CC BY
41
MSC 94A60
О ПОСТРОЕНИИ СОВЕРШЕННЫХ ШИФРОВ ЗАМЕНЫ С НЕОГРАНИЧЕННЫМ КЛЮЧОМ
С.М. Рацеев, Н.П. Панов
Ульяновский государственный университет, ул. Льва Толстого, 42, Ульяновск, 432017, Россия, e-mail: RatseevSMOmail.ru
Аннотация. Исследуется задача построения совершенных шифров по фиксированному набору параметров.
Ключевые слова: криптография, информация, шифр, совершенный шифр.
К. Шеннон в 40-х годах 20-го века ввел понятие совершенного шифра, обеспечивающего наилучшую защиту открытых текстов. Такой шифр не дает криптоаналитику никакой дополнительной информации об открытом тексте на основе перехваченной криптограммы. Данные шифры используются в тех случаях, когда наиболее важна секретность передаваемой информации. В настоящей работе исследуется задача построения совершенных шифров замены с неограниченным ключом по фиксированному набору параметров.
Все необходимые определения можно найти в работах [1,2]. Пусть и — конечное множество возможных «шифрвеличин», V — конечное множество возможных «тттиф-робозначений». Пусть также имеются г (г > 1) инъективных отображений из и в V. Пронумеруем данные отображения: Е^ £2,..., Ег. Данные отображения называются простыми заменами. Обозначим N. = {1, 2,..., г}. Опорным шифром замены назовем совокупность Е = (и, N., V, Е, £), для которой выполнены следующие свойства:
1) для любых и £ и и ] £ выполнено равенство Dj•(Ej(и)) = и:
2) V = £j(и).
При этом Е = {£1,..., Ег}, О = {£1,..., }, Dj : Ej(и) ^ и, ] £ N..
/-ой степенью опорного шифра Е назовем совокупность
Е1 = (и1, N.,^,Е(1),£(1)),
где и1, N., V1 — декартовы степени соответствующих множеств и, N., V. Множество состоит из отображений £у: II1 —> V1, ] £ Г^г, таких что для любых й = щ.-.щ £ II1, ] = )х...)1 £ Г^г выполнено равенство
Ез(и] = Еп(и1 )--ЕлЫ = VI-VI £ V1,
а множество £(1) состоит из отображений : Е^{111) —у II1, ) Е ^г, таких что для любых V = VI...VI Е V1, ] = ...^ Е N. выполнено равенство
вз(й) = = Щ...Щ е и1.
Отметим такой важный момент. В ряде случаев не всякое слово длины / в алфавите и может появиться в открытом тексте. Поэтому обозначим через и(1) подмножество всех таких слов во множестве и1, появление которых в открытом тексте имеет ненулевую вероятность:
и(1) = {й Е и1 I Р1Т1(й) > 0} .
Тогда
у[1) = и Е^и[1))•
з&Я
Пусть фс — случайный генератор ключевого потока, который для любого натурального числа / вырабатывает случайный ключевой поток где все ]г £ N.. Обозначим
через Егя следующую совокупность величин:
Егн = (и(1), N.,V(1), Е(1),£(1),Р(и(1)),Р(^)).
Шифром замены с неограниченным ключом назовем семейство
Ен = (ЕН, / £ N: фс).
При этом независимые и не содержащие нулевых вероятностей распределения Р(и(1)) и Р(^) индуцируют распределения вероятностей на множестве V(1):
Руа)(у) = ^ Р[Г(п(м) • Рц1г(])-
(гГЛеС^П . Н*.
Еу(и) = *
Также определим условные вероятности Ри(1)\у(1)(й\7ю) и РУ(1)\и(1)(у\й):
х—л Ртт(и) * Р\г{1)\тт(1)(г1)\и)
Руи)\1Н1)(у\и) = ^2 РщО), Р[г(п|у(п(м|г;) =-------------------———г-------------,
3&11г(й,И) ^ *
где N.(«,1;) = {} € N. | Е^и) = у}.
Говорят, что шифр Ен является совершенным, если для любого натурального / и для любых й Е и{-1\ V Е У^ выполнено равенство Р[г(п|у(п(м|у) = Р[г(п(м).
