Абсолютно стойкий шифр

Абсолютно стойкий шифр — шифр, характеризующийся тем, что криптоаналитик принципиально не сможет извлечь статистическую информацию относительно выбираемых ключей из перехватываемого шифротекста.

Математически понятие абсолютно стойкого шифра было введено Клодом Шенноном в 1945 году в работе «Математическая теория криптографии».

Пусть ${\displaystyle X}$ и ${\displaystyle Y}$ — алфавиты открытого и шифрованного текста такие, что ${\displaystyle |X|>1,}$ ${\displaystyle |Y|>1,}$ ${\displaystyle |Y|\ge |X|}$.

Шифрование задаётся инъективным отображением ${\displaystyle e_k:X\to Y}$, дешифрование — отображением ${\displaystyle d_k:e_k(X)\to X,}$ ${\displaystyle k\in K=\{1,2,...,n\}}$.

${\displaystyle E=\{e_k,k\in K\},D=\{d_k,k\in K\}}$ — наборы правил шифрования и дешифрования.

Максимальное число ${\displaystyle |E|=n}$ возможных отображений равно количеству размещений из ${\displaystyle |Y|}$ по ${\displaystyle |X|}$ (числу способов выбрать подмножества размером ${\displaystyle |X|}$ в множестве ${\displaystyle Y}$, учитывая порядок элементов).

Возникновение очередного символа ${\displaystyle x\in X}$, выбор ключа ${\displaystyle k\in K}$ (то есть выбор отображения ${\displaystyle e_k}$), получение шифротекста ${\displaystyle y\in Y}$ реализуются с некоторыми вероятностями:

${\displaystyle P(X^l)=\{p_{X^l}(\overrightarrow{x}),\overrightarrow{x}\in X^l\}}$ — распределение вероятностей для открытого текста,

${\displaystyle P(K^l)=\{p_{K^l}(\overrightarrow{k}),\overrightarrow{k}\in K^l\}}$ — распределение вероятностей для комбинации номеров отображений,

${\displaystyle P(Y^l)=\{p_{Y^l}(\overrightarrow{y}),\overrightarrow{y}\in Y^l\}}$ — распределение вероятностей для шифротекста, где

${\displaystyle X^l,K^l,Y^l}$ — декартовы степени множеств ${\displaystyle X,K,Y}$, ${\displaystyle l}$ — количество символов в открытом тексте.

Будем считать, что случайные величины, соответствующие появлению открытого текста ${\displaystyle \overrightarrow{x}}$ и ключа ${\displaystyle \overrightarrow{k}}$, независимыми. Тогда:

${\displaystyle p_{Y^l}(\overrightarrow{y})=\sum _{}{p}_{X^l}(\overrightarrow{x})p_{K^l}(\overrightarrow{k})}$, где сумма ведётся по всем ${\displaystyle \overrightarrow{x}}$ и ${\displaystyle \overrightarrow{k}}$ таким, что ${\displaystyle e_{\overrightarrow{k}}(\overrightarrow{x})=(e_{k_1}(x_1),...,e_{k_l}(x_l){)}^T=\overrightarrow{y}}$.

${\displaystyle E^l,D^l}$ — множества правил шифрования и дешифрования (декартовы степени множеств ${\displaystyle E,D}$).

Учитывая, что не каждая комбинация символов длины ${\displaystyle l}$ из алфавита ${\displaystyle X}$ может появиться в открытом тексте, введём: ${\displaystyle X^{(l)}=\{\overrightarrow{x}:p_{X^l}(\overrightarrow{x})>0\},Y^{(l)}=\{\overrightarrow{y}:p_{Y^l}(\overrightarrow{y})>0\}}$.

Шифр замены с неограниченным ключом — семейство шифров ${\displaystyle S_H=\{S_H^{(l)},l\in \mathbb{N}\}}$, где ${\displaystyle S_H^{(l)}}$ — представляет собой совокупность ${\displaystyle X^{(l)},K^l,Y^{(l)},E^l,D^l,P(X^{(l)}),P(K^l),P(Y^{(l)})}$, при этом ${\displaystyle p_{K^l}(\overrightarrow{k})>0,\mathrm{\forall }\overrightarrow{k}\in K^l}$.

Длина ключа шифра замены с неограниченным ключом совпадает с размером открытого текста ${\displaystyle l}$.

