Andrej Winokurow. Wie die Blockchiffre veranstaltet ist?

Im gegenwärtigen Artikel werden Sie die Beschreibung der traditionellen Architektur der Konstruktion der Blockchiffren, bildend bekanntester der modernen nicht geheimen Chiffren, solcher, wie die Russischen und amerikanischen Standards der Chiffrierung finden. Der Artikel war eben 3 Jahre rückwärts geschrieben – der Autor hat sie in der ersten Hälfte des April 1995 beendet, aber aus verschiedenen Gründen dann konnte nicht veröffentlichen. Damals fehlten die Informationen über die Architektur der klassischen Blockchiffren in der Russischen offenen Presse tatsächlich, und die russischsprachige Terminologie auf diesem Gebiet befand sich noch im Stadium des Entstehens. Für die gehende seit dieser Zeit Zeit ist die riesige Zahl der Materialien nach dem besprochenen Thema erschienen, deshalb heute kann der Artikel ein wenig naiv scheinen. Jedoch hätte ihre gründliche Umarbeitung zu viel Zeit eingenommen, es ist einfacher, den neuen Artikel zu schreiben, und deshalb hat sich der Autor parallel mit dieser Arbeit entschieden, die laufende Version mit den unbedeutenden Veränderungen zu veröffentlichen. Der Artikel vermutet die vorläufige Bekanntschaft des Lesers mit der Kryptographie nicht, enthält die ausreichende Zahl der mathematischen Formelen jedoch und meint den Besitz vom entsprechenden mathematischen Apparat.

Die Einleitung

Zu Ende gehend 20 Jahrhundert ist Jahrhundert nicht nur der Elektrizität und des Atomes, in noch kann es большей die Stufen das beanspruchen, um vom Jahrhundert der totalen Informatisierung und der Computerisierung der Gesellschaft zu heißen. Mit dem das Moment, wenn in seiner Mitte erschienen sind haben und die Siegesprozession nach dem Planeten der Einrichtung für die Bearbeitung der Zahlenangaben – die Computer begonnen, es ist die Industrie der Produktion, der Bearbeitung und des Konsums der Informationen entstanden, die ein untrennbarer Bestandteil unseres Lebens zur Zeit wurde. Jetzt hat über das technologische Niveau der Staaten den Sinn, nicht nach der Menge des ausgeschmolzenen pro Kopf der Bevölkerung Stahls oder der hergestellten Vollerntemaschinen für die Ernte der Zuckerrübe, und nach die vereinte Macht aller Rechenmittel, die auf einen Bewohner des Landes fallen zu richten.

Von der Wichtigkeit der Informationen in der modernen Welt zeugen die folgenden Tatsachen am vorbildlichsten: Erstens kann der Besitz mit einem bestimmten Zahlencode den Zugang seinem Besitzer zu den bedeutenden Materialwerten und den Dienstleistungen öffnen – solche Lage der Sachen ist dank dem vorhanden, dass die Informatisierung der Gesellschaft von der Seite die bankowsko-finanzielle Sphäre nicht umgegangen ist. Zweitens hat sich gebildet und ungewöhnlich ist die Industrie der informativen Dienstleistungen erstarkt – die Informationen wurden eine gewöhnliche Ware, das heißt vom Objekt des Kaufhandels. Viele Firmen kommen nur dank dem voran, was wichtig für ihre Tätigkeit der Nachricht aller für einige Stunden oder der Tage früher als die Konkurrenten bekommen können. In dritten, nach den Schätzungen der ausländischen Ökonomen würde der bedeutende Anteil der westlichen Firmen in der Strömung einiger Tage nach der Verbreitung der kritisch wichtigen Informationen, ihrer bildenden Tätigkeit zerstört.

Der besondere, immaterielle Charakter der Informationen macht ihr außerordentlich leichtes Kopieren und die Modifizierung, infolge wessen sie ein verführerisches Objekt der verschiedenen Missbraüche wird. Außerdem ist ziemlich typisch die Situation, wenn die irgendjemandem nötigen Informationen ihre Besitzer nicht zugestimmt hätten für welches Geld zu verkaufen, und die einzige Weise ist sie, zu bekommen zu stehlen. Die angegebenen Gründe haben zum Entstehen eines ganzen Zweiges der menschlichen Tätigkeit gebracht, deren Hauptbestimmung – die Informationen in beliebigen möglichen und unmöglichen Weisen zu erwerben, – endlich ist, es handelt sich um die Untersuchung. Der Beruf des Spions neben anderen, ist von allem bekannt schön, ist einer altertümlichst auf dem Planeten. Andererseits, die Statistik zeugt unerbittlich, dass der immer größere Anteil aller Verbrechen in der Sphäre der Informationstechnologien von "den Weißen" und “den blauen Hemdkragen”, verwendend die "Breschen" der informativen Systeme in den persönlichen Zielen geschieht. Wirklich jetzt, um die Bank zu berauben, man muss die Wände der Aufbewahrungsorte nicht brechen und, vom Gasbrennschneiden die Safes schneiden, es ist genügend, den Kode erkennen, der den Zugang auf einen der Bankrechnungen verwaltet. Aller, dass dazu gefordert wird, ist ein Computer und der Zugang auf das Banknetz, also, und natürlich, etwas des grauen Stoffes in der Hirnschale. Traurig, aber die Tatsache – die Zahl der Verbrechen mit der Nutzung "der Spitzentechnologien" wächst im schnellen Tempo.

Die hohe Verwundbarkeit der Informationstechnologien zu verschiedenem злоумышленным den Handlungen hat die scharfe Notwendigkeit in den Mitteln der Gegenwirkung ihm bewirkt, was zum Entstehen und der Entwicklung des Gebietes des Schutzes der Informationen (ЗИ) wie des untrennbaren Bestandteiles der informativen Industrie gebracht hat. Die altertümlichste Aufgabe der Sphäre ЗИ ist der Schutz der übergebenen Mitteilungen vor dem unbefugten Bekanntmachen mit ihrem Inhalt, es gibt die Zeugnisse des Verständnisses von den Menschen dieses Problems noch in bis zu-antik die Zeiten – in altertümlichem Ägypten und Babylon, und die Informationen über die Weisen ihrer Lösung in der Klassik sind bis zu uns in Form von den Verbannungen auf sogenannt “der Kode des Cäsaren” – die Elementarchiffre, die zuerst von Julij Zesarem verwendet wird, und nachher und anderen Römischen Kaiser, für den Schutz der Korrespondenz vor den überflüssig neugierigen Augen angekommen. Jedoch war bis zur neuen Zeit тайнопись nicht Handwerk, und der Kunst, auch als sich die Wissenschaft, die Kryptographie nur im gegenwärtigen Jahrhundert gebildet hat. Aber noch lange Zeit danach шифровальные waren die Abteilungen Ausnahmeprärogativ diplomatisch und der Aufklärungsdienste, die Situation hat sich nur in die letzten Jahrzehnte kardinal geändert.

Zur Zeit vereinigt den Begriff “der Schutz der Informationen” in sich eine Menge der am meisten verschiedenen Bedeutungen – von der Reservierung einer Ernährung für den Schutz der Informationen vor der Zerstörung bei den möglichen Störungen im Versorgungsnetz und der Wachmänner in den Türen des Computersaals, die den Eingang der nebensächlichen Personen und das Hinaustragen die Mitarbeiter der Träger der Informationen behindern, bis zu den Generatoren der Störungen, die die die Informationen forttragenden Ausstrahlungen "betäuben". Aus der ganzen Mannigfaltigkeit der Methoden ЗИ uns mit Ihnen interessieren nur, die mit den Charakteristiken ihrer materiellen Träger auf keine Weise verbunden sind, und sind auf der Manipulation von den Informationen gegründet und verwenden nur ihre immanenten Eigenschaften. Dieses Gebiet ЗИ heißt криптографической vom Schutz der Informationen und erlebt jetzt den gegenwärtigen Boom. Es ist die große Menge der Aufgaben, die sich zur Sphäre ЗИ verhalten für heute bekannt, – ist solcher Überfluss davon bedingt, dass sich die informativen Wechselwirkungen, entwickelnd, erwerben den immer mehr komplizierten Charakter, es werden vielfältiger und fein die Drohungen zu ihrer Seite entsprechend, und es bringt zum Entstehen der neuen Aufgaben seinerseits. Wenn früher alle Bedürfnisse nach dem Schutz der Informationen auf die Versorgung der Geheimhaltung und der Authentizität der übergebenen Mitteilungen, das heißt zu ihrem Schutz vor der Lektüre und dem Korrigieren von den nebensächlichen Personen zurückgeführt wurden, so ist es viel большее die Zahl der Probleme jetzt aktuell. Unter den neuen Aufgaben werden wir nur zwei, bekanntest bemerken: der Versand der geheimen Schlüssel nach den schutzlosen Kanälen der Verbindung (der offenen Verteilung der Schlüssel) und die Bestätigung der Urheberschaft der Mitteilungen (die digitale Unterschrift). Und es existiert die große Menge weniger bekannt, aber nicht weniger als wichtige Aufgaben doch.

Entsprechend den Klassen der entschiedenen Aufgaben zur Zeit haben sich zwei Gebiete der Kryptographie gebildet: klassisch, oder die Kryptographie mit dem geheimen Schlüssel, und modern, oder die Kryptographie mit dem offenen Schlüssel. Die Geschichte von erstem zählt die Jahrtausende auf, während zweiter das offizielle Alter noch für drei Zehn der Jahre nicht überschritten hat. Kurz werden wir auf die Unterschiede zwischen ihnen stehenbleiben.

1.    Die klassische und moderne Kryptographie.

Klassisch, oder die Ein-Schlüsselkryptographie entscheidet tatsächlich nur zwei Aufgaben: den Schutz der übergebenen Mitteilungen vor dem Durchlesen und vor der Modifikation von den nebensächlichen Personen. Sie stützt sich auf die Nutzung der symmetrischen Algorithmen der Chiffrierung, in die sich für - und расшифрование nur durch die Ordnung der Ausführung und die Richtung einiger einfacher Schritte unterscheiden. Diese Algorithmen verwenden ein und derselbe geheime Element (den Schlüssel), und die zweite Handlung (расшифрование) ist eine einfache Behandlung erstes (зашифрования). Deshalb kann jeder der Teilnehmer des Austausches wie, zu chiffrieren, als auch, die Mitteilung zu entziffern. Infolge des großen Überschusses der natürlichen Sprachen ist es unmittelbar zur chiffrierten Mitteilung außerordentlich schwierig, die bewusste Veränderung beizutragen, deshalb die klassische Kryptographie gewährleistet auch den Schutz vor dem Aufzwingen der falschen Daten. Wenn es sich dem natürlichen Überschuss ungenügend für den sicheren Schutz der Mitteilung vor der Modifikation zeigt, kann sie mittels der Ergänzung zu ihm der speziellen Kontrollkombination künstlich vergrössert sein, die имитовставкой genannt wird.

