ЛИТЕРАТУРА
1. Кяжин С. Н., Фомичев В. М. Локальная примитивность графов и неотрицательных матриц // Прикладная дискретная математика. 2014. №3(25). С. 68-80.
2. Фомичев В. М., Кяжин С. Н. Локальная примитивность матриц и графов // Дискрет. анализ и исслед. операций. 2017. Т. 24. №1. С. 97-119.
3. Фомичев В. М., Задорожный Д. И., Коренева А. М., Лолич Д. М., Юзбашев А. В. Об алгоритмической реализации з-боксов // Проблемы информационной безопасности. Компьютерные системы. 2017 (в печати).
УДК 519.1 Б01 10.17223/2226308X710/40
О СВОЙСТВАХ ТРЁХКАСКАДНОГО ГЕНЕРАТОРА С ПЕРЕМЕЖАЮЩИМСЯ ШАГОМ, ПОСТРОЕННОГО НА ОСНОВЕ СХЕМЫ ДВИЖЕНИЯ «СТОП-ВПЕРЁД»1
В. М. Фомичев, Д. М. Колесова
Посчитан ряд характеристик трёхкаскадного генератора гаммы с перемежающимся шагом (схема движения «стоп-вперед»), где первый управляющий каскад построен на основе регистра сдвига с линейной обратной связью (ЛРС) длины п, второй управляющий каскад — на основе двух ЛРС длин т и ц, третий генерирующий каскад — на основе двух ЛРС длин г и р. Если все ЛРС имеют примитивные характеристические многочлены и числа п, т, ц, г, р попарно взаимно простые, то длина периода £ гаммы генератора равна (2п — 1)(2т — 1)(2М — 1)(2Г — 1)(2Р — 1). Циклическая группа генератора порядка £ порождается подстановкой множества состояний, реализуемой за один такт, и содержит линейную подгруппу порядка (2Г — 1)(2Р — 1). Получены значения локальных г, (р+1)-экспонентов перемешивающего орграфа генератора, г = 1,... ,р, где р = п+т+ц+г+р, из которых следует, что длину «холостого хода» генератора целесообразно определить не меньше, чем тах{п + 2, тах(т, ц) + 1, тах(г, р)}.
Ключевые слова: генератор гаммы, регистр сдвига с линейной обратной связью, длина периода гаммы, перемешивающие свойства, локальная примитивность орграфа.
Введение
Генераторы гаммы с неравномерным движением, активно исследуемые как в России, так и за рубежом [1, гл. 18], относительно просто реализуются и обладают рядом положительных криптографических свойств: большая длина периода, высокая линейная сложность и др. К этому классу относятся двухкаскадные генераторы с перемежающимся шагом, построенные на основе двух генераторов «стоп-вперед». Для их обобщения — трёхкаскадных генераторов с перемежающимся шагом — получен ряд свойств.
1. Функционирование трёхкаскадного генератора с перемежающимся шагом
Первый управляющий каскад есть фильтрующий генератор на базе ЛРС-х длины п и фильтрующей функции f(х\,...,хп), генерирующий управляющую гамму {^г,х : я = 1, 2,... }. Второй управляющий каскад состоит из ЛРС-у и ЛРС-г соответственно длины т (номера ячеек п + 1,..., п + т) и ^ (номера ячеек п + т + 1, ...,
1 Работа первого автора выполнена в соответствии с грантом РФФИ №16-01-00226.
100
Прикладная дискретная математика. Приложение
п + т + которые управляются гаммой (7г,х : г = 1, 2,... } и управляют третьим каскадом с помощью последовательности сумм знаков 7г,у Ф 7м, снимаемых с ячеек п + т ЛРС-у и п + т + ^ ЛРС-х соответственно. Третий генерирующий каскад состоит из ЛРС-й и ЛРС-^ длин г (номера ячеек п + т + ^ + 1,..., п + т + ^ + г) и р (номера ячеек п + т + ^ + г + 1,... , п + т + ^ + г + р) соответственно, которые управляются последовательностью сумм знаков (7г,у Ф } и вырабатывают знаки 7г,и и 7^, снимаемые с ячейки п + т + ^ + г ЛРС-й и с ячейки п + т + ^ + г + р ЛРС-'У. Сумма этих знаков образует гамму генератора. Все ЛРС имеют примитивные характеристические многочлены. Гамма генератора есть сумма 7г=7г,и Ф 7^, г = 1, 2,...
Схема управления движением: ЛРС-х сдвигается равномерно, на один шаг в каждом такте. Если 7г,х = 1, то ЛРС-у продвигается на один шаг, а ЛРС-х простаивает. Если 7г,х = 0, то ЛРС-у простаивает, а ЛРС-х продвигается на один шаг. Если 7г,у Ф7»,г=1, то ЛРС-й продвигается на один шаг, а ЛРС-^ простаивает. Если 7г,у ф ^^ = 0, то ЛРС-й простаивает, а ЛРС-^ продвигается на один шаг. Считаем, что все регистры левого сдвига.
В криптографических приложениях ключом генератора является, как правило, начальное состояние всех ЛРС.
