192
О построении совершенных шифров
С помощью теоремы умножения вероятностей можно определить и условную вероятность Ру|х(y|x):
Рх|у (х\у)
рх(x) • py|х(y\x) py (y)
Напомним, что шифр Хд называется совершенным по Шеннону [2], если для любых x G X, у G Y выполнено равенство Px|y (ж\у) = Рх (x). Приведем эквивалентные, необходимые и достаточные условия совершенного по Шеннону шифра.
Предложение 1. Для произвольного шифра Хд следующие условия эквивалентны:
(i) для любых x G X, у G Y выполнено равенство Px\y (ж\у) = Рх (x);
(ii) для любых ж G X, у G Y выполнено равенство Ру\х (у\ж) = Ру (у);
(iii) для любых xi,x2 G X, у G Y выполнено равенство Ру\х(у\xi) = = РУ |х (у \ x2).
Предложение 2 [1]. Пусть Хд — совершенный по Шеннону шифр. Тогда для шифра Хд будут выполнены следующие условия:
(i) для любых x G X, у G Y найдётся такой ключ k G K, что Ek(x) = у;
(ii) для множеств X, Y и K справедливо двойное неравенство \X\ ^ \Y\ ^
< \К\.
Теорема 1 [3] (достаточные условия совершенного по Шеннону шифра). Пусть для шифра Хд выполнены следующие условия:
(i) \К(x, у)\ = 1 для любых x G X, у G Y;
(ii) 'распределение вероятностей Р (К) является равномерным.
Тогда шифр Хд является совершенным по Шеннону, причём распределение вероятностей Р(Y) будет являться 'равномерным и \К\ = \Y\.
Следствие (теорема К. Шеннона). Пусть Хд — некоторый шифр, для которого выполнено равенство \X\ = \К\ = \Y\. Шифр Хд является совершенным по Шеннону тогда и только тогда, когда выполнены следующие условия:
(i) \К(x, у)\ = 1 для любых x G X, у G Y;
(ii) 'распределение вероятностей Р (К) является равномерным.
Рассмотрим следующую задачу: по заданному множеству открытых текстов Xo и множеству ключей Ко с распределением вероятностей Р(Ко) (независимо от Р(Xo)) однозначно определить, существует ли шифр
Хд = (Xo^o^^^^(Xo), Р(Ко)), являющийся совершенным по Шеннону.
Теорема 2. Для заданных X, \X\ = п, К, \К\ = m, Р(К) существует совершенный шифр
Хд = (X,K,Y,E,D,P (X ),Р (К)) тогда и только тогда, когда выполнены следующие условия:
193
С. М. Рацее в
1) существует n разбиений множества K, которые состоят из одинакового количества непустых частей:
K = Кц U K12 U---U Kis, Кц П K1j = 0, 1 ^ i < j ^ s,
K = K21 U K22 U ■ ■ ■ U K2s, K2i П K2j = 0, 1 ^ i < j ^ s,
K = Kni U Kn2 U ••• U Kns, Kn П Knj = 0, 1 < i < j < s;
2) Kit П Kjt = 0, 1 ^ i < j ^ n,t = 1,..., s;
3) для любых 1 ^ i < j ^ n, t = 1,..., s выполнено равенство
E PK(k) = E PK(k).
keKtt fceKjt
Доказательство. Достаточность. Пусть для X, K, P(K) выполнены условия 1)—3). Пусть Y = {yi,... , ys} — некоторое множество шифрованных текстов, где s — число непустых частей из условия 1). Составим матрицу зашифрования размера m х n, где строки пронумерованы элементами множества K, а столбцы — элементами множества X, следующим образом. В i-том столбце (i = 1,..., n) данной матрицы в строках, пронумерованных элементами множества Kij, поставим элемент yj, j = 1,..., s. Условие 2) в этом случае гарантирует, что все правила зашифрования полученного шифра являются инъективными отображениями. А из условия 3) следует, что для любого t = = 1,..., s и любых 1 ^ i < j ^ n будут выполнены равенства
PY\X(ytlxi) = E PK(k) = E PK(k) = PY\x(yt|xj).
keKtt keKjt
Поэтому, учитывая предложение 1, полученный шифр будет являться совершенным по Шеннону.