Das klassische Schema der Chiffrierung arbeitet sehr gut, bis es zwischen den Teilnehmern des informativen Austausches das gegenseitige Vertrauen gibt. Wenn es es nicht gibt, so können verschiedene Kollisionen entstehen, da es wegen der vollen Symmetrie des Schemas im Falle des Konfliktes zwischen den Seiten für den unabhängigen Beobachter keine Möglichkeit gibt die eindeutige Schlussfolgerung, wen aus zwei Teilnehmern der Rechte zu ziehen. Wirklich, der Empfänger kann die chiffrierte Mitteilung selbst herstellen und dann, zu erklären, dass es von ihm vom gesetzlichen Absender bekommen ist, und jener kann, seinerseits auf die Urheberschaft der übergebenen ihm tatsächlich Mitteilung verzichten, erklärt, dass es es сфабриковал der Empfänger, das Wohl die entsprechende Möglichkeit dabei gibt. Für diese Fälle kann das unabhängige Schiedsgericht, zu dessen Funktionen die Beilegung der Konflikte zwischen den Teilnehmern des informativen Prozesses gehört, nicht bestimmen, wen von ihnen der Rechte, und wen es – nicht gibt. Die gebrachte Tatsache bedeutet, dass betrachtet криптографическая das Schema nicht eindeutig zu bestätigen erlaubt oder, die Urheberschaft der Mitteilung zu widerlegen. Außerdem braucht dieses Schema den speziellen Dienst, der sich mit der Herstellung der geheimen Schlüssel und mit der Zustellung ihren Teilnehmern des informativen Austausches beschäftigt. Natürlich, wenn die Teilnehmer des Austausches aller zwei, so ist das Problem klein – die Rolle solchen Dienstes einen von ihnen oder sogar beider sie abwechselnd erfüllen kann. Aber wenn das System Hundert oder sogar Tausende verbundener untereinander Knoten der Bearbeitung der Informationen aufzählt, es ist das kleine Problem wächst in den großen Kopfschmerz.

Der Widerspruch zwischen den Beschränkungen der klassischen Kryptographie und den ständig entstehenden neuen Aufgaben hat dazu, dass in der zweiten Hälfte der siebzigsten Jahre das grundsätzlich neue Herangehen entwickelt war, zulassend gebracht, wie die obengenannten Probleme, als auch die große Zahl andere zu entscheiden. Zur Grundlage hat die Eröffnung sogenannt asymmetrisch криптоалгоритмов gedient, oder der Methoden, in die die Prozeduren gerade und rückgängig криптопреобразования auf verschiedenen Schlüsseln erfüllt werden haben untereinander die offensichtlichen und leicht verfolgten Beziehungen nicht, die nach einem Schlüssel zugelassen haben, anderen zu bestimmen. In solchem Schema lässt das Wissen den Schlüssel зашифрования nur nicht zu, die Mitteilung zu entziffern, deshalb er ist kein geheimes Element der Chiffre und gewöhnlich wird vom Teilnehmer des Austausches veröffentlicht damit ein beliebiger Interessent ihm die chiffrierte Mitteilung schicken konnte.

Wie wir sehen, lässt die moderne Kryptographie zu, viel mehr eine breite Palette der Aufgaben, als die Kryptographie klassisch zu entscheiden. Früh morgens ihrer Entwicklung sprachen sich sogar die Meinungen aus, dass sie für etwas Jahre die Vorgängerin vollständig verdrängen wird, jedoch ist es seiner aus den folgenden Gründen nicht geschehen: Erstens werden die Algorithmen mit dem geheimen Schlüssel wie программно viel einfacher realisiert, als auch аппаратно, infolge wessen bei den identischen Charakteristiken der Produktivität und der Standhaftigkeit die Komplexität, so und der Preis der Hardware, die die Chiffre mit dem offenen Schlüssel realisieren als der Preis der Apparatur, die die klassische Chiffre realisiert merklich höher ist, und bei der Programmrealisierung auf einem und derselbe Typ des Prozessors arbeiten die Einschlüsselchiffren schneller Zweischlüssel-. Zweitens ist die Zuverlässigkeit der Algorithmen mit dem offenen Schlüssel viel schlechter zur Zeit rechtfertigt, als es keine Zuverlässigkeit der Algorithmen mit dem geheimen Schlüssel und der Garantie gibt, dass nach einer Weile sie nicht geöffnet sein werden, wie es mit криптосистемой, gegründet auf der Aufgabe über das Verpacken ранца erhalten wurde. Deshalb für die Organisation der chiffrierten Verbindung zur Zeit werden die außerordentlich klassischen Chiffren verwendet, und die Methoden der modernen Kryptographie werden nur dort verwendet, wo sie, das heißt für die Organisation verschiedener kniffeliger Protokolle als die digitale Unterschrift, der offenen Verteilung der Schlüssel und des Spieles ins Pokerspiel nach der Korrespondenz nicht arbeiten. Da asymmetrisch криптографические die Algorithmen kein Thema des gegenwärtigen Artikels sind, wird der Autor mehr darauf nicht stehenbleiben. Der interessierte Leser kann ihre Beschreibung und die Erörterung in der großen Menge der Quellen, zum Beispiel, in [1,3,4,8] finden.

Man muss bemerken, dass zur Zeit die bedeutende Zahl der wissenschaftlichen und populären Arbeiten nach der modernen Kryptographie veröffentlicht wird, während die nicht zahlreichen Publikationen, in die die klassischen Chiffren betrachtet werden, hauptsächlich oder den Fragen der Geschichte der Kunst тайнописи gewidmet sind, oder enthalten die Beschreibung der konkreten Algorithmen ohne Forschung der Grundprinzipien, die in ihrer Grundlage liegen. Solche Lage der Sachen einerseits, ist Tribut der Mode, und mit anderem – die Folge übermäßig засекреченности der klassischen Kryptographie jedenfalls normal es darf man nicht nennen. Gerade deshalb in der gegenwärtigen Arbeit hat sich der Autor entschieden, über die Grundprinzipien der Konstruktion криптоалгоритмов mit dem geheimen Schlüssel, genauer, einer seiner Klassen, die von den Blockchiffren genannt werden, auf dem genug einfachen Niveau zu erzählen, damit der Artikel nicht dem sehr vorbereiteten Leser, und gleichzeitig mit der notwendigen Strenge klar war. Es gibt keine Notwendigkeit detailliert, die Vorzüge der im Artikel betrachteten Prinzipien der Konstruktion der Algorithmen der Chiffrierung zu bemalen, es ist genug nur zu sagen, dass sie zwei in Russland bekanntesten Chiffren aus der Zahl stärkest, oder, wenn Ihnen so, zwei stärkesten Chiffren aus der Zahl bekanntest – der Russischen und amerikanischen Standards der Chiffrierung, der Algorithmen ГОСТ 28147-89 und DES grösser gefällt , sowie der großen Zahl der weniger bekannten und\oder weniger starken Chiffren bilden . Wir werden unmittelbar zu ihrem Studium übergehen.

2.    Die Hauptbegriffe.

Es existieren etwas Prinzipien der Konstruktion криптоалгоритмов mit dem geheimen Schlüssel – unterscheiden потоковые und die Blockchiffren, man kann die Klassifikation und nach anderen Merkmalen durchführen. Um über alle möglichen Typen der Chiffren der gegebenen Klasse erzählen muss man nicht den Artikel, und das ziemlich umfangreiche Buch oder sogar die etwas Bücher zu schreiben. Deshalb wird der Autor объять unermesslich nicht versuchen, eben wird im vorliegenden Artikel von der Erzählung über die Architektur beschränkt werden, die in den Russischen und amerikanischen Standards der Chiffrierung verwirklicht ist – bei allem diese die Unterschiede sind sie wie die Brüder, wenn auch sogar nicht die Zwillinge ähnlich. Die dargelegten im Artikel mag sein, Nachrichten werden den Leser mit dem wissbegierigen Verstand zur Bildung der eigenen Chiffre begeistern – darin gibt es nichts unmöglich, doch hat die Kryptographie in die letzten Jahre solche Erfolge erreicht, dass sich jetzt sogar die in der Wissenschaft am wenigsten entwickelten Länder, ganz zu schweigen von den grossen blühenden Firmen aus den entwickelten Staaten, gönnen können, die tatsächlich nicht geöffnete Chiffre zu schaffen. Jenem gibt es das helle Beispiel – der amerikanische Standard der Chiffrierung (DES) war von der Firma IBM für die eigenen Bedürfnisse ursprünglich entwickelt, und nur war dann, nach einigen Überarbeitungen, als föderaler Standard der USA [2] übernommen. Die Errungenschaften der modernen Kryptographie lassen zu, die so volle Vertraulichkeit bei der Bearbeitung der Informationen zu gewährleisten, dass sich sogar die am meisten eifrigen Verfechter приватности und die Nichteinmischungen des Staates in die Personalakten der Bürger vor ihren Folgen fürchten. So werden vom Kongress der USA die Gesetzgebungsakte betrachtet, die die Anwendung криптографических die Mittel nur unter Kontrolle der entsprechenden Dienste erlauben. Dabei sollten alle Prozeduren des Austausches von den chiffrierten Mitteilungen so gebaut werden was bei Notwendigkeit des Sonderdienstes nach der Lösung der gerichtlichen Organe sie dechiffrieren konnten. Es ist möglich, dass es bald früher genug ist es wird die Sache und bei uns ankommen. In dieser Richtung sind etwas Schritte schon gemacht – lesen Sie die Verordnung des Präsidenten Russlands №334 vom 3. April 1995 "Über die Maße nach der Beachtung der Gesetzlichkeit auf dem Gebiet der Entwicklung, der Produktion, der Realisierung und des Betriebes шифровальных der Mittel, sowie der Überlassung der Dienstleistungen auf dem Gebiet der Chiffrierung der Informationen", die tatsächlich feststellende staatliche Kontrolle über die Entwicklung und die Nutzung der Mittel криптозащиты die Informationen. Der Zweifeln dabetreffs, woher "die Ohren wachsen”, sein kann nicht – ФАПСИ ist es beabsichtigt, Monopolist auf diesem sehr attraktiven Markt der Apparate, der Programme und der Dienstleistungen zu sein, und der Staat will nicht, dass seine Bürger die Geheimnisse von ihm haben.

Wir werden zum Wesen des Problems zurückkehren: also, wenn auch zwei Seiten, die wir als die gesetzlichen Teilnehmer des Austausches von den Informationen nennen werden, versuchen, die geheime Verbindung einzustellen. Von ihnen ist ein Absender, und anderer – ein Empfänger der Mitteilung, obwohl, natürlich, in den realen Situationen diese Rollen hinter den Teilnehmern hart nicht gefestigt sind und jedem von ihnen muss man wie vom Absender, als auch dem Empfänger sein. Die Aufgabe des Absenders besteht darin, dem Empfänger die Mitteilung T zu bilden und abzusenden. Die Aufgabe des Empfängers besteht darin, dass die geschickte Mitteilung zu bekommen und seinen Inhalt zu verstehen. Damit ein nur der Empfänger in den Inhalt der Mitteilung eingeführt werden konnte, muss der Absender es laut einigem Algorithmus E so was auch immer wer, mit Ausnahme des gesetzlichen Empfängers umwandeln und, kann sein, konnte des Absenders, es in der vorigen Art nicht wieder herstellen. Diese Umgestaltung heißt зашифрованием die Mitteilungen T sonst was infolge dieser Prozedur erhalten wird, heißt шифротекстом T '. Die Verbindung zwischen dem Ausgangstext T, шифротекстом T ' und dem Algorithmus зашифрования E kann mit Hilfe der nächsten Formel symbolisch geäußert sein: T ' = E (T). Die chiffrierte Mitteilung T ' wird vom Absender dem Empfänger nach dem Kanal der Verbindung übergeben. Damit der gesetzliche Empfänger in den Inhalt der bekommenen Mitteilung eingeführt werden konnte, soll er es vorläufig entziffern, das heißt zu шифротексту T ' den Algorithmus расшифрования D zu verwenden, als dessen Ergebnis die Ausgangsmitteilung T wieder hergestellt sein wird. So verwirklicht sich расшифрование der Daten laut der Angleichung T = D (T '). Um die Geheimhaltung der Verbindung zu gewährleisten, soll der Algorithmus расшифрования den nebensächlichen Personen nicht bekannt sein, da seine Geheimhaltung die Geheimhaltung der organisierten so Verbindung bestimmt.