Предложение 1 [2]. Для шифра Ен следующие условия эквивалентны:
(I) для любого I Е N п любых й Е 11^, V Е У^ выполнено равенство Р[г(П|у(П ('У'КО = Р[г(п(м);
(II) для любого I Е N п любых м € у Е У^ выполнено равенство Ру(П|[Г(П (^|м) = Ру(1){у),
(111) для любого I Е N п любых их, Щ Е 11^, у Е выполнено равенство Ру(П|[Г(г)(у|м1) = Ру^Ци1-1^'1^'11^)-
Предложение 2 [2]. Пусть шифр замены с неограниченным ключом Ен является совершенным. Тогда для данного шифра будут выполнены следующие свойства:
(1) для любого натурального числа I п любых й Е 11^, V £ V(1) найдется такой ключевой поток ] € Мгг, что Еу(й) = у;
(И) для любого натурального числа / справедливо двойное неравенство
|и(1)| < IV(1)| < N| = г1.
Теорема 1 (достаточные условия совершенности шифра Ен [3]). Пусть шифр замены Ен обладает следующими условиями:
(1) правила зашифрования Е1} Е2,..., Е. шифра Ен обладают тем свойством, что для любых и £ и, V £ V найдется, и притом единственный, элемент ] = ^(и, V) £ N., такой что Ej (и) = V;
(И) распределение вероятностей Р(^) является равномерным.
Тогда шифр Ен является совершенным, причем для любого / £ N выполнено равенство ^ (1)| = г1 и распределение вероятностей Р (V(1)) будет являться равномерным.
Теорема 2 [2]. Пусть для шифра Ен выполнено равенство: |и| = N | = |V |. Шифр Ен является совершенным тогда и только тогда, когда выполнены следующие условия:
(1) правила зашифрования Е1, Е2,..., Е. шифра Ен обладают тем свойством, что для любых и £ и, V £ V найдется, и притом единственный, элемент ] = ^(и, V) £ N., такой что Ej (и) = V;
(И) распределение вероятностей Р(^) является равномерным.
Приведем также критерий совершенных шифров замены с неограниченным ключом в классе шифров с равномерным распределением вероятностей на множестве N..
Теорема 3 [4]. Пусть для шифра Ен выполнены неравенства |и | < ^ | < N | и распределение вероятностей Р(^) является равномерным. Шифр Ен является совершенным тогда и только тогда, когда выполнены следующие условия:
(1) для любых и £ и и V £ V найдется такое ] £ N., что £j (и) = V;
(И) для любых и1,и2 £ и, V £ V выполнено равенство N(и^)| = N(u2,v)|.
Рассмотрим задачу построения совершенного шифра Ен по заданному множеству «шифрвеличин» и и множеству N. с распределением вероятностей Р(^): по заданным и, N., Р(^) требуется определить, найдутся ли такие V, Е, £, для которых шифр Ен являлся бы совершенным.
Теорема 4. Для заданных и, |и| = п, N., Р(^) существует совершенный шифр Ен тогда и только тогда, когда найдется такое натуральное число в и п разбиений множества N.
N. = К11 и К12 и ... и К1в, Ки П = 0, 1 < г<^' < в,
N. = К21 и К22 и ... и К2а, Кк П к,- = 0, 1 < г<^‘ < в, (1)
N. = Кп1 и к„2 и ... и КП8, к„г П К^ = 0, 1 < г < ] < в,
для которых выполнены следующие условия:
1) КЙ П К.Д = 0, 1 < г < ] < п, £ =1,..., в;
2) для любых 1 < г<>7 < п, £ = 1,..., в выполнено равенство
£ Рг^Г(к) = £ Рц,(к).
□ Достаточность. Пусть для U, Nr, P(Nr), найдется такое s и n таких разбиений (1), для которых выполнены условия 1), 2). Пусть V = — некоторое мно-
жество «шифробозначений», где s — число непустых частей из (1). Составим матрицу зашифрования размера r х n для опорного шифра, где строки пронумерованы элементами множества Nr, а столбцы — элементами множества U, следующим образом. В i-м столбце (i = 1, ...,n) данной матрицы в строках, пронумерованных элементами множества Kj, поставим элемент Vj, j = 1,...,s. Условие 1) в этом случае гарантирует, что все простые замены Ej, j Е Nr, полученного шифра являются инъективными отображениями. А из условия 2) следует, что для любого t = 1,..., s и любых 1 < i < j < n будут выполнены равенства
Pv|U(vt|u*) = PNr (k) = ^2 PNr (k) = Pv|U(vt|uj).
fceKit fceKjt
Поэтому, учитывая предложение 1, полученный опорный шифр £ будет являться совершенным по Шеннону.
