CC BY
41
Пример 2. Рассмотрим таблицы зашифрования эндоморфных шифров при Л ^ = 4 с произвольными вероятностями ключей (табл. 3 и 4).
Таблица 3 Таблица 4
№ К Х1 Х2 хз х4
1 к1 1 4 3 2
2 к2 1 3 2 4
3 кз 2 1 3 4
4 к4 3 2 4 1
5 к5 4 2 1 3
№ К Х1 Х2 хз х4
1 к1 4 1 2 3
2 к2 3 4 1 2
3 кз 2 3 4 1
4 к4 1 2 4 3
5 к5 4 1 3 2
6 кб 2 3 1 4
Это минимальные (по включению) транзитивные шифры, которые не могут быть совершенными ни при каких распределениях вероятностей ключей, причём из их таблиц зашифрования невозможно извлечь латинский квадрат.
Таким образом, в работе рассмотрена задача обобщения теоремы Шеннона для эндоморфных совершенных шифров. Построены примеры, показывающие, что минимальность шифра по числу ключей и минимальность по включению приводят к разным постановкам задач.
ЛИТЕРАТУРА
1. Шеннон К. Теория связи в секретных системах // Работы по теории информации и кибернетике. М.: Наука, 1963. С. 333-402.
2. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001.
3. Зубов А. Ю. Совершенные шифры. М.: Гелиос АРВ, 2003.
4. Медведева Н. В., Титов С. С. О неминимальных совершенных шифрах // Прикладная дискретная математика. Приложение. 2013. №6. С. 42-44.
5. Медведева Н. В., Титов С. С. Неэндоморфные совершенные шифры с двумя шифрвели-чинами // Прикладная дискретная математика. Приложение. 2015. №8. С. 63-66.
6. Медведева Н. В., Титов С. С. Описание неэндоморфных максимальных совершенных шифров с двумя шифрвеличинами // Прикладная дискретная математика. 2015. №4 (30). С.43-55.
УДК 519.1 Б01 10.17223/2226308Х/9/26
О СПОСОБАХ ПОСТРОЕНИЯ КРИПТОГРАФИЧЕСКИХ ГЕНЕРАТОРОВ С ЗАДАННЫМ ПОКАЗАТЕЛЕМ БЕСПОВТОРНОСТИ ВЫХОДНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ
Д. А. Романько, В. М. Фомичев
В связи с понятием слабого ключа итеративного симметричного блочного шифра исследованы некоторые способы построения ключевого расписания, обеспечивающего отсутствие повторений в последовательности раундовых ключей. На основе генератора «1-2 шага», использующего линейные регистры сдвига длины п и т с максимальной длиной периода, построен автономный автомат с выходным алфавитом Ут, у которого при любом начальном состоянии отрезок длины 2т-1 выходной последовательности не содержит повторяющихся векторов.
66
Прикладная дискретная математика. Приложение
Ключевые слова: блочный шифр, раундовый ключ, г-бесповторная последовательность, г-бесповторный автомат, показатель бесповторности.
Введение
При криптографическом анализе ВЕБ-алгоритма введено понятие слабого ключа, т.е. основного ключа, порождающего 16 одинаковых раундовых ключей. В [1, с. 298] для г-раундового блочного алгоритма использовано понятие ^-слабого ключа, порождающего ровно ^ различных раундовых ключей, 1 ^ ^ < г. Показано, что при определённых условиях использование слабых ключей ослабляет криптографические свойства итеративного блочного шифра. Поэтому представляет интерес задача построения ключевого расписания, генерирующего при любом основном ключе г различных раундовых ключей. Для решения применим теоретико-автоматный подход.
Основные обозначения:
— Уп — множество двоичных п-мерных векторов, п Е N
— Уп,0 — множество ненулевых двоичных п-мерных векторов, п Е N
— ЛРСтах-п — линейный регистр левого сдвига длины п максимального периода, п е N.
1. Бесповторность последовательностей и автономных автоматов
Пусть Х^ = |ж0,ж1,...} — конечная или бесконечная последовательность над Х и |Х | = к.
В последовательности Х^ г-й г-граммой называется слово (ж^, ..., Жг+г-1) длины г в алфавите X, г = 0,1, 2,...; г-грамму назовём бесповторной, если она не содержит одинаковых символов. Последовательность г-грамм последовательности Х^ обозначим Х^.
