УДК 519.7
Б01: 10.14529/ттр140206
О СОВЕРШЕННЫХ ШИФРАХ НА ОСНОВЕ ОРТОГОНАЛЬНЫХ ТАБЛИЦ
С. М. Рацеев, О. И. Череватенко
В работе исследуются совершенные шифры, стойкие к имитации и подмене шифрованных сообщений. Особо выделен случай, когда вероятности имитации и подмены достигают нижних границ. Хорошо известно, что шифр гаммирования с равновероятной гаммой является совершенным, но максимально уязвимым к попыткам имитации и подмены. Это происходит потому, что в шифре гаммирования алфавиты для записи открытых и шифрованных текстов равномощны. Так как одним из недостатков математической модели шифра являются ограничения, накладываемые на мощности множеств открытых текстов и ключей, то сначала приводится математическая модель шифра замены с неограниченным ключом, предложенная А.Ю. Зубовым. На основе данной модели в работе приводятся конструкции совершенных шифров, стойких к имитации и подмене. Данные шифры строятся на основе ортогональных таблиц и латинских прямоугольников. Рассматривается случай, когда случайный генератор ключевых последовательностей не обязательно имеет равномерное распределение вероятностей. Так как длины ключей таких шифров не меньше длин передаваемых сообщений, то шифры замены с неограниченным ключом целесообразно использовать в исключительно важных случаях.
Ключевые слова: шифр; совершенный шифр; имитация сообщения.
Введение
К. Шеннон в 40-х годах XX-го века ввел понятие совершенного шифра, обеспечивающего наилучшую защиту открытых текстов. Такой шифр не дает криптоаналитику никакой дополнительной информации об открытом тексте на основе перехваченной криптограммы. Данные шифры используются в тех случаях, когда наиболее важна секретность передаваемой информации. Наиболее хорошо известным совершенным шифром является шифр гаммирования с равновероятной гаммой. При этом данный шифр максимально уязвим к попыткам имитации и подмены шифрованных сообщений и строится с помощью генератора ключевых последовательностей с равномерным распределением. В данной работе рассматриваются задачи построения совершенных шифров, стойких к имитации и подмене шифрованных сообщений.
Напомним несколько важных определений.
Латинским квадратом з-го порядка над множеством У = [у\, ■ ■■,Ув} называется таблица размера з х з, заполненная элементами множества У таким образом, что в каждой строке и в каждом столбце каждый элемент встречается ровно один раз.
Две матрицы А = (а^) и В = (Ь^) над множеством У = [у\, ■■■,Ув} называются ортогональными, если все упорядоченные пары (а^,Ь^) различны.
Ортогональной таблицей ОА(з, п) над множеством У = [у\, ■■■,Ув} называется матрица размера з2 х п над множеством У с тем условием, что для любых двух столбцов данной матрицы каждая из пар (yi,yj) € У х У встречается ровно один раз. Существование ортогональной таблицы ОА(з, п) над множеством У эквивалентно существованию п попарно
зУ
з
в этом случае существуют з — 1 попарно ортогональных латинских квадрата, или, что то-
же самое, в + 1 ортогональных матриц [2]: для этого достаточно рассмотреть многочлены /а(х, у) = ах + у над полем СЕ (в) при ненулевых а.
Будем говорить, что матрица А = А(в,и), в > щ над некоторым в-элементным множеством У является латинским прямоугольником, если каждый столбец матрицы А является перестановкой элементов множества У, причем в строках каждый элемент встречается не более одного раза.
1. Шифры замены с неограниченным ключом
Рассмотрим математическую модель шифра замены с неограниченным ключом, предложенную А.Ю. Зубовым [3]. Такая математическая модель имеет ряд полезных свойств, например, она позволяет строить модели совершенных шифров и кодов аутентификации, стойких к имитации и подмене (см. [4, 5, 6]).