Покажем, что для любого l Е N шифр £я является совершенным по Шеннону. Зафиксируем некоторое натуральное I. Пусть a = a\...ai Е UЪ = b\...bi Е Uv = v1...v1 Е V(1). Тогда
i i
PV0)\ini)(v\a) = Д Ру|[Кг,г|«г) = Д РурЫЮ = РуШцтИ) (iJ|&) . i=1 i=1
Поэтому из предложения 1 следует, что шифр £гя является совершенным по Шеннону Необходимость. Пусть для заданных U, Nr, P(Nr) существует совершенный шифр £н со множеством «шифробозначений» V = {v1,..., vs}. Обозначим для данного шифра
Kit = {j Е Nr | Ej (м*) = vj , i = 1,..., n, t = 1,...,s.
Понятно, что
PV|U(vt|ui) = PNr (j) .
j&Kit
Из предложений 1 и 2 следует, что для множеств Ки будут выполнены равенства (1) и условия 1), 2). I
Следствие 1. Пусть для заданных и, N., Р(^) существует совершенный шифр. Тогда для любого множества «шифрвеличин» и, |и| < |и|, и для заданных N., Р(N0 существует совершенный шифр Ен.
Следствие 2. Для заданных и, |и| = п, N., Р(N0, V, ^| = в, существует совер-
шенный шифр Ен тогда и только тогда, когда найдется п таких разбиений (1), для которых выполнены условия 1 и 2 предыдущей теоремы.
Следствие 3. Для заданных V, | V| = в, N., Р(N0 существует совершенный шифр Ен тогда и только тогда, когда найдется такое п и такие разбиения (1), для которых выполнены условия 1 и 2 предыдущей теоремы.
Следствие 4. Для заданных N., Р(^) существует совершенный шифр Ен тогда и только тогда, когда найдутся такие п и в, п < в, и такие разбиения (1), для которых
выполнены условия 1 и 2 предыдущей теоремы.
Пример. Пусть и = {и1,и2}, N4 = {1, 2, 3,4} и распределение вероятностей на
множестве N4 имеет вид ___________________________________________
N4 1 2 3 4
р№) 2/7 1/7 3/7 1/7
В этом случае можно построить два разбиения множества N вида
N4 = {1,2} и {3} и {4},
N4 = {3} и {1,4} и {2}
с условиями
РМ4 (1) + РМ4 (2) = РМ4 (3)
Рм4 (3) = Рм4 (1) + Рм4 (4);
Рм4 (4) = Рм4 (2).
По теореме 4 для данных и, N4, Р(N4) можно построить совершенный шифр Ен. Пусть V = ^1^2^э}. Составим матрицу зашифрования следующим образом:
М4\р щ и 2
1 VI 1’2
2 VI 1’3
3 VI
4 1’3 1’2
Тогда полученный шифр Ен будет являться совершенным. Рассмотрим теперь такой несложный критерий.
Предложение 3. Для заданных U и V можно построить совершенный шифр Ед тогда и только тогда, когда |U | < |V |.
□ Если шифр Ея является совершенным, то неравенство |U| < |V| следует из предложения 2.
Обратно, пусть для U и V выполнено неравенство |U| < |V|. Обозначим r = |V|, n = |U|. Составим матрицу A порядка r х n над множеством V следующим образом: в каждом столбце матрицы A каждый элемент множества V встречается ровно один раз, а в каждой строке нет повторяющихся элементов (напомним, что такая матрица называется латинским прямоугольником и построить его можно, например, так: каждый следующий столбец является циклическим сдвигом на одну позицию предыдущего столбца). Пусть матрица A будет матрицей зашифрования опорного шифра для шифра Ея, а распределение вероятностей на множестве Nr равномерно. Тогда из теоремы 1 следует, что шифр Ея является совершенным. I
Пусть (П = Nr, FNr, PNr) — вероятностное пространство. Зафиксируем v G V. Обозначим через Nr (v) следующее множество:
N(v) = {j G Nr | v G Ej(U)} .
Под обозначением Nr (v) будем также понимать событие (Nr (v) G FNr ), заключающееся в том, что при случайном выборе элемента j G Nr «шифробозначение» v можно расшифровать правилом расшифрования Dj: v G Ej(U). Тогда событию Nr(v) будут благоприятствовать все элементы из множества Nr(v), и только они. Поэтому
P(Nr(v))= Y, PN,(j) .
j€N,(v)
Если канал связи готов к работе и на приеме установлены действующие ключи, но в данный момент времени никакого сообщения не передается, то в этом случае противником может быть предпринята попытка имитации сообщения. Тогда вероятность успеха имитации каждого символа передаваемого сообщения определяется следующим образом:
Pim = max P(Nr(v)).
