Аффинный шифр

Аффинный шифр — это частный случай более общего моноалфавитного шифра подстановки. К шифрам подстановки относятся также шифр Цезаря, ROT13 и Атбаш. Поскольку аффинный шифр легко дешифровать, он обладает слабыми криптографическими свойствами^[1].

В аффинном шифре каждой букве алфавита размера ${\displaystyle m}$ ставится в соответствие число из диапазона ${\displaystyle 0..m-1}$. Затем при помощи модульной арифметики для каждого числа, соответствующего букве исходного алфавита, вычисляется новое число, которое заменит старое в шифротексте. Функция шифрования^[2] для каждой буквы

${\displaystyle \text{E}(x)=(ax+b)modm,}$

где модуль ${\displaystyle m}$ — размер алфавита, а пара ${\displaystyle a}$ и ${\displaystyle b}$ — ключ шифра. Значение ${\displaystyle a}$ должно быть выбрано таким, что ${\displaystyle a}$ и ${\displaystyle m}$ — взаимно простые числа. Функция расшифрования^[2]

${\displaystyle \text{D}(x)=a^{-1}(x-b)modm,}$

где ${\displaystyle a^{-1}}$ — обратное к ${\displaystyle a}$ число по модулю ${\displaystyle m}$. То есть оно удовлетворяет уравнению^[2]

${\displaystyle 1=a{a}^{-1}modm.}$

Обратное к ${\displaystyle a}$ число существует только в том случае, когда ${\displaystyle a}$ и ${\displaystyle m}$ — взаимно простые. Значит, при отсутствии ограничений на выбор числа ${\displaystyle a}$ расшифрование может оказаться невозможным. Покажем, что функция расшифрования является обратной к функции шифрования

${\displaystyle \begin{array}{ccc}\text{D}(\text{E}(x))& =& a^{-1}(\text{E}(x)-b)modm\\ & =& a^{-1}(((ax+b)modm)-b)modm\\ & =& a^{-1}(ax+b-b)modm\\ & =& a^{-1}axmodm\\ & =& xmodm.\end{array}}$

Количество возможных ключей для аффинного шифра можно записать через функцию Эйлера как ${\displaystyle \phi (m)m}$^[1].

В следующих примерах используются латинские буквы от A до Z, соответствующие им численные значения приведены в таблице.

В этом примере необходимо зашифровать сообщение «ATTACK AT DAWN», используя упомянутое выше соответствие между буквами и числами, и значения ${\displaystyle a=3}$, ${\displaystyle b=4}$ и ${\displaystyle m=26}$, так как в используемом алфавите 26 букв. Только на число ${\displaystyle a}$ наложены ограничения, так как оно должно быть взаимно простым с 26. Возможные значения ${\displaystyle a}$: 1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23 и 25^[3]. Значение ${\displaystyle b}$ может быть любым, только если ${\displaystyle a}$ не равно единице, так как это сдвиг шифра. Итак, для нашего примера функция шифрования ${\displaystyle y=E(x)=(3x+4)(\mathrm{mod}26)}$. Первый шаг шифрования — запись чисел, соответствующих каждой букве сообщения.

Теперь, для каждого значения ${\displaystyle x}$ найдем значение ${\displaystyle (3x+4)}$. После нахождения значения ${\displaystyle (3x+4)}$ для каждого символа возьмем остаток от деления ${\displaystyle (3x+4)}$ на 26. Следующая таблица показывает первые четыре шага процесса шифрования.

Последний шаг процесса шифрования заключается в подстановке вместо каждого числа соответствующей ему буквы. В этом примере шифротекст будет «EJJEKIEJNESR». Таблица ниже показывает все шаги по шифрованию сообщения аффинным шифром.

Для расшифрования возьмем шифротекст из примера с шифрованием. Функция расшифрования будет ${\displaystyle \text{D}(y)=a^{-1}(y+m-b)\text{ mod }m}$, где ${\displaystyle a^{-1}=9}$, ${\displaystyle b=4}$ и ${\displaystyle m=26}$.

Замечание: если каждая ${\displaystyle y⩾b}$, то функция расшифрования принимает вид ${\displaystyle \text{D}(y)=a^{-1}(y-b)\text{ mod }m}$. (Точно так же, как и в обозреваемом примере, но разберём общий вариант)

Для начала запишем численные значения для каждой буквы шифротекста, как показано в таблице ниже.

Теперь для каждого ${\displaystyle y}$ необходимо рассчитать ${\displaystyle 9(y+m-4)}$ и взять остаток от деления этого числа на 26. таблица показывает результат этих вычислений.

Последний шаг операции расшифрования для шифротекста — поставить в соответствие числам буквы. Сообщение после расшифрования будет «ATTACKATDAWN». Таблица ниже показывает выполнение последнего шага.

programming language

Так как аффинный шифр является по сути моноалфавитным шифром замены, то он обладает всеми уязвимостями этого класса шифров. Шифр Цезаря — это аффинный шифр с ${\displaystyle a=1}$, что сводит функцию шифрования к простому линейному сдвигу^[1].

В случае шифрования сообщений на русском языке (т.е. ${\displaystyle m=33}$) существует 297 нетривиальных аффинных шифров, не учитывая 33 тривиальных шифра Цезаря. Это число легко посчитать, зная, что существует всего 20 чисел взаимно простых с 33 и меньших 33 (а это и есть возможные значения ${\displaystyle a}$). Каждому значению ${\displaystyle a}$ могут соответствовать 33 разных дополнительных сдвига (значение ${\displaystyle b}$); то есть всего существует 20*33 или 660 возможных ключей. Аналогично, для сообщений на английском языке (т.е. ${\displaystyle m=26}$) всего существует 12*26 или 312 возможных ключей^[3]. Такое ограниченное количество ключей приводит к тому, что система крайне не криптостойка с точки зрения принципа Керкгоффса.

Основная уязвимость шифра заключается в том, что криптоаналитик может выяснить (путём частотного анализа^[4], полного перебора^[1], угадывания или каким-либо другим способом) соответствие между двумя любыми буквами исходного текста и шифротекста. Тогда ключ может быть найден путём решения системы уравнений^[4]. Кроме того, так мы знаем, что ${\displaystyle a}$ и ${\displaystyle m}$ — взаимно простые, это позволяет уменьшить количество проверяемых ключей для полного перебора.

Преобразование, подобное аффинному шифру, используется в линейном конгруэнтном методе^[5] (разновидности генератора псевдослучайных чисел). Этот метод не является криптостойким по той же причине, что и аффинный шифр.

Шаблон:Примечания