Пусть и — конечное множество возможных шифрвеличин, V — конечное множество возможных шифробозначений. Пусть также имеются г > 1 инъективных отображений из и в V. Пронумеруем данные отображения: Е\, Е^,..., Ег. Данные отображения называются простыми заменами. Обозначим = {1, 2,г}. Опорным шифром шифра замены назовем совокупность £ = (и, , V, Е, О), для которой выполнены следующие свойства:
1) для любых и € и и ] € выполнено равенство Dj(Е^(и)) = и;
2) V = и^ Ej(и).
При этом Е = {Ег,..., Ег}, О = {Оъ ..., Ог}, : Е^(и) ^ и,з € Мг.
/-й степенью опорного шифра £ назовем совокупность
£1 = (и1, М V1 ,Е(1),О®),
где и1, М^1 — декартовы степени соответствующих множеств и, Мг, V. Множество Е(1^ состоит из отображений Щ : и1 ^ V1, ] € М, таких, что любых и = и\...щ € и1, ] = €
М выполнено равенство
Е^(и) = Ej1 (их)...Еу1 (щ) = У1...У1 € V1,
а множество состоит из отображений : Е^(и1) ^ и1, ] € М, таких, что любых V = Уг ...VI € V1, ] = jl■■■jl € М выполнено равенство
Щу) = ^ ^^...^ь (у1) = щ1..щ1 € и1.
Пусть фс — случайный генератор ключевого потока, который для любого натурального числа I вырабатывает случайный ключевой поток /’ь../^, где в се ji € Мг.
Обозначим через £1Н следующую совокупность величин:
£1Н = (и1, М V1,Е(1),О(1),Риь,РП1г).
Шифром замены с неограниченным ключом назовем семейство
£н = (£Н, I € М; фс).
При этом независимые и не содержащие нулевых вероятностей распределения Рць и Р^ индуцируют распределения вероятностей на множестве V1:
ру1 (у) = X/ Риь(и) • РМ(^).
(и,з)еи1хТЯ1г
Е-^(й)=и
Также определим условные вероятности Ррьуь(и\у) и Руь\рь(у\и):
о <—\—А о <—\ о <—1-А _ Риь (щ) • РУьРь (у\и)
РУь\иь (у\и) = РМьг (J), Риь\Уь (и\У) = -----Р ь (у)-----,
(иуЬ) У
где М (и, у) = {] € М \ Щ(и) = V}.
Говорят, что шифр £н является совершенным, если для любого натурального I и для любых и € и1, V € V1 выполнено равенство Ррь\уь (и\у) = Ррь (и). Приведем эквивалентные условия совершенного шифра.
Предложение 1. Для шифра £н следующие условия эквивалентны:
(г) для любо го I € М и любых и € и1, у € V1 выполнено равенство Рр ьу ь (и\у) = Рр ь (и); (гг) для любого I € М и любых и € и1, у € V1 выполнено равенство Руьрь(у\и) = Руь(у); (ггг) для любого I € М и любых й1,й2 € и1, V € V1 выполнено равенство Руьрь (У\и1) = Ру ь\и ь (у\и2)-
Приведем также критерий совершенных шифров замены с неограниченным ключом в классе шифров с равномерным распределением вероятностей на множестве из работы [5], который нам понадобится в дальнейшем.
Теорема 1. Шифр £н с равномерным распределением вероятностей Рщг является совершенным тогда и только тогда, когда выполнены следующие условия:
(г) для любых и € и и V € V найдется такое j € Мг, что Ej(и) = у;
(гг) для любых иг,и2 € и, V € V выполнено равенство \Мг(иг,у)\ = \Мг(и2,у)\-
2. Имитация и подмена сообщений
Рассмотрим вероятностное пространство (О = , ЕМГ, Рмг)■ Зафиксируем у € V. Обозначим через (у) следующее множество:
М(у) = а € М \ V € Ез(и)}.