In unserer Situation ist die dritte Seite anwesend, die laut der ausgeprägten Tradition vom Übeltäter genannt wird, die wünscht, der Verwirklichung der Absichten der gesetzlichen Teilnehmer des Austausches zu hindern. Für den am meisten allgemeinen Fall in der Darbietung der Absichten kann der Übeltäter die chiffrierten Mitteilungen auffangen und, сфабрикованные ihnen selbst die Mitteilungen einen der Seiten im Namen anderen schicken. Natürlich, er besitzt den Algorithmus расшифрования nicht – in diesem Fall wäre alles für ihn äusserst einfach. Der Aufgabenbereich, die versuchen kann криптоаналитик, breiter zu entscheiden als einfach die Entzifferung der Mitteilung – ist diese Aufgaben zählbar, die in der Kryptographie die Drohungen genannt werden:

·       die Mitteilung T ' zu dechiffrieren, das heißt den offenen Text ihm entsprechenden T ' vollständig oder teilweise zu bekommen, oder selbst wenn, einige Schlüsse über den Inhalt der aufgefangenen Mitteilung zu machen, sich auf die darin aufgedeckten Gesetzmäßigkeiten stützend;

·       aufgrund der bei ihm vorhandenen Daten die Mitteilung T ^~ ' zu bilden, das der gesetzliche Empfänger für das Echte übernommen hätte. Dabei ist es ganz und gar nicht obligatorisch, obwohl, natürlich, es wäre für den Übeltäter sehr wünschenswert, damit er den Sinn der gebildeten Mitteilung selbst verstehen konnte oder sogar konnte сфабриковать eine beliebige damit nach eigenem Ermessen gewählte Mitteilung;

Unter dem Öffnen der Chiffre verstehen die erfolgreiche Realisierung selbst wenn einer der angegebenen Drohungen. Die erste Drohung, wenn verwirklicht sein wird, wird die Geheimhaltung der Mitteilung verletzen, und zweite wird seine Authentizität verletzen. Die Stufe des Erfolges in der Realisierung der obengenannten Drohungen kann von verschiedene auch sein. Wenn den zufälligen Erfolg auszuschließen, so bedeutet die erfolgreiche Realisierung der Drohung die Geheimhaltung der Daten die Beherrschung vom Übeltäter vom Algorithmus расшифрования D, oder, die Konstruktion des Algorithmus ihm funktional äquivalenten D ', zulassend für eine beliebige chiffrierte Mitteilung T ', oder selbst wenn für шифротекстов aus einiger Klasse, die entsprechende offene Mitteilung T zu bekommen. Es ist ähnlich, die erfolgreiche Realisierung der Drohung die Ganzheit der Daten bedeutet die Beherrschung vom Übeltäter vom Algorithmus зашифрования E, oder, die Konstruktion des Algorithmus ihm funktional äquivalenten E ', zulassend für eine beliebige offene Mitteilung T, oder selbst wenn für die Mitteilungen aus einiger Klasse, die entsprechende chiffrierte Mitteilung T ', oder, in am wenigsten erfolgreich für ihn den Fall, die Bildung des Algorithmus E ^~ zulassend zu bekommen, solche chiffrierte Mitteilung T ' zu schaffen, das der gesetzliche Empfänger für das Echte übernommen hätte.

Für die Verwirklichung der Drohungen des Übeltäters ist es erforderlich, einige genug intellektuelle Arbeit mit den aufgefangenen Daten zu erfüllen, darin ihm kann криптоаналитик helfen. Leicht zu erraten, dass in die Aufgabe des Letzten криптоанализ, das heißt die Analyse der aufgefangenen Mitteilungen zwecks der Verwirklichung einen der obengenannten Drohungen eingeht. Dabei kann der Analytiker über die nächsten Informationen verfügen:

·       дешифруемый der Text T ', können es die früher aufgefangenen chiffrierten Mitteilungen auch gibt

(T₁ ', T₂ '..., T_n ' ), chiffriert mit der Nutzung des selben Algorithmus, dass auch T ';

·       die offenen Mitteilungen, die einigen früher aufgefangenen Chiffrierungen entsprechen:

(T₁, T₂..., T_m ), T_i ' = E (T_i), i = 1..., m, wo m £ n;

·       die Möglichkeit, für eine willkürliche offene Mitteilung mit dem Übeltäter gewählte T entsprechend шифротекст T ' = E (T) zu bekommen  ;

·       die Möglichkeit, für eine willkürliche chiffrierte Mitteilung mit dem Übeltäter gewählte T ' den entsprechenden offenen Text T = D (T ' zu bekommen  );

Entsprechend diesen drei Möglichkeiten unterscheiden die folgenden Hauptarten криптоанализа:

·       die Analyse auf der Grundlage nur шифротекста;

·       die Analyse aufgrund des nicht gewählten offenen Textes;

·       die Analyse aufgrund des gewählten offenen Textes;

·       die Analyse aufgrund gewählt шифротекста;

Die erste Möglichkeit stehe dem Analytiker tatsächlich immer zur Verfügung. Die zweite Möglichkeit ist auch vollkommen real: zum Beispiel, der Untersuchung durch die Agentur gelang es, das Entziffern einen der geheimen Mitteilungen zu erreichen. Außerdem, diese Möglichkeit ist in jenen Sphären sehr typisch, wo die Frist des Lebens der geheimen Informationen sehr klein ist, und sie wird – bei der Sendung der Werbematerialien, verschiedener Reportagen, die nachher von den Massenmedien usw. veröffentlicht werden, mit einem Wort überall schnell an die große Glocke gehangen, wo man die Konkurrenten aller für einige Stunden oder der Tage überholen muss. Die dritten und vierten Möglichkeiten, obwohl exotisch scheinen, nichtsdestoweniger können – wenn der Mitarbeiter der Organisation auch sein vorhanden, der Beschäftigte auf andere Seite, hat den Zugang zu allgemein шифровальным den Mitteln. Natürlich, der dritte Fall hat den Sinn in Bezug auf die Aufgabe der Entzifferung, und vierten – das Aufzwingen der falschen Daten. Erste sind zwei für beide Drohungen aktuell.

In der lebenswichtigen von uns betrachteten Situation ist noch eine Seite anwesend, deren Rolle wir versuchen werden, wir selbst zu erfüllen. Es криптограф, in dessen Aufgabe eingeht, die gesetzlichen Teilnehmer des Austausches mit solchen Algorithmen für - und расшифрования zu versorgen, damit der Übeltäter keine der Drohungen sogar in der ihn günstigsten Situation konnte, das heißt bei der Möglichkeit криптоанализа auf der Grundlage des beliebig gewählten offenen Textes nicht erfüllen. Von anderen Wörtern, Aufgabe криптографа ist die Entwicklung des geheimen und authentischen Systems der Sendung der Daten. Eigentlich, es ist verschiedene, obwohl manchmal und die ziemlich eng in den konkreten Chiffren verbundenen Eigenschaften криптосистем. Wir werden ihren Sinn erklären:

 

3.    Die Chiffren mit dem geheimen Schlüssel.

Also, unsere Aufgabe besteht darin, die Teilnehmer des Austausches mit den sicheren Algorithmen der Chiffrierung zu versorgen. Die erste Frage, die wir wir aufgeben werden – ob es ist die Aufgabe im Prinzip, und wenn ja entschieden, so können wir welche maximale Stufe der Geheimhaltung gewährleisten? Die Antwort auf diese Frage war von Schennonom – das Theorem gefunden, das seinen Namen trägt, lautet, dass die absolut standhaften Chiffren, das heißt solche Chiffren existieren, die es unmöglich ist, selbst wenn криптоаналитик über den unbeschränkten Vorrat der Zeit und der Rechenressourcen verfügt zu öffnen. Шенноном war es auch bestimmt, dass eine Bedingung der absoluten Standhaftigkeit der Chiffre die Nutzung im Algorithmus der Chiffrierung nicht der kleineren Zahl der geheimen Informationen ist, als die Informationen in der chiffrierten Mitteilung enthalten ist.

Wie solche Chiffre zu realisieren?, Bevor auf diese Frage zu antworten werden wir uns erinnern, dass sich alle modernen Chiffren auf dem Prinzip Kirchgofa stützen, das lautet, dass die Algorithmen der Chiffrierung so gebaut werden sollen damit sogar bei ihrer Verbreitung sie ein bestimmtes Niveau der Zuverlässigkeit noch gewährleisteten. Übrigens ist über den Autor des Prinzips – in seiner Literatur величают von "Kerkchoffom" falsch – der Autor ist des einheitlichen Falls der richtigen Transkription dieses Familiennamens begegnet. Sie wird “Kirchhoff” – genauso, wie der Familienname des Autors der in der Elektrotechnik bekannten Gesetze Kirchgofa geschrieben. Кирхгоф war Holländer, und, nicht vom Engländer, deshalb seinen Familiennamen zu sagen es ist nötig entsprechend den Regeln der deutschen Transkription, und nicht englisch. Wir werden zum besprochenen Thema – klar zurückkehren, dass криптоалгоритмы, entsprechend dem Prinzip aufgebauten Kirchgofa bei der Chiffrierung die geheimen Daten verwenden sollen, die vom Schlüssel genannt werden, die die Geheimhaltung der Mitteilung unter den Bedingungen der Offenheit des Algorithmus gewährleisten. Mit anderen Worten, die Geheimhaltung der Chiffre soll mit der Geheimhaltung des Schlüssels, und nicht von der Geheimhaltung des Algorithmus der Chiffrierung gewährleistet werden. Es bedeutet, dass die Algorithmen E und D, eingeführt von uns in die Betrachtung in der vorhergehenden Abteilung, den geheimen Schlüssel K verwenden, und können von uns jetzt wie E_K und D_K bezeichnet sein. Dann werden die Angleichungen der Chiffrierung der Folgende aussehen:

T ' = E_K (T) ааааааааааааа (зашифрование),

T = D_K (T ') ааааааааааааа (расшифрование).

Wir werden uns erinnern, dass in den Chiffren der betrachteten Klasse für für - und расшифрования ein und derselbe Schlüssel verwendet wird. Klar, dass die Prozedur расшифрования zum richtigen Ergebnis auf jeden Fall bringen soll. Es bedeutet, dass welche zulässig Block der Daten T und der Schlüssel K waren, es soll die folgende Gleichheit erfüllt werden: E_K (D_K (T))  = T.