Необходимость. Пусть для заданных X, K, P(K) существует совершенный по Шеннону шифр Хд со множеством шифртекстов Y = {yi,...,ys}. Обозначим для данного шифра
Kit = {k е K | Ek(xi) = yt}, i = 1,...,n, t = 1,...,s.
Понятно, что
PY\X(yt|xi) = E PK(k).
keKtt
Из предложений 1 и 2 следует, что для множеств Kit будут выполнены условия 1)-3). □
Пример. Пусть X = {x1,x2}, K = {k1, k2, k3, k4} и распределение вероятностей на множестве K имеет вид
K ki k2 k3 k4
P (K) 1/8 1/4 3/8 1/4
194
О построении совершенных шифров
В этом случае можно построить два разбиения множества K вида
K = {ki,k2} U {кз} U {кА},
K = {кз} U {ki, к4} U {к2},
где
{к1, к2} П {кз} = {кз} П {к1, к4} = {к4} П {к2} = 0.
При этом будут выполнены равенства
PK (к1) + PK (к2) = PK (kз),
PK (к3) = PK (к1) + PK (к4),
PK (к4) = PK (к2).
По теореме 2 для данных X, K, P(K) можно построить совершенный шифр. Пусть Y = {y1 ,y2,y3}. Составим матрицу зашифрования следующим образом: _________________
K\X x1 Х2
к1 У1 У2
к2 У1 Уз
кз У2 У1
к4 Уз У2
Тогда полученный шифр будет являться совершенным по Шеннону.
Определенная вероятностная модель шифра £ в позволяет рассматривать в качестве множества открытых текстов X лишь последовательности в некотором конечном алфавите A, длины которых ограничены некоторой заранее определенной константой. В работе [4] приводятся модели шифров замены с ограниченным и неограниченным ключом, для которых, в частности, на множество X такое ограничение не накладывается. Поскольку в общем случае шифр замены с ограниченным ключом совершенным не является (см. [4]), нас будет интересовать шифр замены с неограниченным ключом. Такая математическая модель имеет ряд полезных свойств, например, она позволяет строить модели совершенных шифров и оптимальных кодов аутентификации, стойких к имитации и подмене [3,5].
Приведем модель данного шифра.
Пусть U — конечное множество возможных «шифрвеличин», а V — конечное множество возможных «шифробозначений». Пусть также имеются r (r > 1) инъективных отображений из U в V. Пронумеруем данные отображения: E1, E2, ..., Er. Данные отображения называются простыми заменами. Обозначим Nr = {1,2,...,r}. Опорным шифром замены назовём совокупность £ = (U, Nr, V, E, D), для которой выполнены следующие свойства:
1) для любых u G U и j G Nr выполнено равенство Dj (Ej(u)) = u;
2) V = Uj€Nr Ej(U).
При этом E = {E1,... ,Er}, D = {D1,... ,Dr}, Dj : Ej (U) ^ U, j G Nr.
l-той степенью опорного шифра £ назовём совокупность
£l = (U1, Nr,Vl,E(l),D(l)),
195
С. М. Рацее в
где Ui, Nj, Vi —декартовы степени соответствующих множеств U, Nr, V. Множество E(i) состоит из отображений Ej : U1 ^ V1, j G Nj таких, что для любых u = ui... ui G Ui, j = ji... ji G Nj выполнено равенство
Ej(u) = Eh (ui) ... Ej (ui) = vi.. .vi G V1,
а множество D(i) состоит из отображений Dj : Ej(Ul) ^ U1, j G Nj, таких что для любых v = v1 ... vl G Vl, j = j1... ji G Nj выполнено равенство
Dj(v) = Dji (vi)... DJi (vi) = ui ...ui G U i.
Отметим важный момент. В ряде случаев не всякое слово длины l в алфавите U может появиться в открытом тексте. Поэтому обозначим через U(i) подмножество всех таких слов во множестве Ui, появление которых в открытом тексте имеет ненулевую вероятность:
U(i) = {u G Ui | Pvi (u) > 0}.
Тогда
V(i) = У Ej(U(i)).
jeN*
Пусть фс — случайный генератор ключевого потока, который для любого натурального числа l вырабатывает случайный ключевой поток ji... ji, где все ji G Nr.