Под обозначением (у) будем также понимать событие (Мг (у) € ЕМГ), заключающееся в том, что при случайном выборе элемента j € шпфробозначение у можно расшифровать правилом расшифрования у € Ез(и). Тогда событию (у) будут благоприятствовать все элементы из множества (у), и только они. Поэтому
Р(М(у))= £ Рмг(з)■
3'€МГ (V)
Если канал связи готов к работе, и на приеме установлены действующие ключи, но в данный момент времени никакого сообщения не передается, то в этом случае противником может быть предпринята попытка имитации сообщения. Тогда вероятность успеха имитации каждого символа передаваемого сообщения определяется следующим образом:
Рт = шах Р(Мг(у)).
v£У
Если же в данный момент передается некоторое сообщение, то противник может заменить некоторые символы этого сообщения, например, некоторый символ у € V на V € V, отличный от у. При этом он будет рассчитывать на то, что на действующем ключе шифробозна-чение V будет успешно расшифрован о. Пусть «Мг (у) \ (у)» — событие, заключающееся в
попытке подмены шифробозначения V шифробозначением V. Применяя теорему о произведении вероятностей, получаем, что
Р(Мг(V) \ Мг(V)) = Р™ = 3■
Р(М(У)) .LjeNr(v) РМ (3)
где (у,£) = (у) П (£). Тогда вероятность успеха подмены шифробозначения будет
вычисляться по следующей формуле:
Рра4т = шах Р(Мг(£) \ М(у)).
у=г>
Обозначим через Р^т вероятность успеха имитации сообщенпя для шифра £Н, а через Ррос1т(в) — вероятность успеха подмены в сообщении длины I ровно в символов для шифра £1Н, где в < I. Из определения вероятностей Ргт и Рро4т следуют такие равенства:
Рт = (Рт) , Рройт(в) = (Рройт) ■
Пусть £н — некоторый шифр замены с неограниченным ключом с опорным шифром £ = (и, ^,Е,О), \и\ = щ V\ = в, распределением вероятностей Рмг для случайного генератора фс и матрицей зашифрования А размера г х п над множеством V для опорного шифра £. При этом строки матрицы А пронумерованы элементами множества Мг, а столбцы
— элементами множества и. Пусть также для некоторого £ > г имеется случайный генератор фс с распределением вероятностей Р^~ и условием, что найдется такое разбиение множества Мг на г непустых непересекающпеся подмножеств
= кг и к2 и... и Кг,
для которого выполнены равенства
Рщ(Кг) = ^ Рц-(к) = Рмг(г), г = 1, ■■■,?■
кеК
Построим шифр замены с неограниченным ключом £н со случайным генератором фс и опорным шифром £ = (и, Мг, V, Е, О) со значениями и и V, как в опорном шифре £. Для этого необходимо определить множество правил зашифрования Е и множество правил расшифрования О. Еж О) определим с помощью матрицы зашифрования В размера £ х п над множеством V, в которой строки пронумерованы элемента ми множества Мг, а столбцы
— элементами множества и, следующим образом: /'-ю строку матрицы А продублируем \Кз\ раз, / = 1, ■.., г, и из всех полученных (продублированных) строк составим матрицу В.
Предложение 2. Если один из шифров £н или £н является совершенным, то другой также будет являться совершенным. Более того, вероятности успехов имитации и успехов подмены данных шифров соответственно равны.
Доказательство следует из предложения 1 и определения понятий имитации и подмены.
3. Совершенные имитостойкие шифры
Пусть для чисел в и щ 1 < п < в, существует ортогональная таблица ОА(в, п) над множеством V = {Уг, ■.., у8}, в которой г-я строка содержит только элемент Уг, г = 1,...,в.
в
ОА(в,п) существует для любого п = 2,..., в — 1. Вычеркнем из таблицы ОА(в,п) первые в
А(в, п) А(в, п)
размерность (в2 — в) х п, в каждой строке нет повторяющихся элементов, а каждый столбец содержит ровно в — 1 экземпляров эле мента у г, г = 1,..., в.
£н
(г) \и\ = п, V\ = в, 1 < п < в, г = в2 — в;
(гг) А(в, п)
(ггг) распределение вероятноет,ей Р^г является равномерным.
Тогда, шифр £н является совершенным, и для, любого I выполнены следующие равенства:
Р
ро(1т
(£) =
то есть Р\т 0 щи I ^ ж, Рр)С^т(^) ^ 0 щи £ ^ ж.