Wir werden zu den absolut standhaften Chiffren zurückkehren, die das Prinzip Kirchgofa realisieren. Da ihre ganze Geheimhaltung im Schlüssel K konzentriert ist, bedeutet in Bezug auf ihn die Forderung Schennona, dass der Umfang des Schlüssels der Chiffrierung weniger Umfanges der chiffrierten Mitteilung nicht sein soll: | K | ³ | T |. Wir werden meinen, dass sie den identischen Umfang, der N das Bit gleich ist haben: | K | = | T | = N. Es mindestens, bei dem die absolute Standhaftigkeit immer noch möglich ist. Für зашифрования die Mitteilung T muss man mit dem Schlüssel K mit Hilfe einiger binärer Operation _° so kombinieren dass bekommen шифротекст und vom Ausgangstext T, und vom Schlüssel K abhängte. Dabei wird die Angleichung зашифрования der Folgende aussehen:

T ' = E_K (T) = T _° K.

Der Umfang шифротекста ist N das Bit dabei auch gleich: | T ' | = | T | = | K | = N. Für die Versorgung der absoluten Standhaftigkeit der Chiffre soll die Zahl der geheimen Informationen im Schlüssel K maximal möglich für seinen Umfang sein. Es bedeutet, dass alle Bits des Schlüssels mit den gleichwahrscheinlichen Bedeutungen zufällig sein sollen und sind statistisch unabhängig. Solcher Schlüssel kann nur in der Hardwareweise bekommen sein, algorithmenweise darf man es produzieren, da die in diesem Fall angegebene Forderung auch die Chiffre verletzt sein wird wird nicht aufhören, absolut standhaft zu sein.

Wir werden jetzt die Forderungen besprechen, mit der die Operation _° befriedigen soll. Erstens damit die Chiffrierung umkehrbar war, die Angleichung T _° K = T ' soll verhältnismäßig T bei beliebigen Bedeutungen T ' und K einstellig lösbar sein. Es bedeutet, dass bei der binären Operation _° rückgängig existieren soll, die wir durch _• bezeichnen werden, und welche N-Bit- Blöcke der Daten T und K waren, immer soll die Gleichheit (T  _° K)  _• K = T erfüllt werden      . In zweiten, für die Versorgung der vollen Geheimhaltung der Chiffre ist es notwendig, dass verschiedene Schlüssel für die identischen Ausgangstexte verschiedene шифротексты geben. Es ist der Forderung der eindeutigen Lösbarkeit der Angleichung T _° K = T ' verhältnismäßig K gleichbedeutend    . Da sich die Geheimhaltung der chiffrierten Mitteilung auf die Geheimhaltung des Schlüssels vollständig stützt, können in ganz übrig die Operationen _° und _• aus den Gründen der Bequemlichkeit herauskommen. Als solche Operationen kann die Addition und die Subtraktion nach dem Modul 2^N verwendet werden:

T _° K = (T + K)  mod  2^N, T  _• K = (T – K)  mod  2^N.

Die Berechnungen über der Mitteilung wie vom Einheitlichen Ganz zu verwirklichen kann sich schwierig infolge seines bedeutenden Umfanges erweisen, deshalb es ist zweckmässig, die Mitteilung und den Schlüssel auf die Blöcke des kleineren Umfanges zu zerschlagen und, die angegebenen Operationen zu diesen Blöcken zu verwenden:

T = (T₁, T₂..., T_n), K = (K₁, K₂..., K_n), |K_i | = |T_i | = N_i,

T_i ° K_i = (T_i + K_i)  mod  2^Ni, T_{i  •} K_i = (T_i – K_i)  mod  2^Ni.

Wenn diesen Prozess der Zerkleinerung bis zum logischen Ende hinzuführen, werden wir zur Operation der bitweisen Addition nach dem Modul 2, genannt auch bitweise Ausschließend kommen oder:

T _° K = T  _• K = T  Å K.

Die letzte Operation hat sich rückgängig zu sich und aus diesem Grund erwiesen, sowie infolge der Einfachheit und der Leichtigkeit der Realisierung (die abgesonderten Bits der Mitteilung in ihr werden unabhängig voneinander bearbeitet), hat den meisten Vertrieb bekommen.

Kurz werden wir auf den Erreichten stehenbleiben: die Chiffre, die wir jetzt bekommen haben, heißt vom einmaligen Gamma Wernama. Diese Chiffre verfügt über die absolute Standhaftigkeit, die, genug von teuerem Preis jedoch bezahlt wird – für die Chiffrierung der Mitteilung ist der Schlüssel solchen Umfanges, vorläufig geliefert dem Absender und dem Empfänger nötig.

Für die Chiffrierung zwei verschiedener Mitteilungen darf man nicht eine und derselbe Reihenfolge der Elemente des Gammas verwenden. Wenn diese Forderung verletzt ist, kann man immer solches Paar binärer Operationen Ä und Æ finden, die, als verwendet entsprechend zu den Blöcken geöffnet und chiffriert mit der Nutzung eines und derselbe Elementes des Gammas der Daten, die identischen Ergebnisse geben werden:

T_i ' Ä T^~_i ' = T_i  Æ T^~_i.

Es wird die Aufgabe криптоанализа besonders leicht machen, als mehr Überschusses in der Mitteilung enthalten ist. Für die Texte auf den natürlichen Sprachen wegen ihres kolossalen Überschusses wird diese Aufgabe fast trivial – voneinander solche Mitteilungen abzutrennen stellt das Werk nicht vor. Solche Teilung kann von der Methode der Übergebühr erfüllt sein, wobei auf jedem Schritt an der Übergebühr nur etwas Symbole teilnehmen.

Wenn für das Auferlegen des Gammas die Operation der bitweisen Summierung nach dem Modul 2 verwendet wird, so kann als binäre Operationen, die den Einfluss des geheimen Gammas auf das Ergebnis entfernen, die selbe Operation verwendet sein. Wirklich, wenn auch, zum Beispiel, zwei Blöcke mit Hilfe eines und derselbe Elementes des Gammas G_i auferlegt auf sie von der Operation der bitweisen Addition nach dem Modul 2 chiffriert werden:

T_i ' = T_i  Å G_i,

T^~_i ' = T^~_i  Å G_i.

Wir werden die bitweise Addition der Blöcke шифротекста nach dem Modul 2 erfüllen:

T_i ' Å T^~_i ' = (T_i  Å G_i)  Å (T^~_i  Å G_i) = (T_i  Å T^~_i)  Å (G_i Å G_i) = (T_i  Å T^~_i)  Å 0 = T_i  Å T^~_i.

Wie wir sehen, stimmt das Ergebnis mit der bitweisen Summe nach dem Modul 2 Blöcke des offenen Textes überein, was криптоанализ trivial macht.

Die Forderung des einzigartigen Gammas für jede chiffrierte Mitteilung macht Chiffrierung mit Hilfe des einmaligen Gammas Wernama so aufgesetzt, dass seine Nutzung nur in den Kanälen der Verbindung für die Sendung der Mitteilungen der Ausnahmewichtigkeit, die dazu eingesetzt sind ökonomisch rechtfertigt ist ist nicht allzu häufig.

Die Barriere, vor der wir stehengeblieben sind, ist unüberwindlich: ÝõõѬԿó@¡«ßÔ¿ die praktische Realisierung криптоалгоритма erreichen es kann nur, auf die absolute Standhaftigkeit verzichtet. Die Chiffre, die nicht absolut standhafte, ist kann man für die endliche Zeit, genauer, für die endliche Zahl der Schritte öffnen, jeder von denen besteht in der Ausführung der elementaren arithmetischen oder logischen Operation. Jedoch stört nichts uns, solche theoretisch unbeständige Chiffre zu schaffen, für dessen Öffnen es erforderlich ist, die so große Zahl der Operationen zu erfüllen, damit es auf modern und erwartet in nicht der sehr fernen Perspektive die Rechenmittel für die vernünftige Zeit unerfüllbar war. Zum Maß der praktischen Standhaftigkeit der Chiffren des ähnlichen Typs kann die Zahl der Arbeit, die für ihr Öffnen notwendig ist, geäußert in den elementaren Operationen oder in der Dauer der entsprechenden Berechnungen auf den modernen Computern dienen. Wir werden bemerken, dass in den realen Systemen криптозащиты die Informationen fast außerordentlich theoretisch die unbeständigen Chiffren verwendet werden.

Die gute Chiffre soll zur statistischen und algorithmischen Analyse standfest sein, das heißt soll leicht обнаружимых der statistischen Beziehungen zwischen geöffnet sowohl dem chiffrierten Text nicht existieren als auch die Abhängigkeiten zwischen ihnen sollen genug kompliziert dazu sein, dass man sie mittels der Analyse aufdecken könnte. Es gibt die deutliche Grenze zwischen gut nicht von den sehr guten entworfenen Blockchiffren: ersten ist es unmöglich, in der Weise, wirksamer als die volle Übergebühr nach alles Mögliche den Bedeutungen des Schlüssels zu öffnen, für das Öffnen zweites können sich brauchbar und die wirksameren Weisen erweisen. Wie die standhaften Chiffren zu bauen? Die Wissenschaft darüber ist tatsächlich überall geheimgehalten, wo mit der Kryptographie zu tun haben – es werden nur die Gründe, die den am meisten allgemeinen Charakter nicht enthaltenden keine конкретики tragen veröffentlicht. Sich diesem Geheimwissen anschließen es kann, in der entsprechenden Gliederung des entsprechenden speziellen Dienstes nur arbeitend. Also, werden wir und mit Ihnen versuchen, Problem ausschließlich von der Position des gesunden Menschenverstandes zu betrachten. Auf der großen Rechnung, man kann nur zwei grundlegendes Herangehen an die Konstruktion der Chiffre mit dem geheimen Schlüssel anbieten:

·       hängt das produzierte Element des Gammas G_i vom chiffrierten Block der Daten T_{i nicht ab};

·       verwirklicht sich die Chiffrierung des Massives der Informationen T mittels der Manipulation mit ihm;

Das erste Herangehen folgt aus der Chiffre Wernama in der offensichtlichen Weise. Der ganze Unterschied bestehen darin, dass darin das Gamma kein Schlüsselelement an und für sich ist, und nur wird aus dem Schlüssel K des fixierten Umfanges mit Hilfe einigen Satzes der Funktionen f_i produziert : G_i = f_i (K), oder, genauer, einer universellen Funktion G_i = f (i, K) – obwohl vom Standpunkt der Mathematik ist dieser ein und dasselbe, vom algorithmischen Standpunkt verschiedene Sachen. Die Forderung der praktischen Realisierbarkeit der Chiffre bringt in Form vom Apparat oder dem Computerprogramm zur Notwendigkeit der Möglichkeit seiner Beschreibung in Form vom Algorithmus mit der endlichen Zahl der möglichen Zustände, zu dessen am meisten allgemeinen Modell der endliche Automat dienen kann. So kann der Generator des Gammas mit Hilfe der folgenden Verhältnisse wie der endliche Automat ohne Eingang bestimmt sein:

S_i =  W_K (S_i–1),   G_i =  Q_K (S_i), (die Betriebsunterbrechung гаммирование)

Oder wie der endliche Automat mit dem Eingang, wenn der produzierte Block des Gammas vom vorangehenden Block шифротекста und\oder des offenen Textes abhängt:

S_i =  W_K (S_i–1, T_i–1, T_i '_–1),   G_i =  Q_K (S_i) ааааааааа (гаммирование mit der Rückkopplung).