Пусть ${\displaystyle \tilde{K}}$ — конечное множество некоторых ключей (некоторых наборов натуральных чисел). Длина ключа из ${\displaystyle \tilde{K}}$ может быть меньше ${\displaystyle l}$. Для каждого ключа из ${\displaystyle \tilde{K}}$ можно задать правило детерминированного построения ключевого потока ${\displaystyle \overrightarrow{k}=(k_1,...,k_l{)}^T\in K^l}$. Полученный таким образом набор ключевых потоков для всех ключей из ${\displaystyle \tilde{K}}$ обозначим ${\displaystyle K^{(l)}}$. Например, для ключа ${\displaystyle (k_1,...,k_p{)}^T\in \tilde{K},1<p<l}$ в качестве ключевого потока можно взять периодическое повторение этого ключа ${\displaystyle (k_1,...,k_p,k_1,...,k_p,...{)}^T\in K^l}$. Заметим, что ${\displaystyle K^{(l)}\subseteq K^l}$.

Шифр замены с ограниченным ключом — семейство шифров ${\displaystyle S_O=\{S_O^{(l)},l\in \mathbb{N}\}}$, где ${\displaystyle S_O^{(l)}}$ есть та же совокупность, что и для определённого выше шифра с неограниченным ключом, в которой вместо ${\displaystyle K^l}$ и ${\displaystyle P(K^l)}$ используется множество ${\displaystyle K^{(l)}}$ и распределение ${\displaystyle P(K^{(l)})}$.

Пусть ${\displaystyle p_{X^{(l)}|Y^{(l)}}(\overrightarrow{x}|\overrightarrow{y})}$ — вероятность, что было зашифровано сообщение ${\displaystyle \overrightarrow{x}\in X^{(l)}}$ при регистрации шифротекста ${\displaystyle \overrightarrow{y}\in Y^{(l)}}$. Шифр называется абсолютно стойким, если выполнено:

${\displaystyle p_{X^{(l)}|Y^{(l)}}(\overrightarrow{x}|\overrightarrow{y})=p_{X^{(l)}}(\overrightarrow{x})}$ ${\displaystyle \mathrm{\forall }\overrightarrow{x}\in X^{(l)},\mathrm{\forall }\overrightarrow{y}\in Y^{(l)},\mathrm{\forall }l\in \mathbb{N}}$.

Другими словами, апостериорное распределение вероятностей ${\displaystyle P_{X^{(l)}|Y^{(l)}}=\{p_{X^{(l)}|Y^{(l)}}(\overrightarrow{x}|\overrightarrow{y}),x\in X^{(l)},y\in Y^{(l)}\}}$ совпадает с априорным распределением ${\displaystyle P(X^{(l)})}$. В терминах теории информации это означает, что условная энтропия сообщения при известном шифрованном тексте равна безусловной. Знание шифротекста ${\displaystyle \overrightarrow{y}}$ не даёт криптоаналитику никакого полезного знания для получения ${\displaystyle \overrightarrow{x}}$ (расшифровка возможна только полным перебором).

Никакой шифр с ограниченным ключом ${\displaystyle S_O}$ не является совершенным.

Шаблон:Hider Если шифр совершенный, то ${\displaystyle |X|\le |Y|\le |K|}$.

Шаблон:Hider

Шифр с неограниченным ключом ${\displaystyle S_H}$, у которого ${\displaystyle |X|=|Y|=|K|}$ является совершенным тогда и только тогда, когда:

${\displaystyle 1.}$ ${\displaystyle |K(x,y)|=1}$ ${\displaystyle \mathrm{\forall }x\in X,\mathrm{\forall }y\in Y}$, где ${\displaystyle K(x,y)=\{k\in K:e_k(x)=y\}}$, то есть для любого ${\displaystyle x}$ и любого ${\displaystyle y}$ существует только один ключ ${\displaystyle k}$ такой, что ${\displaystyle e_k(x)=y}$;

${\displaystyle 2.}$ ${\displaystyle p_K(k)\equiv p(k)=\frac{1}{|K|}}$ ${\displaystyle \mathrm{\forall }k\in K}$, то есть ключи должны быть равновероятны.

${\displaystyle (\Rightarrow 1)}$

Так как ${\displaystyle |Y|=|K|}$, то из ${\displaystyle |K(x,y)|\ge 1}$ следует, что при ${\displaystyle k_1\ne k_2}$следует ${\displaystyle e_{k_1}(x)\ne e_{k_2}(x)}$ ${\displaystyle \mathrm{\forall }x\in X}$.