£н
Пусть у € V. Тогда
Р (у)) = вв—) = 1
поэтому
Пусть у,у € V, у = у. Тогда
Р1 = 1
Рт \ в) '
2С 2
Р(М(£) \ М(у)) = п
п1
п(в — 1) в — 1
поэтому
Р1Рот(£) = (п~1)
□
Заметим, что совершенные имитостойкие шифры можно строить не только для случая, когда Р^г равномерно. Пусть
= кг и К2 и... и Кз
(1)
— разбиение множества на непустые непересекающиеся подмножества с условием, что
1
РМ(Кг) = ^ РМГ(к) = г = 1,...,в. к£К1 в
(2)
Пусть и = {иг, ■■■,ип], А — матрица размера вхп, 1 < п < в, над множеством V = {Уг,..., Уз}
ВИДс1
I
Уг У2 Уп
У2 Уз уп+г
Уз Уг уп-г
в которой каждый следующий столбец является циклическим сдвигом на одну позицию предыдущего столбца. Понятно, что данная матрица является латинским прямоугольником.
АВ размера г х п над множеством V для опорного шифра £.
£н
выполнены следующие равенства:
Доказательство следует из предложения 2 и работы [4].
Пример 1. Пусть и = {иг,и2}1 V = {у1,у2,у3}1 Мб = {1, 2, 3, 4, 5}, и распределение вероятностей на множестве Мб имеет вид
Мб 1 2 3 4 5
РМ5 1/15 4/15 1/12 1/4 1/3
В этом случае существует разбиение вида (1) с условием (2):
Кг = {1, 2}, К2 = {3, 4}, Кз = {5},
РМ5 (Кг) = РМб (К2) = РМб (Кз) = - ■ Сначала составим матрицу А
Мз\и иг и2
1 Уг У2
2 У2 Уз
3 Уз Уг
которая является латинским прямоугольником, а на ее основе составим матрицу В
Мб\и иг и2
1 Уг У2
2 Уг У2
3 У2 Уз
4 У2 Уз
5 Уз Уг
По предложению 3 для данных и, V, Мб, Рм5 и матрицы зашифрования В для опорного
£н
Рт = (э) ^ Рроат(£) =
Пусть теперь
Мг = Кг и К2 и ■■■ и Кз2-з (3)
разбиение множества Мг с условием, что
1
в2 в
РМ(Кг) = ^ РКг(к) = в2 _ ^, г = 1,...,в2 — в. (4)
кеК1
Пусть Т3 — циклическая перестав овка на ./позиций влево в-го множества. Обозначим через А3 = А3(в, 2) матрицу размера в х 2 над множеством V = {Уг, ■■.,уз}, имеющую такой вид:
л _( Уг У2 ■■■ Уз \Т . _ л л
Аз — I I , / — 1, ■■■, в — 1.
V УТ3(г) УТ3(2) ■■■ УТ3(з) /
Из матриц Аз, ] = 1, ■.., в—1, составим матрицу А размер а (в2—в)х2 путем последовательной
Аг Аз-г А
построим матрицу зашифрования В размера г х 2 для опорного шифра указанным выше способом.
£н
выполнены следующие равенства:
Доказательство следует из предложения 2 и работы [5].
Вернемся к ортогональным таблицам. Пусть имеется разбиение (3) с условием (4). Пусть также для чисел в и п существует ортогональная таблица ОА(в, п) над множеством V = {уг, ■.., уз}, 1 < п < в. Построим из данной таблицы (как и до теоремы 2) матрицу А размера (в2 —в) матрицы А, как и ранее, построим матрицу зашифрования В размера
гх 2
£н
выполнены следующие равенства:
А.Ю. Зубов. - М.: Гелиос АРВ, 2005. - 192 с.
4. Рацеев, С.М. О совершенных имитостойких шифрах / С.М. Рацеев // Прикладная дискретная математика. - 2012. - Т. 17, № 3. - С. 41-47.
5. Рацеев, С.М. О совершенных имитостойких шифрах замены с неограниченным ключом / С.М. Рацеев // Вестник Самарского государственного университета. Естественнона-
ства информатики. - 2013. Т. 23, № 1. - С. 53-57.