Das erste zwei Verhältnisse bestimmt die Regel der Veränderung der Zustände, zweites – die Regel der Leistung des Abgabeelementes, das heißt des Elementes des Gammas. Klar, dass für die Versorgung der Geheimhaltung der Chiffre beide diese Regeln oder geheim selbst zu sein sollen, oder, von der Bedeutung des geheimen Schlüssels K abzuhängen. Die Chiffren, die nach dem vorliegenden Schema aufgebaut sind, heißen потоковыми, da in ihnen der Strom des Gammas, der vom Generator produziert wird verwendet wird. Зашифрование (расшифрование) verwirklicht sich mittels des einfachen Auferlegens der Elemente des Gammas auf die Blöcke geöffnet (chiffriert) des Textes mit Hilfe der entsprechenden binären Operationen: T_i ' = T_{i  °} G_i , T_i = T_i '  _• G_i. Je nach den verwendeten Operationen kann sich das Auferlegen des Gammas wie побитово, als auch den Blöcken anderen Umfanges verwirklichen. Die Hauptkomplexität besteht bei der Realisierung des gegebenen Herangehens in der Entwicklung der wirklich qualitativen Quelle криптостойкой die Gammas.

Das zweite Herangehen an die Konstruktion der Chiffren mit dem geheimen Schlüssel beinheiltet keine Andeutungen auf die möglichen Weisen seiner Realisierung. In der folgenden Abteilung des Artikels werden wir versuchen, diese Weisen zu finden.

4.    Die grundlegende Idee der Blockchiffre.

Ausgangspunkt in der Realisierung des betrachteten Herangehens ist die Idee, das Gamma für зашифрования die Mitteilungen … aus der Mitteilung zu produzieren! Jedoch es unmittelbar zu machen es ist unmöglich, da die Schwierigkeiten mit расшифрованием dabei entstehen: wenn auch das Gamma aus dem chiffrierten Block laut der Angleichung G = f (T), wo f – einige Funktion produziert wird  . Dabei wird die Angleichung зашифрования der Folgende aussehen: T ' = E_K (T) = T _° G = T  _° f (T). Für расшифрования die Mitteilungen soll sein Empfänger diese Angleichung verhältnismäßig T entscheiden: T  _° f (T) = T '. Wenn die Funktion f und нелинейна kompliziert ist, was für die ausreichende Standhaftigkeit der Chiffre gefordert wird, kann sich die vorliegende Aufgabe tatsächlich unlösbar erweisen.

Nichtsdestoweniger, bei der Entwicklung neu криптографической wollten wir die Schemen auf die früher verwendeten und sich gut bewährenden Lösungen nicht verzichten, zu deren Zahl              sich das Auferlegen des Gammas auf die Daten für ihre Chiffrierung verhält. Wie aus jener schwieriger Lage hinauszugehen, in der wir uns erwiesen haben? Wir werden versuchen, selbst wenn den Teil des Problems zu entscheiden, wofür wir das chiffrierte Datenfeld T des Umfanges |T | = N in Form von einem Paar Blöcke des kleineren Umfanges vorstellen werden   : T = (T₀, T₁), |T₀ | = N₀, |T₁ | = N₁, N₀ + N₁ = N, wo T₀ jünger bezeichnen wird, und T₁ – den ältere Teil des Massives T. Wir werden зашифрование des älteren Blocks mit Hilfe jünger erfüllen, dabei einige Funktion f, darstellend den N1-Bit- Block der Daten auf N₀-Bit-, und die umkehrbare binäre Operation _° über den N0-Bit- Blöcken der Daten verwendend. Die bekommene chiffrierende Umgestaltung werden wir durch G_f ^° bezeichnen. Die Angleichung dieser Umgestaltung wird Folgendes:

G_f ^° (T) =  G_f ^° (T₀, T₁) = (T₀, T_{1 °} f (T₀)).

Für G_f ist es ^° leicht, rückgängig, oder die entziffernde Umgestaltung G_f • aufzubauen:

G_f • (T) =  G_f • (T₀, T₁) = (T₀, T_{1 •} f (T₀)).

Wirklich, wenn die binären Operationen _° und _• gegenseitig rückgängig, so der N-Bit- Block der Daten T = (T₀, T₁), immer die gerecht folgende Gleichheit war  :

G_f • (G_f ^° (T)) =  G_f • (G_f ^° (T₀, T₁)) =  G_f • (T₀, T_{1  °} f (T₀)) = (T₀, (T_{1  °} f (T₀)) _• f (T₀)) = (T₀, T₁) = T.

Klar, dass die Bestimmung der Funktion f darin besteht, die Abhängigkeit zwischen dem Block T₀ und dem Gamma für die Chiffrierung des Blocks T₁ zu maskieren, die von ihm produziert wird. Dazu soll die Funktion f ein geheimes Element unserer Chiffre – wir sein bis wir bei diesem Verstoß des Prinzips Kirchgofa ein Auge zudrücken werden. Wir werden die sehr wichtige Tatsache bemerken: unser Schema ist bei einer beliebigen Funktion f arbeitsfähig, nach расшифрования werden wir die selben Daten immer bekommen, die vor зашифрованием waren.

Bevor zum Studium des weiteren Materials, den Lesern, nicht sehr stark im Mathematiker überzugehen, braucht man, einige mathematische Begriffe, und zwar, mit dem Begriff der Komposition der Abbildungen und der Umgestaltungen kennenzulernen. Selb, wer dieses Material in der ausreichenden Stufe besitzt, können die folgenden Absätze nicht lesen, die von der kleinen Schrift gedruckt sind.

Alle in den vorliegenden Teil betrachteten Artikel der Umgestaltung sind die Operatoren in einer Menge der Blöcke der Daten, das heißt von den Funktionen, die übernehmend als das Argument und als das Ergebnis die Blöcke der Daten ausgeben.

1.     Wir werden als die Komposition der Umgestaltungen A und B solche Umgestaltung C = AB nennen  , dass jenes Block der Daten T war, immer wird die Gleichheit C (T) = B (A (T)) erfüllt  . So nach der Bestimmung der Komposition AB (T) = B (A (T)).

2.     Für die Komposition der Umgestaltungen ist das Assoziativgesetz rechtmäßig, das heißt für beliebige Umgestaltungen A, B, C ist die Identität gerecht: A (BC) = (AB) C. Wirklich, von welchen der Block der Daten T, die gerecht folgende Gleichheit war:

(A (BC)) (T) = BC (A (T)) = C (B (A (T))) = C (AB (T)) = ((AB) C) (T).

Deshalb im Ausdruck für die Komposition drei und mehrerer Umgestaltungen der Klammer излишни: A (BC) = (AB) C = ABC.

3.     Unter allen Umgestaltungen existiert ein besonder, genannt identisch und bezeichnet von uns durch I. Eine eigentümliche Besonderheit der gegebenen Umgestaltung ist, dass es das Argument vom Unveränderlichen abgibt: jenes Block der Daten T war, es ist I (T) = T immer gerecht  . Es ist offenbar, dass die Komposition einer beliebigen Umgestaltung A mit dem Identischen daraufhin diese Umgestaltung A gibt: IA = AI = A. Wirklich, für einen beliebigen Block der Daten T sind die folgenden Gleichheiten rechtmäßig: AI (T) = I (A (T)) = A (T) und IA (T) = A (I (T)) = A (T).

4.     Die Umgestaltung B heißt rückgängig zur Umgestaltung A, wenn ihre Komposition eine identische Umgestaltung ist, das heißt wenn wird die Bedingung AB = I eingehalten  oder für einen willkürlichen Block der Daten T ist die Gleichheit B (A (T)) = T gerecht  . Die Umgestaltung A heißt umkehrbar, wenn rückgängig zu ihm die Umgestaltung existiert, die A-¹ bezeichnet wird: AA^‑1 = I.

Vom dargelegten gerade erst Standpunkt soll die chiffrierende Umgestaltung umkehrbar sein, das heißt soll die Eigenschaft G_f^°G_f • = I erfüllt werden  . Es ist nötig zu bemerken, dass die gegebene Eigenschaft immer erfüllt wird, welche Funktion f wir in unserer Umgestaltung nicht verwenden würden, wenn nur die binären Operationen _° und _• gegenseitig rückgängig sind.

Jetzt werden wir uns darüber erinnern, dass das von uns angebotene Schema nur die Hälfte des Problems entschieden hat, da der jüngere Teil T₀ des Blocks T nicht chiffriert blieb. Aber dieses Problem hat die offensichtliche Lösung: auf dem folgenden Schritt muss man den Teil T₀ des Massives T chiffrieren, das Element des Gammas, das aus dem Teil T₁ ' den Block T mit der Nutzung einiger anderer Funktion g produziert ist, darstellend die N0-Bit- Blöcke der Daten auf N₁-Bit- verwendend. Jetzt werden sich beide Teile des Ausgangsblocks chiffriert erweisen. Nach der Reihe der Gründe, es ist jedoch üblich, dass sich chiffriert auf jedem solchem Schritt und verwendet für die Leistung des Gammas des Teiles auf den fixierten Positionen innerhalb des Blocks befinden – die Tradition schreibt vor, das Gamma aus dem jüngeren Teil zu produzieren und, sie auf die Ältere aufzulegen. Wenigstens, die Sache verhält sich gerade so im Gast, DESе, und alle anderen Chiffren, die nach ihrer Weise und den Ähnlichkeiten aufgebaut sind. Um die angegebene Eigenschaft zu gewährleisten, muss man zwischen den Schritten der Chiffrierung die Umstellung der Teile des Blocks, unterbringend die entsprechenden Teile auf die gehörigen Stellen erfüllen.

Nach den Gründen der Versorgung maximal криптостойкости und der Effektivität der Realisierung der Chiffre ist es zweckmässig, die Umfänge der älteren und jüngeren Teile des chiffrierten Blocks von den Identischen zu nehmen: N₀ = N₁ = N/2. Gerade solche Bedingung haben die Hersteller der Mehrheit der Chiffren der betrachteten Architektur gewählt. In diesem Fall ändern sich zwischen den Schritten des Algorithmus des Teiles des chiffrierten Blocks von den Stellen einfach. Jedoch existieren die Chiffren, die sich nicht dieser Regel unterwerfen, über sie werden etwas Wörter niedriger im gegenwärtigen Artikel gesagt sein.

Wir werden durch S die Operation der Umstellung der älteren und jüngeren Teile des Massives der Informationen bezeichnen: S (T) = S (T₀, T₁) = (T₁, T₀). Es ist offenbar, dass die Operation S rückgängig für sich ist: S² = S · S = I. Wirklich, für einen willkürlichen Block der Daten T = (T₀, T₁) ist die Gleichheit gerecht:

S² (T) = S² (T₀, T₁) = S (S (T₀, T₁)) = S (T₁, T₀) = (T₀, T₁) = T.

Dann kann unser neues Schema der Chiffrierung von der Komposition der einfacheren Schritte vorgestellt sein:

G_f ^°_{, g} =  G_f ^° · S ·  G_g ^°.

Dabei kann rückgängig, oder die entziffernde Umgestaltung vom folgenden Verhältnis vorgestellt sein:

G_g •, f =  G_g • · S ·  G_f •.

