Смекни!
smekni.com

Захист інформації (стр. 8 из 15)

які перетворюють повідомлення

у кріптограму
за допомогою ключа шифрування
та навпаки, кріптограму
у повідомлення
за допомогою ключа дешифрування
. Обидві функції, які задають кріптосистему, повинні задовольнити таким вимогам:

функція f(,) та g(,) при відомих аргементах розраховуються просто.

функція g(

,?) при невідомому ключі
розраховується складно.

Передбачається, що ключ дешифрування

невідомий нелегальним користувачам, хоч вони і можуть знати функції f(,) та g(,), а також ключ шифрування
. (Остання умова складає так званий принцип Казиски).

Слід розрізняти три основних вида нападу (атаки) опонентів на кріптограму:

Напад при відомій кріптограмі

.

Напад при відомій частині кріптограми

та повідомлення
, яка відповідає певній частині криптограми, яку отримали при використанні того ж самого ключа (атака при частково відомому відкритому повідомлені).

Напад при відомій криптограмі та спеціально вибраній частині повідомлення, яка відповідає цій частині кріптограми, яку отримали на тому ж ключі (атака з частково вибраними відкритими повідомленнями).

Сучасні кріптосистеми важаються стійкими, якщо вони стійки до всіх трьох атак.

Для кріптосистем, які шифрують повідомлення з невисокими вимогами до ймовірності помилки при передачі (цифрова реч, цифрове зображення), необхідно дати четверту, додаткову вимогу.

Дешифрування після передачі кріптограми по каналам зі спотвореннями не повинно збільшувати число помилок у порівнянні з тим числом помилок, які виникли у каналі зв’язку внаслідок спотворень, іншими словами не повинно відбуватися розмноження помилок.

Пояснемо суть поняття розмноження помилок. Нехай при передачі кріптограми

по каналу зв’язку виникли помилки (див. мал.2.1).

,t

Мал.2.1. Система шифрування-дешифрування.

Місцезнаходження та величина помилок визначаються вектором помилок

. При двоїчній системі передачі прийнята криптограма буде мати вигляд
, де знак Å означає побітне додавання по модуля два, а загальне число помилок t дорівнює нормі векторів помилок
, тобто t=
. Число помилок t’ у розшифрованому повідомлені
підраховується як

(2.2)

Помилки не розмножуються при умові, що t’=t.

Якщо ключ шифрування дорівнює ключу дешифрування, тобто

=
=
, (2.3)

то система називається сіметричною (одноключовою). Тоді у пункти шифрування та дешифрування повинні бути доставлені однакові ключі. Якщо

¹
, то система шифрування називається несіметричною (двоключовою). У цьому випадку ключ
доставляється у пункт шифрування, а
- у пункт дешифрування. Оба ключа повинні бути зв’язані функціональною залежністю
=j(
), але такою, щоб відомому ключу шифрування неможливо було б відтворити ключ дешифрування. Для несиметричних систем шифрування j() повинна бути складно розрахуємою функцією. У такій системі є можливість секретним чином розподіляти серед законних користувачів тільки їх ключі дешифрування, а ключі шифрування зробити відкритими та оприлюднити, наприклад у загальнодоступному довіднику. Розглядаєма система тому називається системою з відкритим (загальнодоступним) ключом
. Кріптосистема з загальнодоступним ключом (Publickeycriptosystem) була вперше запропанована Діффі та Хелманом у 1978р.

У цій частині курсу будуть розглядатися тільки одноключові системи.

2.3 Особливі крітерії стійкості кріптосистем

Існують два основних класа стійкості кріптосистем:

Ідеально (безумовно) стійкі, або досконалі системи, для яких стійкість кріптоаналізу (дешифрування) без знання ключа не залежить від розрахункової потужності опонента. Ми будемо називати їх теоретично недешифруємими.

Розрахунково стійкі системи, у якіх стійкість кріптоаналізу залежить від розрахункової потужності опонента.

Система є теоретично недешифруємою, якщо будь-яка криптограма

, отримана у ній, при відсутності знання про ключ
, не містить ніяких відомостей про повідомлення
, зашифроване у цю кріптограму. У відповідності з терією інформації це має місце, коли (при відсутності відомостей про ключ) дорівнює нулю взаємна інформація між численністю повідомлень М та численністю кріптограм Е, тобто І(Е, М) =0, де І(Е, М) =Н(М) - Н(М/Е), Н(м) - ентропія джерела повідомлень, Н(М/Е) - умовна ентропія численності повідомлень М при заданій численності криптограм Е.

При ідеальному шифруванні фактично виникає "обрив канала" від легальних користувачів до опонентів.

Равносильне визначення ідеального шифрування встановлює незалежність будь-якої пари

та
від численності повідомлень та численності кріптограм, тобто тоді, коли умовна ймовірність передачі визначеного повідомлення при отриманні визначеної криптограми залишається завжди рівною апріорній ймовірності передачі цього повідомлення.

(2.4)

З визначення ТНДШ видно, що найкращій засіб кріптоаналізу для такої системи при невідомому ключі дешифрування складається в ігноруванні кріптограми та в випадковому угадуванні повідомлень по відомій апріорно ймовірності.

Розглянемо приклад побудови теоретично недешифруємих систем (див. мал.2.2).

Припустимо, що повідомлення є двоїчною послідовністю

довжини n. Тоді можна формувати кріптограму як двоїчну послідовність такої ж довжини n за наступним правилом:

(2.5)

використовуючи побітне додавання Å з ключем

, який також є двоїчною послідовністю довжини n.

Наприклад,

011001101111010001110

Å

010011110101100110101

___________________________

001010011010110111011

При відомому ключі

, який повинен бути переданий на сторону прийому будь-яким секретним чином,повідомлення легко відновлюється по тій же формулі, по якій прводилося шифрування

(2.6)

Покажемо, що якщо двоїчні елементи ключа вибираються взіємнонезалежними та равноймовірними, то цього достатньо, щоб описана вище система була ТНДШ.

Елементи ключа вибирають незалежно, тому достатньо довести рівність Р(М|Е) =Р(М) для одного елемента. По формулі Бейеса