${\displaystyle (\Rightarrow 2)}$

Занумеруем ключи следующим образом при фиксированном ${\displaystyle y}$: ${\displaystyle e_{k_j}(x_j)=y,j=\overline{1,|X|}}$. Получим:

${\displaystyle p(x_j)=p(x_j|y)=\frac{p(y|x_j)\cdot p(x_j)}{p(y)}=\frac{p(k_j)\cdot p(x_j)}{p(y)}\Rightarrow p(k_j)=p(y)}$ ${\displaystyle \mathrm{\forall }j=\overline{1,|X|}}$.

${\displaystyle (\Leftarrow 1,2)}$

Используем ту же нумерацию, что и в предыдущем пункте, считая ${\displaystyle y}$ фиксированным. Применяя ${\displaystyle 1}$:

${\displaystyle p(y)=\sum _{(x_j,k_j):e_{k_j}(x_j)=y}p(x_j)\cdot p(k_j)=\frac{1}{N}\cdot {\displaystyle \sum _{j=1}^N}p(x_j)=\frac{1}{N}}$. Применяя ${\displaystyle 1}$ и ${\displaystyle 2}$:

${\displaystyle p(x_j|y)=\frac{p(x_j)\cdot p(y|x_j)}{p(y)}=p(x_j)}$. Получили определение абсолютной стойкости.

Исходя из теоремы Шеннона, правило шифрования шифра замены ${\displaystyle S_H^{(l)}}$ при ${\displaystyle l=1}$, у которого ${\displaystyle |X|=|Y|=|K|}$, можно представить в виде латинского квадрата:

${\displaystyle K/X}$	${\displaystyle x_1}$	${\displaystyle ...}$	${\displaystyle x_{|X|}}$
${\displaystyle k_1}$	${\displaystyle e_{k_1}(x_1)}$	${\displaystyle ...}$	${\displaystyle e_{k_1}(x_{|X|})}$
${\displaystyle ...}$	${\displaystyle ...}$	${\displaystyle ...}$	${\displaystyle ...}$
${\displaystyle k_{|X|}}$	${\displaystyle e_{k_{|X|}}(x_1)}$	${\displaystyle ...}$	${\displaystyle e_{k_{|X|}}(x_{|X|})}$

При равновероятном использовании ${\displaystyle k_1,...,k_{|X|}}$ система будет обладать абсолютной стойкостью. Практической реализацией такой системы, например, является шифр Вернама.

Существуют абсолютно стойкие шифры, для которых количество символов в алфавите ${\displaystyle |X|}$ открытого текста меньше ${\displaystyle |Y|}$. Например:

${\displaystyle X=\{x_1,x_2\},Y=\{1,2,3\},K=\{k_1,..,k_6\}}$

${\displaystyle K/X}$	${\displaystyle x_1}$	${\displaystyle x_2}$
${\displaystyle k_1,p(k_1)=\frac{19}{80}}$	${\displaystyle 1}$	${\displaystyle 2}$
${\displaystyle k_2,p(k_2)=\frac{3}{20}}$	${\displaystyle 1}$	${\displaystyle 3}$
${\displaystyle k_3,p(k_3)=\frac{21}{80}}$	${\displaystyle 2}$	${\displaystyle 1}$
${\displaystyle k_4,p(k_4)=\frac{1}{10}}$	${\displaystyle 2}$	${\displaystyle 3}$
${\displaystyle k_5,p(k_5)=\frac{1}{8}}$	${\displaystyle 3}$	${\displaystyle 1}$
${\displaystyle k_6,p(k_6)=\frac{1}{8}}$	${\displaystyle 3}$	${\displaystyle 2}$

Абсолютная стойкость данного шифра легко проверяется по определению по формуле: ${\displaystyle p(x|y)=\frac{p(y|x)p(x)}{\sum _{x^{\prime }}p(x^{\prime })p(y|x^{\prime })}=\frac{p(x)\sum _{k}p(k)}{\sum _{x^{\prime },k\in K(x^{\prime },y)}p(x^{\prime })p(k)}}$ .

Этот шифр остаётся абсолютно стойким для любого распределения ${\displaystyle P(X)}$.

• Криптографическая стойкость
• Шифрование

• Шаблон:Source
• Шаблон:Книга
• Зубов А.Ю. Криптографические методы защиты информации. Совершенные шифры. Шаблон:М.: Гелиос АРВ, 2005. — 160 с.