Wirklich, die gerecht folgende Gleichheit:

G_f ^°_{, g} ·  G_g •, f = (G_f ^° · S·G_g ^°) · (G_g •· S·G_f •) =  G_f ^° · S·G_g ^° · G_g •· S·G_f • =  G_f ^° · S · (G_g^°G_g •) · S·G_f • =  G_f ^° · S·I·S·G_f • =  

 = G_f ^° · (S·I) ·S·G_f • =  G_f ^° · S·S·G_f • =  G_f ^° · (S·S) ·G_f • =  G_f ^° · I·G_f • = (G_f ^° · I) ·G_f • =  G_f ^° · G_f • = I.

Die Operationen des Auferlegens des Gammas in den Schritten der Chiffrierung des Blocks können von verschiedene eigentlich sein, jedoch sahen den besonderen Sinn darin während der Bildung der Chiffren nicht.

Wie noch höher, die Chiffren existieren, in die sich der chiffrierte Block der Daten auf zwei nicht identisch nach dem Umfang des Teiles teilt. Wenn das Element des Gammas aus dem jüngeren Teil des Blocks, der den Umfang N₀ und hat produziert wird wird in den älteren Teil aufgelegt, der den Umfang N₁ hat, so ist das Schema zu криптоанализу standfester wenn die Bedingung N₁ < N₀ eingehalten wird  . Dabei ist es einfach, von den Stellen des Teiles des Blocks zwischen den Schritten der Chiffrierung schon zu tauschen passt nicht, man muss nach jeder solcher Umstellung von neuem den Block in die Teile zerschlagen. Gewöhnlich verwenden in solcher Situation die zyklische Verschiebung (das Drehen) des Blocks auf N₁ das Bit nach links oder nach rechts, und bei расшифровании zwischen den Schritten muss man den Block auf solche Zahl der Bits zur Rückseite umdrehen. Für den angegebenen Fall des Ausdruckes für die Umgestaltungen зашифрования und расшифрования des Blocks werden die Folgenden:

G_f ^°_{, g} =  G_f ^° · R^®_N1 ·  G_g ^°,

G_g •, f =  G_g • · R^¬_N1 ·  G_f •,

Wo durch R^¬_m und R^®_m die Operatoren des Drehens des Blocks der Daten auf m das Bit nach links und nach rechts entsprechend bezeichnet sind. Da für einen Schritt des Algorithmus N₁ < N/2 der Bits des Blocks chiffriert wird  , so ist es für зашифрования des ganzen Blocks mehr zwei Schritte erforderlich. Die genaue Bedeutung der Zahl der minimal geforderten Schritte in solchem Algorithmus gleich éN/N₁ù, wo durch éxù das Ergebnis der Abrundung der Zahl x bis zu nächst ganz zur Seite der Vergrößerung bezeichnet ist. Aus dem Verstand der Einfachheit der Realisierung der Chiffre wählen N₁ gewöhnlich so, dass sich der Umfang des Blocks N in ihn ohne Rest teilte. In der Regel, wenn N  = 64, so nehmen N₁ = 16 oder N₁ = 8.

Es ist nötig zu bemerken, dass es der Chiffren, die nach solchem Prinzip aufgebaut sind, als der Chiffren um vieles weniger ist, in die sich der Block auf zwei identisch nach dem Umfang des Teiles teilt. Es ist davon bedingt, dass in ihnen für einen Schritt die kleinere Zahl der Bits chiffriert wird, und entsprechend ist es mehr Schritte erforderlich. Nach solchem Prinzip ist die Chiffre unter dem Kodetitel “албер”, geschaffen in den Inneren einen der zahlreichen Forschungsinstitute, zum Beispiel, aufgebaut, und, sprechen, sogar beanspruchend die Stelle des Russischen Standards der Chiffrierung, für ihn N₁ = 8.

5.    Die Chiffre des einfachen Ersatzes.

Damit das Blockschema der Chiffrierung zu криптоанализу standfest war, soll sie über die Eigenschaften der Vermischung und der Streuung verfügen. Es bedeutet, dass jedes Bit des Ausgangstextes alle Bits шифротекста beeinflussen soll, wobei der Charakter dieses Einflusses weder statistisch, noch algorithmenweise verfolgt sein soll. Diese Forderung ist gerade für die Blockchiffren aus dem nächsten Grund wichtig: für das Öffnen der Chiffre nach der algorithmischen Linie криптоаналитик kann in der offenbaren Art versuchen, die Verhältnisse herauszuführen, die die Eingänge und die Ausgänge des Algorithmus verbinden. Für потокового der Chiffre ist es vergeblich, weil sich diese Verhältnisse von den Elementen des Gammas vollständig klären, die für verschiedene Blöcke der chiffrierten Daten verschieden sind. Und damit криптоанализ vom Erfolg für die Blockchiffre nicht gekrönt wurde, es ist erforderlich, dass der Charakter des Einflusses der Eingangsdaten auf abgabe- genug kompliziert ist damit man es mittels der Analyse der Massive der Eingangs- und Abgabedaten an den Tag bringen konnte. Es meint, insbesondere die Abwesenheit der statistischen Abhängigkeit der Bits des Abgabeblocks von den Bits eingangs-, was in der Praxis bedeutet, dass welche in der Weise wir den Block der offenen Daten T geändert haben, alle Bits des Blocks der chiffrierten Daten T ' = E_K (T) mit der Wahrscheinlichkeit 1/2 werden die Bedeutung unabhängig voneinander ändern. Aber das in der vorhergehenden Abteilung aufgebaute Schema der Chiffrierung verfügt über solche Eigenschaft nicht. Wirklich unterzieht, wenn auch sich зашифрованию der Block der Daten T = (T₀, T₁), dann daraufhin wir bekommen werden:

T ' =  G_f ^°_{, g} (T) =  G_f ^°_{, g} (T₀, T₁) = (G_f ^° · S·G_g ^°) (T₀, T₁) = (S·G_g ^°) (G_f ^° (T₀, T₁)) = (S·G_g ^°) (T₀, T_{1  °} f (T₀)) =  

 = G_g ^° (S (T₀, T_{1  °} f (T₀))) =  G_g ^° (T_{1  °} f (T₀), T₀) = (T_{1  °} f (T₀), T_0 ° g (T_{1  °} f (T₀))) = (T₀ ^', T₁ ^')

Wir betrachten einen jüngeren Teil des chiffrierten Blocks der Daten: T₀ ' = T_{1  °} f (T₀). Leicht zu bemerken, dass die Abhängigkeit der Bits des Teiles T₀ ' des Blocks T ' von den Bits des Teiles T₁ genug trivial ist befriedigt den ausgesprochenen höher Forderungen nicht. Deshalb konstruiert von uns криптопреобразование G_f ^°_{, g} =  G_f ^° · S ·  G_g ^° ist es ungenügend kompliziert damit man es криптографическим ohne Spannen nennen konnte. Aber es kann auf eine willkürliche Zahl der Schritte n in der sehr einfachen Weise verbreitet sein: wenn auch die Funktionen f₁ aufgegeben sind..., f_n darstellend auf sich eine Menge/2-Bit- N Blöcke der Daten, und ein Paar binärer Gegenseitig Rückoperationen und in dieser Menge. Dann können die chiffrierenden und entziffernden Umgestaltungen auf folgende Weise bestimmt sein:

Von der Induktion nach der Zahl der Hauptschritte n kann man zeigen, dass die zweite Umgestaltung zurück erstem:

Um in der Chiffre das Prinzip der Vermischung und der Streuung konsequent zu realisieren, es ist zweckmässig, die chiffrierende Umgestaltung in Form von genügend große Zahl (n) der Schritte jeden von denen vorzustellen stellt die Realisierung bezüglich der unkomplizierten Chiffre dar. So ist im Russischen Standard der Chiffrierung die Zahl solcher Schritte gleich 32, und in amerikanisch – 16, aber die Schritte darin etwas komplizierter. Ist криптоалгоритмы der ähnlichen Architektur mit der kleineren Zahl der Schritte n, zum Beispiel, – FEAL [7], für dessen verschiedene Varianten n = 4 oder n = 8.

Wie schon bemerkt wurde, ist die Art der binären Operationen des Auferlegens des Gammas vom Gesichtspunkt der Standhaftigkeit der Chiffre nicht so wichtig, deshalb in der Regel übernimmt die Betriebsunterbrechung für die praktische Realisierung die Variante – die Operation bitweise ausschließend oder. Es lässt zu, die gerade und Rückprozedur der Umgestaltung in der derartigen Weise zu realisieren, sie werden sich nur durch die Ordnung der Nutzung der chiffrierenden Funktionen f₁ unterscheiden..., f_n. Für die vollere Streuung der Informationen der Ausgangsdaten криптопреобразование kann anfangs- (Y₀) und endlich (Y₁) die Umstellungen der Bits oder anderen einfach und der offensichtlichen Weise von den umkehrbaren Umgestaltungen ergänzt sein. Daraufhin werden wir die folgenden chiffrierenden Umgestaltungen bekommen:

Wie üblich, durch Y^–1 wird rückgängig zu Y die Umgestaltung bezeichnet. Um однотипность gerade und rückgängig криптопреобразований aufzusparen, muss man die Ausführung der Bedingungen Y₀^–1 =  Y₁, Y₁^–1 =  Y₀ gewährleisten    , das heißt soll die Substitution Y₀ und Y₁ gegenseitig rückgängig sein. Wir bekommen die folgenden Formelen für gerade und rückgängig криптопреобразований:

Die Umgestaltung mit der zusätzlichen Umstellung der Bits verfügt höher криптостойкостью im Vergleich zur ähnlichen Umgestaltung ohne Umstellung nur in diesem Fall, wenn sie ein geheimes Element der Chiffre ist. Wirklich, wenn es nicht so jenes von der ersten Handlung криптоаналитика ganz vorhanden in seiner Verfügung die Blöcke der Daten, wie geöffnet, als auch chiffriert, dieser Umstellung Y, und so unterziehen wird, die Ausgangsaufgabe auf die Aufgabe des Öffnens der Chiffre ohne Umstellung zurückzuführen. Von diesem Standpunkt sind die Anfangs- und endlichen Bitumstellungen im Algorithmus DES nicht mehr, als vom Schmuck den bemerkenswerten Einfluss darauf криптостойкость nicht leisten.

Jetzt werden wir uns über den Verstoß des Prinzips Kirchgofa, der in der Nutzung als die geheimen Elemente der Funktionen der Chiffrierung f_i besteht erinnern. Damit unser Algorithmus der Chiffrierung es nicht verletzte, werden wir das Schema der Nutzung der Funktionen f_i ein wenig ändern – werden wir ihre von abhängendem vom geheimen Schlüssel K machen: f_i (T) = f_i (T, K), wo f_i – bekannt (geöffnet) die Funktion, und das K-geheime Element der Chiffre (den Schlüssel). In der Regel, alle Funktionen f_i verwenden преобразуемый den Block der Daten T in der identischen Weise und werden nur vom Schema der Nutzung des Schlüssels K unterschieden, das heißt kann man aufzeichnen: f_i (T, K) = f (T, j _i (K)) = f (T, K_i ), wo durch K_i =  j _i (K) wir den Kode bezeichnet haben, der produzierten aus dem Schlüssel K und auf dem I. Schritt der Chiffrierung verwendet wird, die wir für die Kürze als "der Schrittschlüssel" nennen werden.