Сергей Михайлович Рацеев, кандидат физико-математических наук, доцент, кафедра «Информационная безопасность и теория управления:», Ульяновский государственный университет (г. Ульяновск, Российская Федерация), [email protected].
Ольга Ивановна Череватенко, кандидат физико-математических наук, доцент, кафедра «Высшая математика», Ульяновский государственный педагогический университет имени И.Н. Ульянова (г. Ульяновск, Российская Федерация), [email protected].
Доказательство следует из теоремы 2 и предложения 2.
Литература
1. Холл, М. Комбинаторика: пер. с англ. / М. Холл. - М.: Мир, 1970. - 212 с.
2. Bose, R.S. On the Applications of the Properties of Galois Fields to the Problems of
Construction of Hyper-Graeco-Latin Squares / R.S. Bose // Indian J. Stat. - 1938. - V. 4,
№. 3. - P. 323-338.
3. Зубов, А.Ю. Криптографические методы защиты информации. Совершенные шифры /
учная серия. - 2013. - Т. 110, № 9/1. - С. 42-48.
6. Рацеев, С.М. Об оптимальных кодах аутентификации / С.М. Рацеев // Системы и сред-
Поступила в редакцию 24 января 20Ц г.
Bulletin of the South Ural State University. Series "Mathematical Modelling, Programming & Computer Software",
2014, vol. 7, no. 2, pp. 66-73.
MSC 68P25, 94A60 DOI: 10.14529/mmpl40206
On Perfect Ciphers Based on Orthogonal Tables
S.M. Ratseev, Ulyanovsk State University, Ulyanovsk, Russian Federation,
O.I. Cherevatenko, Ulyanovsk State I.N. Ulyanov Pedagogical University, Ulyanovsk, Russian
Federation, [email protected]
We study perfect imitation resistant ciphers, highlighting particularly the case in which the probabilities of successful imitation and substitution attain their lower limits. It is known that the Vernam cipher with equiprobable gamma is a perfect cipher, but it is maximally vulnerable to imitation attempts owing to its use of alphabets of the same size for plaintexts and ciphertexts. Since the limitation on the size of the sets of plaintexts and keys is a drawback of the mathematical model of the cipher, we begin by studying Zubov’s mathematical model of substitution cipher with unbounded key. Basing on this model, we construct models of perfect imitation resistant ciphers. These ciphers use orthogonal tables and Latin rectangles. We study the case in which the generator of random key sequences need not have the uniform probability distribution. Since the keys of these ciphers are at least as long as the transmitted messages, substitution ciphers with unbounded key should be used in very important cases.
Keywords: cipher; perfect cipher; imitation of message.
References
1. Holl M. Combinatorics. Waltham (Massachusetts), Blaisdell Publishing, 1967. 310 p.
2. Bose R.S. On the Applications of the Properties of Galois Fields to the Problems of Construction of Hyper-Graeco-Latin Square. Indian ,J. Stat, 1938, vol. 4, issue 3, pp. 323-338.
3. Zubov A.Yu. Kriptograficheskie metody zashhity informacii. Sovershennye shifry [Cryptographic Methods of Information Security. Perfect Ciphers]. Moscow, Gelios ARV, 2005. 192 p.
4. Ratseev S.M. [On Perfect Imitation Resistant Ciphers]. Prikladnaya Diskretnaya Matematika [Applied Discrete Mathematics], 2012, vol. 17, issue 3, pp. 41-47. (in Russian)
5. Ratseev S.M. [On Perfect Imitation Resistant Ciphers with Unbounded Key]. Vestnik Samarskogo Gosudarstvennogo Universiteta. Estestvennonauchnaya seriya [Vestnik of Samara State University. Natural Science Series], 2013, vol. 110, issue 9/1, pp. 45-50. (in Russian)
6. Ratseev S.M. [On optimal Authentication Code]. Sistemy i Sredstva Informatiki [ Systems and Means of Informatics], 2013, vol. 23, issue 1, pp. 53-57. (in Russian)
Received January 24, 2014