Обозначим через EH следующую совокупность величин:
£гн = (U(i), Nj,V(i), E(i), D(i), P(U(i)),P(Nj)).
Шифром замены с неограниченным ключом назовём семейство
Хя = (£гя, l G N; фс).
При этом независимые и не содержащие нулевых вероятностей распределения P(U(i)) и P(Nj) индуцируют распределения вероятностей на множестве V(i):
PV(i) (v) = '^2 PU(i) (u) • PNr (j).
(u,-j)eU(l) xN*
E-j(u)=v
Также определим условные вероятности Pu(i)|y(i)(u|v) и Pv(i)|u(i)(v|u):
PV(i)|U(i) (v|u) = PN*. (J),
jeN* (u,v)
pu (i) | v (i)(u|v)
PU(i) (u) • PV(i)|U(i) (v|u) Pv(i) (v)
где Nj(u, v) = {j G Nj | Ej(u) = v}.
Говорят, что шифр Eh является совершенным тогда и только тогда, когда для любого натурального l шифр EH является совершенным по Шеннону.
Предложение 3. Для шифра Eh следующие условия эквивалентны:
196
О построении совершенных шифров
(i) для любого l £ N и любых u £ U(1), v £ V(1) выполнено равенство PU(l)|V(i) (u|v) = pu(i) (u);
(ii) для любого l £ N и любых U £ U(1), v £ V(1) выполнено равенство PV(i)|U(i)(v|u) = pv(i)(v);
(iii) для любого l £ N и любых u1,u2 £ U(1), v £ V(1) выполнено равенство PV(i)|U(i) (v|u1) = PV(i)|U(i) (v|u2).
Теорема 3 [3] (достаточные условия совершенности шифра Хн). Пусть шифр замены Хя обладает следующими условиями:
(i) правила зашифрования E1, E2, ..., Er шифра Хя обладают тем свойством, что для любых u £ U, v £ V найдётся, и притом единственный, элемент j = j(u,v) £ Nr такой, что Ej(u) = v;
(ii) 'распределение вероятностей P (Nr) является равномерным.
Тогда шифр Хя является совершенным, причём для любого l £ N выполнено равенство |V (1)| = rl и распределение вероятностей P(V(1)) будет являться равномерным.
Теорема 4 Пусть для шифра Хя выполнено равенство | U| = |Nr | = |V|. Шифр Хя является совершенным тогда и только тогда, когда выполнены следующие условия:
(i) правила зашифрования E1, E2, ..., Er шифра Хя обладают тем свойством, что для любых u £ U, v £ V найдётся, и притом единственный, элемент j = j(u,v) £ Nr такой, что Ej(u) = v;
(ii) 'распределение вероятностей P (Nr) является равномерным.
Доказательство следует из теоремы Шеннона и теоремы 3.
Рассмотрим задачу построения совершенного шифра Хя по заданному множеству «шифрвеличин» U и множеству Nr с распределением вероятностей P (Nr).
Теорема 5. Для заданных U, |U| = n, Nr, P(Nr) существует совершенный шифр Хя тогда и только тогда, когда выполнены следующие условия:
1) существует n разбиений множества Nr, которые состоят из одинакового количества непустых частей:
Nr = K11 U K12 U---U K1s, K1i П K1j = 0, 1 ^ i < j ^ s,
Nr = K21 U K22 U ■ ■ ■ U K2s, K2i П K2j = 0, 1 ^ i < j ^ s,
Nr = Kn1 U Kn2 U ■ ■ ■ U Kns, Kni П Knj = 0, 1 < i<j < s;
2) Kit П Kjt = 0, 1 ^ i < j ^ n,t = 1,..., s;
3) ^ PNr (k) = ^ PNr (k), 1 < i < j < n, t = 1,...,s.
keKu keKjt
Доказательство. Необходимое условие следует из теоремы 2.
Достаточность. Пусть выполнены условия 1)—3) и пусть V — некоторое множество «шифробозначений», |V | = s. Составим матрицу зашифрования
197
С. М. Рацее в
над элементами множества V для опорного шифра £ так же, как и в теореме 2. Зафиксируем некоторое натуральное l. Пусть
a = a1 ...ai £ U(l), b = b1 ...bi £ U(l), v = v1 ...vi £ V(l).