Uns blieb es übrig, das letzte Detail in der Konstruktion der Blockchiffre zu besprechen. Bis jetzt forderten wir nicht, dass der Umfang des chiffrierten Blocks T ständig ist, jedoch müssen es wir jetzt aus den folgenden Gründen machen:

·       Viele Elemente der Chiffre, solche, wie die Umstellungen der Bits und der Funktion des Ersatzes der Bitgruppen im Datenfeld vermuten, dass преобразуемый der Block den fixierten Umfang hat. Obwohl man die Regel der Konstruktion solcher Elemente für die Blöcke eines willkürlichen Umfanges im Prinzip aufgeben kann, diese Regel in die Praxis umzusetzen es wäre außerordentlich ungeeignet.

·       wäre es Wenn möglich beliebig, den Umfang des chiffrierten Blocks zu vergrössern, es hätte zur Situation gebracht, wenn der Block der Daten des großen Umfanges für einen Durchgang auf dem Schlüssel des viel kleineren Umfanges chiffriert wird, und solches Schema wird weniger standfest zu den Versuchen algorithmisch криптоанализа.

Infolge der angegebenen Gründe der Chiffrierung nach dem von uns betrachteten Schema sollen sich nur die Blöcke der Daten des fixierten Umfanges unterziehen, gerade deshalb heißt die vorliegende Chiffre block-. Falls notwendig stürzt die Mitteilung T auf etwas Blöcke des identischen Umfanges ab, die unabhängig voneinander chiffriert werden:

T = (T₁, T₂..., T_n),  T ' = (T₁ ', T₂ '..., T_n ') = (E_K (T₁), E_K (T₂)..., E_K (T_n)).

Aus diesem Grund das vorliegende Schema der Chiffrierung nennen als die Chiffre des einfachen Ersatzes, da letzten Endes sie auf den Ersatz ein Bedeutungen der Blöcke der Daten auf andere zurückgeführt wird. Für den von uns aufgebauten Algorithmus der Chiffrierung, es ist offenbar, es existiert das Problem, wenn der Umfang des chiffrierten Textes nicht кратен dem Umfang des Blocks криптоалгоритма. Dieser, und die Reihe anderer Fragen werden in der folgenden Abteilung besprochen sein.

Der Umfang der Blöcke der Chiffrierung klärt sich vom Hersteller der Chiffre aus der Bedingung der Errungenschaft notwendig криптостойкости. Die Auswahl des ungenügenden Umfanges der Blöcke wird криптоанализ aufgrund der statistischen Gesetzmäßigkeiten ermöglichen. Andererseits, die ungerechtfertigte Vergrößerung des Umfanges des Blocks wird die Chiffre sperrig und ungeeignet für die Anwendung machen, deshalb in der gegebenen Frage muss man den Kompromiss suchen. Tatsächlich wird in allen dem Autor bekannten Chiffren der betrachteten Architektur der Umfang des Blocks, der den 64 Bits gleich ist verwendet.

Zum Schluss werden wir einiges Ergebnis unserer Forschungen zuführen: Für die Bestimmung der Blockchiffre muss man das Folgende aufgeben:

 

 

Chiffrierend und entziffernd криптографические werden die Umgestaltungen wie die Kompositionen der beschriebenen höher einfachen Schritte G_i , S, Y gebaut:

E^~_K^Y = Y ·  G₁ · S ·  G₂ · S ·... · S ·  G_n · Y^–1,

D^~_K^Y = Y ·  G_n · S ·... · S ·  G₂ · S ·  G₁ · Y^–1.

Hier bezeichnen G_i und S entsprechend den Schritt der chiffrierenden Umgestaltung und die Umstellung der älteren und jüngeren Hälften des chiffrierten Blocks:

G_i (T) =  G_i (T₀, T₁) = (T₀, T₁ Å f (T₀, K_i)) = (T₀ ', T₁ ') = T ',

S (T) = S (T₀, T₁) = (T₁, T₀).

Wie es höher bemerkt war, kann das vorliegende Schema im Falle der Teilung des chiffrierten Blocks der Daten T in zwei nach dem Umfang unähnlichen Subblocks verallgemeinert sein. Außerdem können die zusätzlichen Umgestaltungen der Daten im Anfang, dem Ende beigefügt sein, oder auf den Zwischenstadien криптопреобразования, und auch anstelle der Funktion bitweise ausschließend oder kann man irgendwelchen andere für das Auferlegen des Gammas in die Teile des chiffrierten Blocks verwenden. Die Chiffre, die wir mit Ihnen gerade erst aufgebaut haben, heißt von der Chiffre des einfachen Ersatzes, da nach seine Handlung darin besteht, dass die chiffrierten Blöcke der Daten durch die Blöcke шифротекста unabhängig von anderen Blöcken ersetzt werden.

6.    Der russische Standard der Chiffrierung.

Es ist die Zeit angebrochen, über den Algorithmus der Chiffrierung, der der Russische Standard ist zu erzählen. Dieser Standard hat die Bezeichnung ГОСТ 28147-89 dem folgt, dass er in 1989 übernommen war. Seine Grundlage bilden die Prozeduren зашифрования und расшифрования nach dem Algorithmus des einfachen Ersatzes der 64-Bit- Blöcke der Daten, und schon werden mit ihrer Nutzung andere Algorithmen der Chiffrierung – wie es gebaut, zu machen, wird in den folgenden Abteilungen besprochen. Im gegenwärtigen Artikel wird nur криптоалгоритм ГОСТ 28147-89 [6] betrachtet, die Beschreibung einiger anderer Chiffren mit der ähnlichen Architektur kann man in der Literatur [2,7,8] finden, deshalb der Autor hat sich entschieden, auf sie nicht stehenzubleiben. Jetzt betrachten wir ГОСТ nach dem geplanten höher Schema:

1.    Wir werden die Zahlencharakteristiken des Algorithmus bestimmen:

·       ist der Umfang des chiffrierten Blocks 64 Bits gleich: |T | =64;

·       ist der Umfang des Schlüssels 256 Bits | K | = 256 gleich    ;

·       auf jedem Schritt des Algorithmus wird das 32-Bit- Schlüsselelement verwendet: | K_i | = 32;

·       die Zahl der Wiederholungen des Hauptschrittes (die Zahl der Runden) n = 32;

2.    Die Funktion der Chiffrierung klärt sich auf folgende Weise:

·       die Ausgangsdaten für die Funktion der Chiffrierung 32-Bit- sind das Element der Daten T und "der Schrittschlüssel" K_i;

·       bilden sich der Block der Daten T und "der Schrittschlüssel" K_i nach dem Modul 2³²: S = (T + K_i)  mod 2³²;

·       wird der bekommene 32-Bit- Block der Daten wie das Massiv aus acht 4-Bit- Gruppen S = (S₁, S₂ interpretiert  ..., S₈), | S_i | = 4, und in jeder Gruppe wird die Substitution mit Hilfe des entsprechenden Knotens des Ersatzes erfüllt: S_i ' =  h_i, Si. Daraufhin bekommen wir den folgenden Block der Daten: S' = (S₁ ', S₂ '..., S₈ ') = (h_{1, S}1, h_{2, S}2..., h_{8, S}8);

·       dreht sich das Ergebnis des vorhergehenden Schrittes auf 11 Bits nach links, das heißt zur Seite der älteren Kategorien: wenn S' = b₃₁b₃₀... b₂₁b₂₀... b₁b₀, so T ' = R^¬₁₁ (S') = b₂₀... b₁b₀b₃₁b₃₀... b₂₁;

·       ist der bekommene Block der Daten T ' eine Bedeutung der Funktion der Chiffrierung: T ' = f_i (T, K);

3.    Bei der Chiffrierung wird nächst geheim (Schlüssel-) die Informationen verwendet:

·       der Schlüssel – das 256-Bit- Massiv der Informationen, strukturiert ins Massiv aus acht 32-Bit- Elementen, die wir zu ihrer Nutzung im Zyklus der Chiffrierung durchnummerieren werden: K = (k₁, k₂..., k₈), | K | = 256, | k_i | = 32;

·       die Tabelle des Ersatzes – der Satz von acht – nach der Zahl der Bitgruppen, auf die der 32-Bit- Block der Daten bei der Berechnung der Funktion der Chiffrierung – der Knoten des Ersatzes abstürzt: H = (H₁, H₂..., H₈). Jeder Knoten des Ersatzes stellt von sich die Substitution in einer 16-Elementmenge aller möglichen Bedeutungen der 4-Bit- Kodes vor, und kann in Form vom Massiv aus verschiedenen 16 4-Bit- Zahlen so vorgestellt sein: H_i = (h_i, 0, h_i, 1..., h_i, 15), | h_i, j | = 4, 0  £ h_i, j  £ 15, für jede i, j, k (j  ¹ k), soll die Bedingung h_i, j ¹ h_i, k eingehalten werden  . Der Umfang jedes Knotens des Ersatzes ist | H_i | = 8× | h_i, j | = 64 Bits, und den Umfang der ganzen Tabelle des Ersatzes | H | = 8× | H_i | = 8×64 =  512 Bits oder 64 Bytes gleich                  ;

4.    Wir werden die Ordnung der Nutzung des Schlüssels bei der Chiffrierung bestimmen, das heißt werden wir die Funktion j _i die Leistungen "des Schrittschlüssels" aus dem Ausgangsschlüssel der Chiffrierung K aufgeben  : K_i =  j _i (K). Als "Schrittschlüssel" K_i im Gast übernehmen bestimmte Elemente k_j des Schlüssels K: K_i = k_j. Jedoch bedeutet solcher Elemente nur 8, und der Schritte im Zyklus der Chiffrierung 32, man muss die Funktion p (i), darstellend eine 32-Elementmenge der Schritte im Zyklus der Chiffrierung in eine 8-Elementmenge der Teile des Schlüssels aufgeben: K_i = k_p (i), 1  £ i  £ 32 1  £ p (i) £ 8 Werden wir diese Funktion in tabellarisch und формульном die Art aufgeben:

         

i	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16
p (i)	1	2	3	4	5	6	7	8	1	2	3	4	5	6	7	8
i	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31	32
p (i)	1	2	3	4	5	6	7	8	8	7	6	5	4	3	2	1

         

                

       Von anderen Wörtern, im Verlauf des Zyklus зашифрования werden die Elemente des Schlüssels konsequent nacheinander verwendet, dabei "wird" der Schlüssel vier Male – erste drei in der geraden Richtung, vierten – in rückgängig durchgesehen". Die Leser, die das Material der vorhergehenden Abteilungen gut behielten, werden mühelos überlegen, dass im Zyklus расшифрования die Elemente des Schlüssels in rückgängig in Bezug auf den Zyklus зашифрования die Ordnung verwendet werden, das heißt wird zuerst der Schlüssel einmal in der geraden Richtung, dann drei Male im Rückgängigen durchgesehen.

Jetzt werden wir über die Tabelle des Ersatzes reden. Sie ist einiges Analogon der S-Blöcke (S-boxes) des amerikanischen Standards, aber, im Unterschied zum Letzten, erstens ist ein und derselbe auf allen Schritten des Zyklus der Chiffrierung und zweitens        nicht fixiert und ist ein geheimes Element der Chiffre. Es ist nötig zu bemerken, dass der Algorithmus der Chiffrierung bei einer beliebigen Auffüllung der Knoten des Ersatzes umkehrbar ist, selbst wenn sie die richtige Substitution in einer 16-Elementmenge nicht aufgeben, das heißt enthalten die wiederholten Elemente des Ersatzes: h_i, j = h_i, k bei einigen i, j, k (j  ¹ k). Jedoch führt solcher Ersatz zum Verlust der Informationen über die ersetzte Bedeutung, und, wie die Untersuchung, zur Senkung криптостойкости der Chiffre, deshalb die Möglichkeit es im Gast nicht vorgesehen wird.