Последовательность назовём г-бесповторной, если все её г-граммы бесповторные. Чисто периодическая последовательность Х^ с длиной периода £ является г-бесповторной, если бесповторными являются её г-е г-граммы при г = 0,... , £ — 1.
Показателем бесповторности Х^ (обозначение игр Х^) назовём наибольшее натуральное г, при котором последовательность Х^ является г-бесповторной. Очевидно, игр Х^ ^ к, и если последовательность Х^ г-бесповторная, то она и г'-бесповторная при любом г' ^ г.
Автономный автомат А = (Б, У, Л, f), где Б — множество состояний, У — выходной алфавит, Л — функция переходов, f — функция выходов, называется г-бесповторным, если при любом начальном состоянии А генерирует бесповторное выходное слово длины г. Показатель бесповторности инициального автомата А3 определим как показатель бесповторности выходной последовательности при начальном состоянии в Е Б и обозначим игр А8. Показателем бесповторности автомата А назовём игр А = шт{игр А^}.
2. Примеры г-бесповторных автономных автоматов А = (£, У, Н, f)
1. Пусть Б = Уп,0, У = У-, Л — подстановка двоичного линейного регистра левого сдвига с примитивным характеристическим многочленом, f (у1,... ,уп) = (у1,... ,уг), г ^ п. Автомат генерирует г-граммы линейной рекуррентной последовательности Х^ (порядка п) максимального периода. Следовательно, игр Х^ = 2п — 1 при г ^ п.
2. Пусть Б = УП, У = У-, Л — полноцикловая подстановка двоичного нелинейного регистра сдвига длины п, f(у1,...,уп) = (у1,...,уг), г ^ п. Автомат генерирует г-граммы нормальной рекуррентной последовательности (де Брейна). Отсюда игр Х^ = 2п при г ^ п.
Для построения ключевого расписания r-раундового блочного шифра без слабых ключей представляет интерес построение r-бесповторного автомата, где Л > l ^ r, r ^ 32 (здесь Л — длина основного бинарного ключа, l — длина раундовых бинарных ключей). Для построения такого автомата рассмотрим криптографический генератор «1-2 шага».
3. Криптографический генератор «1-2 шага»
Рассмотрим автономный автомат A = (V^,o х Vm,o, Vm,o, h, с множеством состояний Vn,o х Vm,o, выходным алфавитом Vm,o, функцией переходов h и функцией выходов -0. При состоянии автомата s = (yi,... ,yn, xi,..., xm) выполнено ^(s) = = (xi,...,xm) и h(s) = (i(yi,... , yn),ga+i(xi,... , xm)), где ô и g суть подстановки, реализуемые ЛРСшах-n и ЛРСшах-m соответственно, a = f (yi,... ,yn), f — равновероятная булева функция, в простейшем случае f (yi,... ,yn) = yn. Таким образом, «продвижение» генерирующего ЛРСшах-m в состоянии s равно a +1, то есть 1 или 2 в зависимости от знака a, выработанного управляющим ЛРСшах-n. После 2n — 1 тактов «продвижение» генерирующего ЛРСшах-m равно т = 2n + 2n-i — 1 — f (0,... , 0) при любом начальном состоянии s G Vn,o х Vm,o.
Обозначим: X^(s) — выходная последовательность автомата A при начальном состоянии s; X^(s,t) — подпоследовательность последовательности X^(s), составленная из первых t символов. Известно [1, с. 317], что длина периода последовательности X^(s) равна t = (2n — 1)(2m — 1)/a при любом начальном состоянии s, где a = (т, 2m — 1).
Теорема 1. При любом начальном состоянии s последовательность X^(s, 2m-i) автомата A является бесповторной.
Справедливость теоремы следует из того, что X^(s, 2m-i) есть бесповторная выборка (размера 2m-i) с переменным шагом 1 — 2 из периодического отрезка последовательности состояний ЛРСшах-m.
Отметим, что на основе автомата A можно построить ключевое расписание, удовлетворяющее указанным требованиям. Для этого следует положить: состояние s — основной ключ, длина основного бинарного ключа Л = m + n, длина раундовых бинарных ключей l = m, где m > 5. Тогда при любом числе раундов r ^ 32 выполнено условие бесповторности последовательности раундовых бинарных ключей. В частности, параметры ключевого расписания алгоритма DES достигаются при m = 48, n = 8, а параметры ключевого расписания алгоритма ГОСТ 28147-89 — при m = 32, n = 224.
ЛИТЕРАТУРА
1. Фомичев В. М. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010.
424 c.