Тогда
Pv(D|u(0(v|a) = JJPy|и(vi|a») = ЦPv|и(vi|b*) = PvW|uсо(v|b),
i= 1 i= 1
где второе равенство следует из теоремы 2. Поэтому из предложения 3 следует, что шифр £1Н является совершенным по Шеннону. □
СПИСОК ЛИТЕРАТУРЫ/ REFERENCES
1. А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин, Основы криптографии, М.: Гелиос, АРВ, 2005. 480 с. [A. P. Alferov, A. Yu. Zubov, A. S. Kuz’min, A. V. Cheremushkin, Osnovy kriptografii [Foundations of Cryptography], Moscow, Helios, Association of Russian Universities, 2005, 480 pp. (In Russian)]
2. C. E. Shannon, “Communication Theory of Secrecy Systems”, Bell System Technical Journal, 1949, vol. 28, no. 4, pp. 656-715. doi: 10.1002/j.1538-7305.1949.tb00928.x; К. Шеннон, “Теория связи в секретных системах” / Работы по теории информации и кибернетике, М.: Иностранная литература, 1963. С. 333-369.
3. С. М. Рацеев, “О совершенных имитостойких шифрах”// ПДМ, 2012. №3. С. 41-46. [S. M. Ratseev, “About perfect imitation resistant ciphers”, Prikl. Diskr. Mat., 2012, no. 3, pp. 41-46. (In Russian)].
4. А. Ю. Зубов, Криптографические методы защиты информации. Совершенные шифры, М.: Гелиос, АРВ, 2005. 192 с. [A. Yu. Zubov, Kriptograficheskie metody zashchity informatsii. Sovershennye shifry [Cryptographic methods of information protection. Perfect codes], Moscow, Helios, Association of Russian Universities, 2005, 192 pp. (In Russian)]
5. С. М. Рацеев, “Об оптимальных кодах аутентификации” // Системы и средства ин-форм., 2013. Т. 23, №1, «Проблемы информационной безопасности и надежности систем информатики». С. 53-57. [S. M. Ratseev, “On optimal authentication code”, Sistemy i Sredstva Inform., 2013, vol. 23, no. 1, pp. 53-57. (In Russian)].
Поступила в редакцию 22/X/2013; в окончательном варианте — 27/1/2014; принята в печать — 27/1/2014.
198
On Construction of Perfect Ciphers
MSC: 68P25, 94A60
ON CONSTRUCTION OF PERFECT CIPHERS
S. M. Ratseev
Ulyanovsk State University,
42, L. Tolstoy st., Ulyanovsk, 432017, Russian Federation.
K. Shannon in the 40s of the 20th century introduced the concept of a perfect cipher, which provides the best protection of plaintexts. Perfect secrecy means that cryptanalyst can obtain no information about the plaintext by observing the ciphertext. In the paper we study the problem of construction of perfect ciphers on a given set of plaintexts X, a set of keys K and a probability distribution P(K). We give necessary and sufficient conditions for a perfect ciphers on given X, K and P(K). It is shown that this problem is reduced to construction of the set of partitions of the set K with certain conditions. As one of the drawbacks of the probability model of cipher are limitations on the power of sets of plaintexts, keys and ciphertexts we also study the problem of construction of substitution cipher with unbounded key on a given set of cipher-values, a set of keys and a probability distribution on the set of keys.
Keywords: cipher, perfect cipher, set of keys, probability distribution.
Received 22/X/2013;
received in revised form 27/1/2014;
accepted 27/1/2014.
ISSN: 2310-7081 (online), 1991-8615 (print); doi: http://dx.doi.org/10.14498/vsgtu1271 © 2014 Samara State Technical University.
Citation: S. M. Ratseev, “On Construction of Perfect Ciphers”, Vestn. Samar. Gos. Tekhn. Univ., Ser. Fiz.-Mat. Nauki [J. Samara State Tech. Univ., Ser. Phys. & Math. Sci.], 2014, no. 1 (34), pp. 192-199. doi: 10.14498/vsgtu1271. (In Russian)
Author Details: Sergey M. Ratseev (Cand. Phys. & Math. Sci.), Associate Professor, Dept. of Information Security & Control Theory.
E-mail address: [email protected]