v€V
Если же в данный момент передается некоторое сообщение, то противник может заменить некоторые символы этого сообщения, например некоторый символ v G V на v G V, отличный от v. При этом он будет рассчитывать на то, что на действующем ключе «шифробозначение» V будет успешно расшифровано. Пусть «Nr(v) | Nr(v)» — событие, заключающееся в попытке подмены «шифробозначения» v «шифробозначе-нием» V. Применяя теорему о произведении вероятностей, получаем, что
Р(ВД | N,(,0) = ,
P(Nr(v)) XjgNr(v) PN, (j)
где Nr(v,w) = Nr(v) П Nr(w). Тогда вероятность успеха подмены «шифробозначения» будет вычисляться по следующей формуле:
Ppodm = max P(Nr(w) | Nr(v)).
v=iT
Теорема 5 [2]. Для шифра £h справедливы неравенства
р >м р уМлА im-\vy ^podm-|F|-l'
При этом Pim = |U | /1V | тогда и только тогда, когда для любого v Е V выполнено равенство P(K(v)) = |U|/|V|. Также Ppodm = (|U| — 1)/(|V| — 1) тогда и только тогда, когда для любых v, w Е V, v = W, выполнено равенство
P(K(w) | K(v)) = (|U| — 1)/(|V| — 1).
Далее везде предполагается, что для любого натурального I выполнены равенства и(1) = и1, V= V1. Обозначим через Р,гт вероятность успеха имитации сообщения для шифра Егя, а через Р^сат(в) — вероятность успеха подмены в сообщении длины I ровно в символов для шифра Егя, где в < I. Из определения вероятностей Р;т и Рроат следуют такие равенства:
Рт = (Р™) , Р^оат(в) = (РроатГ .
Предложение 4. Пусть для шифра Ен (с матрицей зашифрования опорного шифра из теоремы 4) выполнены равенства (1) и условия 1 и 2 теоремы 4. Тогда
Pim = ( n ■ та* PNr(k)
fceKii
Ppodm(t) = I Г ' U!aX
i=j
1 SfceKiOKj PNr (k)
'/ ЛЛ _ I ¿—/k€KiCK.
podm
n EfcgKii PNr(k)
где
Кг [ \ ■К,?г , г 1 ..., в •
j=1
□ Пусть V = {г>1, ...,^5}, 1 < г < в. Тогда из условий 1 и 2 теоремы 4 следуют такие равенства:
P(Nr(vi)) = ^ PNr (k) = n ■ f ^ PNr (k)
fceKiiU...UKni VfceKii
поэтому
Pim = n ■ max > PNr (k).
1<i<s r 4 '
n ■ max
1<i<s
keKu
Далее, пусть 1 < i, j < s, i = j. Тогда
п/и , N I тм / nn SfceK,-nKj PNr(k) SfceKnK PNr(k)
Р(ЕГ(^-) | Nr(Ui)) ^
~Nr
Р^Г (к) п • &€Кн Р^Г (к))
поэтому
„ 1 Р^Г (к)
^роёш * тах — —— .
п 1-г!=^8^ Р^г (к)
Предложение 5. Пусть для шифра Ен выполнены равенства (1) и условия 1 и 2 теоремы 4. Для шифра Ен достигаются нижние границы для вероятностей имитации и подмены
где n = |U|, s = | V|, тогда и только тогда, когда для любых 1 < i < j < s выполнены следующие равенства:
Е *,<*, _ I, Е РНД,) .
fceK1i fceKinKj ' J
□ Доказательство следует из теоремы 5 и предложения 4. I
Литература
1. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии / М.: Гелиос АРВ, 2005. - 480 с.
2. Зубов А.Ю. Криптографические методы защиты информации. Совершенные шифры / М.: Гелиос АРВ, 2005. - 192 с.
3. Рацеев С.М. О совершенных имитостойких шифрах // Прикладная дискретная математика. - 2012. - 17; №3. - C.41-47.
4. Рацеев С.М. О совершенных имитостойких шифрах замены с неограниченным ключом // Вестник Самарского государственного университета. Естественнонаучная серия. -2013. - 110;№9/1. - C.42-48.
ON CONSTRUCTIONS OF PERFECT CODES OF SUBSTITUTION
WITH UNBOUNDED KEY
S.M. Ratseev, N.P. Panov
Ulyanovsk State University,
Lev Tolstoy St., 42, Ulyanovsk, 432017, Russia, e-mail: RatseevSMOmail.ru
Abstract. The problem of constructing perfect codes on a fixed set of parameters is studied.
Key words: cryptography, information, code, perfect code.