2. Криптографические свойства трёхкаскадного генератора
Длина периода гаммы. Обозначим дх,ду, д«,^ линейные подстановки множеств состояний соответствующих регистров, (X, у,/, й, V)—начальное состояние генератора. Тогда состояние регистра ЛРС-х в 3-м такте есть дХ-1 (X), 3 = 1, 2,... , дХ(х) = X. Для определения длины периода гаммы посчитаем глубины продвижения регистров ах(г,ж), ау(г,х), аг(г,х), аи(г, X, у,/), аь(г,Х,у/,г) за г тактов при начальном состоянии. ЛРС-х движется равномерно, значит, ах(г,ж) = г, для регистров ЛРС-у и ЛРС-х верно
Оу (г,х) = f (X) + ... + f (дХ-1 (X)), а* (г,х) = г - ау (г,х), г = 1, 2,...
Обозначим в 3-м такте через yj бит, записанный в ячейке п + т ЛРС-у, и через 2] — бит, записанный в ячейке п + т + ^ ЛРС-х. Тогда для регистров ЛРС-й и ЛРС-^ верно
а«(г, X, у, /) = (у1 ф Х1) + ... + (уг Ф х), о^(г,х,у,/) = г - о„(г,ж,у,/).
Пусть для определённости f (0,... , 0) = 0 и f уравновешена. Тогда при любом X Оу (2п - 1, X) = 2п-1, (2п - 1,ж) = 2п-1 - 1.
Если (2т - 1, 2м - 1) = 1, то при г = (2п - 1)(2т - 1)(2м - 1) и любых у , / имеем
Ои((2п - 1)(2т - 1)(2м - 1),X,у,/) = (2п - 1)(2т+м-1 - 2т-1 - 2м-1), о^((2п - 1)(2т - 1)(2м - 1),X,у,/) = (2п - 1)(2т - 1)(2м - 1)--(2п - 1)(2т+м-1 - 2т-1 - 2м-1).
Длина периода управляющей гаммы первого каскада равна 2п - 1, второго — (2п - 1)(2т - 1)(2м - 1).
Теорема 1. Если числа п,т,^,г, р попарно взаимно простые и все ЛРС имеют примитивные характеристические многочлены, то длина периода генератора равна
¿7 = (2п - 1)(2т - 1)(2м - 1)(2Г - 1)(2Р - 1).
Группа генератора. Обозначим: a = yi; b = zi, тогда подстановка g множества состояний генератора (за один такт) имеет вид
g(x,y,z,u,v) = (gx(x),g;(x)(y),gf(x)®1(z),gu®b(u),ga®b®1(v)).
Группа генератора циклическая, порождается подстановкой g(x, у/, /, u, v).
Теорема 2. Подстановка g* является линейной, если и только если число i кратно (2n — 1)(2m — 1)(2М — 1). Отсюда порядок линейной подгруппы группы генератора равен (2r — 1)(2Р — 1).
Перемешивающие свойства трехкаскадного генератора.
Перемешивающие свойства генератора определяются перемешивающим (p + ^-вершинным орграфом Г подстановки g(x, у, /, u, v), где p = n + m + ß + r + р. Орграф Г состоит из вершины p+1 и компонент сильной связности Kx, Ky, Kz, KM, Kv, соединённых дугами. Компонента Kx есть перемешивающий n-вершинный орграф подстановки gx; Ky, Kz, KM, Kv суть перемешивающие орграфы с числом вершин m, ß, r, р подстановок gy, gz,gu,gv соответственно, к которым в каждую вершину добавлена петля (следует из свойств схемы управления «стоп-вперед»). В каждую вершину из Ky U Kz входит дуга, исходящая из каждой вершины множества E(f), где E(f) —множество номеров существенных переменных функции f. В каждую вершину из Ky U Kz входит дуга, исходящая из вершины n + m компоненты Ky и из вершины n + m + ß компоненты Kz (снимаемые с этих ячеек гаммы управляют третьим каскадом). В Г также есть дуги
(Р — Р,Р + 1) и (Р,Р + 1).
Орграф Г не является сильносвязным, но является локально примитивным. Если в Г вершина j достижима из вершины i, то i, j-ехрГ равен длине кратчайшего пути из i в j, проходящего через любую вершину с петлей [2, с. 187]. Отсюда верна Теорема 3. Локальные экспоненты i, (p + 1)-ехрГ равны
n + 2, i = 1,... , n;
i, (p + 1)-ехрГ = ^ max(m,ß) + 1, i = n + 1,... n + m + ß;
max(r, р), i = n + m + ß + 1,..., p.
Из теоремы 3 следует, что длину «холостого хода» генератора целесообразно определить не меньше чем max{n + 2, max(m, ß) + 1, max(r, р)}. Для генераторов с другой схемой перемежающихся шагов результаты аналогичны.
Вывод: криптографические свойства генераторов с перемежающимся шагом усиливаются с ростом числа каскадов.
ЛИТЕРАТУРА
1. Фомичев В. М. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010. 424 c.
2. Фомичев В. М., Мельников Д. А. Криптографические методы защиты информации. В 2 ч. Ч. 1. Математические аспекты. М.: Изд-во Юрайт, 2016. 209 c.