Wir werden bemerken, dass ein geheimes Hauptelement der russischen Chiffre der Schlüssel ist. Der Algorithmus soll криптостойким sogar im Falle des Öffnens der Tabelle des Ersatzes bleiben, dass, nicht bei allen ihren möglichen Bedeutungen jedoch vorhanden ist. Die Existenz "der schwachen" Tabellen des Ersatzes, das heißt der Tabellen, bei deren Nutzung криптостойкость der Chiffre wesentlich sinkt, erregt das Bedenken nicht – den Beispiel kann die triviale Tabelle hier dienen, bei deren Nutzung jede Bedeutung durch ihn ersetzt wird. Jedoch ist es in den breiten Kreisen der Fachkräfte-kriptografow genau nicht bekannt, wie der ähnlichen Tabellen viel ist und ob das Kriterium existiert, das für die konkrete Tabelle einstellige zu bestimmen erlaubt, ob sie schwach ist oder nicht. Es ist offenbar, dass wenn solche Kriterien und existieren, sie sind, keine Daten in dieser Frage sorgfältig geheimgehalten, so wie auch für die Qualität der Schlüssel, wurden in der offenen Presse nicht veröffentlicht.

Jedoch verhält sich die Sache mit der Auswahl der Schlüsseldaten nicht so schlecht – mit der Wahrscheinlichkeit, die sich von der Einheit unbedeutend unterscheidet, in der zufälligen Weise werden die gewählten Schlüsseldaten zur katastrophalen Senkung криптостойкости die Chiffre nicht bringen, und der Wert seines Öffnens bleibt genug hoch nach wie vor und kaum wird sich nach den Zähnen irgendwelcher kommerziellen Struktur, wenn auch sogar sehr groß erweisen. Also, können und die Staatsdienste die ganzen sie interessierenden Informationen falls notwendig bekommen, zur Entzifferung nicht herbeilaufend. Aus diesem Grund für den gewöhnlichen Benutzer, der Wert dessen geschützter Informationen die Summe etwa einige Hundert Tausend Dollar der USA nicht übertritt, wird der guten statistischen Qualität der Schlüsselinformationen, die im Folgenden besteht völlig ausreichend:

·       soll der Schlüssel Massiv aus 256 unabhängigen Bits mit den gleichwahrscheinlichen Bedeutungen sein;

·       soll die Tabelle des Ersatzes Satz aus acht unabhängigen Knoten sein, jeder von denen ist eine zufällige Substitution in einer 16-Elementmenge;

In der Ergänzung folgt das Folgende Bemerkung zu machen: wenn sich die Funktionen, die die Bits des Ergebnisses des Ersatzes durch die Bits des Ausgangsblocks äußern genug einfach ergeben, wird es die Chiffre schwächen. So                 ist harmlos anscheinend der Knoten des Ersatzes H_i  = (9, 8, 3, 10, 12, 13, 7, 14, 0, 1, 11, 2, 4, 5, 15, 6) schwach in Wirklichkeit, da die zweiten und dritten Bits der Gruppe unveränderlich abgibt, was offensichtlich wird, wenn es in der tabellarischen Form mit den binären Bedeutungen des Argumentes und die Funktion aufzuzeichnen:

S	0000	0001	0010	0011	0100	0101	0110	0111
H (S)	1001	1000	0011	1010	1100	1101	0111	1110
S	1000	1001	1010	1011	1100	1101	1110	1111
H (S)	0000	0001	1011	0010	0100	0101	1111	0110

Außerdem, die Tabelle des Ersatzes kann die Umgehungswege anderer Typen, zulassend, die Mitteilung in der wirksameren Weise zu entziffern, als der vollen Übergebühr nach den möglichen Bedeutungen des Schlüssels – aber es schon das Thema nicht für den Journalartikel enthalten.

7.    Die Mängel des Regimes des einfachen Ersatzes.

Die Nutzung der Blockchiffre im Regime des einfachen Ersatzes hat die Reihe der Mängel, die auf den Standhaftigkeiten und die Bequemlichkeiten der Nutzung der Chiffre widergespiegelt werden. Der erste und ernsteste Mangel des einfachen Ersatzes besteht darin, was in diesem Regime зашифрование der identischen Blöcke des Ausgangstextes daraufhin die identischen Blöcke шифротекста gibt, was die Aufgabe криптоаналитика erleichtert. Wirklich, auf der Grundlage nur der chiffrierten Daten kann er einige Schlüsse über die Eigenschaften des Ausgangstextes machen, dass, natürlich, keine Würde der Chiffre ist.

Wir werden das typische Beispiel anführen: wenn auch sich зашифрованию die Informationen auf der flexiblen magnetischen Disc unterziehen. Selten trifft sich die Situation, wenn die Daten die ganze Disc einnehmen, in der Regel bleibt sein bedeutender Teil frei. Der Teil der Diskette, niemals ist enthaltend der nützlichen Information, die fixierten Kodes gewöhnlich gefüllt, die dorthin bei der Formatierung aufgezeichnet sind, und bei ihrer зашифровании werden wir die fixierten Blöcke шифротекста bekommen. Dann, die vorliegende Diskette analysierend, kann криптоаналитик mit der Genauigkeit bis zu einigen Bytes den Umfang des Massives der nützlichen Information, die auf ihr enthalten ist bestimmen, dass in einer Reihe von den Fällen, zum Beispiel, wenn das Format und der Inhalt der Mitteilung mit dem Umfang der entsprechenden Datei verbunden sind, kann ihm die Aufgabe der Entzifferung erleichtern.

Man kann die Modifikation des Schemas der Chiffrierung nach dem Algorithmus des einfachen Ersatzes anbieten, entfernend den vorliegenden Mangel – dazu vor зашифрованием die Mitteilungen muss man es рандомизацию erfüllen. Diese Handlung besteht darin, dass die Blöcke des Ausgangstextes in der individuellen Weise, zum Beispiel, ¬«¼í¿¡¿ÓÒ¯Ô@ßn mit den Daten, die vom Sensor der Pseudozufallszahlen produziert werden (ПСЧ) mit Hilfe einiger binärer Operation _°, habend die Rückoperation _• abgeändert werden. Зашифрование wird und расшифрование laut den folgenden Angleichungen erfüllt werden:

T_i ' = E_K (T_{i  °} G_i),

T_i = D_K (T_i ')  _• G_i

Wo G_i – die Blöcke der Daten, die vom Sensor PSTSCH produziert werden. Wie schon früher bemerkt wurde, kommt als Operation des Auferlegens/Abnahme des Gammas am meisten allen die Prozedur bitweise ausschließend heran oder. Die Periode der Wiederholung der Reihenfolge ПСЧ {G_i}, produziert vom Sensor, soll maximal die mögliche Zahl der Blöcke in der Mitteilung übertreten.

Jedoch ist das vorliegende Protokoll insolvent, wenn криптоаналитик über die Möglichkeit der Analyse aufgrund des gewählten offenen Textes verfügt, das heißt wenn kann er eine beliebige offene damit gewählte Mitteilung chiffriert auf dem selben Schlüssel und mit der Nutzung der selben Elemente G_i , dass auch дешифруемый den Text bekommen . Wirklich, wir werden vermuten, dass криптоаналитик über solche Möglichkeit verfügt. Dann kann er зашифрованию das Massiv unterziehen, das aus ein Blöcken-Füllstoffen besteht und, das bekommene Ergebnis mit analysiert шифротекстом zu vergleichen:

U_i = U, wo U – der wahrscheinliche Blockfüllstoff,

U_i ' = E_K (U_{i  °} G_i).

Wenn die Bedingung U_i ' = T_i ' eingehalten wird  , bedeutet es, dass T_i = U, und unseren криптографический das Protokoll die auf ihn gesetzten Aufgaben nicht erfüllt.

Um dem angegebenen Mangel zu entgehen, soll das Protokoll der Chiffrierung die Einmaligkeit der Reihenfolge der Elemente des Gammas G_i gewährleisten. Wie man es verwirklichen kann? In der Regel, alle Algorithmen der Leistung ПСЧ haben einigen Satz der Zahlenparameter, der die bekommene Abgabereihenfolge {G_i} eindeutig bestimmt. Es lässt zu, ihre Einmaligkeit für verschiedene Prozesse der Chiffrierung mit einer zwei folgender Weisen zu gewährleisten:

·       die Zahlenparameter des Algorithmus der Leistung ПСЧ G_i geheim zu machen. Diese Weise darf man nicht gut nennen, da er zum Anwachsen des Gesamtvolumens der geheimen Schlüsselinformationen bringt, das heißt, nach dem Wesen, vermutet die Nutzung des zusätzlichen Algorithmus der Chiffrierung.

·       die Einmaligkeit des verwendeten Satzes der Zahlenparameter mit der entsprechenden Konstruktion шифрователя zu gewährleisten. Diese Weise darf man nicht auch für angemessen halten, da шифрователь einigen Block in diesem Fall enthalten soll, der des einzigartigen Vektors der Anfangsparameter für die Leistung G_i sichert, was seine Struktur komplizieren wird. Außerdem muss man die Chiffrierung nach dem Algorithmus des einfachen Ersatzes ohne Nutzung der Elemente G_i in diesem Fall verbieten, da wenn seiner,    nicht zu machen, криптоаналитик das Kombinieren des Blocks-Füllstoffes mit den Elementen G_i selbständig erfüllen kann, зашифрованию »«ß½Ññ«óáÔѽý@¡«ßÔý der Blöcke {U_i}, wo U_i = U  _° G_i untergezogen    .

Wie wir sehen, bewirkt die vorliegende Weise рандомизации der Ausgangsmitteilung mehr Probleme an und für sich, als zulässt, und deshalb seine Nutzung zu entscheiden, obwohl es im Prinzip möglich ist, hat etwas bedeutenden Vertriebes nicht bekommen. Außerdem, im Folgenden werden wir sehen, dass bei der Chiffrierung nach der Methode гаммирования die ähnlichen Probleme entstehen.

Der zweite Mangel, der unter Anwendung von der Blockchiffre im Regime des einfachen Ersatzes vorhanden ist, ist vom Problem der unvollständigen Blöcke, oder "der Schwänze" bedingt. Da sich im gegebenen Regime криптопреобразованию nur die Blöcke des fixierten Umfanges unterziehen, es entsteht das Problem, wenn der Umfang der chiffrierten Mitteilung nicht кратен dem Umfang des Blocks verwendet криптоалгоритма. Das Wesen des Problems besteht darin, als wie "die Schwänze" bis zu полноразмерных der Blöcke zu ergänzen, damit es in der Nutzung bequem war криптостойкости die Chiffre nicht verringerte. Wir betrachten die möglichen Wege der Lösung des vorliegenden Problems:

·       kann man "den Schwanz" die fixierten Daten – zum Beispiel, den Nullen ergänzen. Es, jedoch wird криптостойкость des letzten Blocks wesentlich verringern, da es криптоаналитику, verfügend über die Informationen über die Weise der Ergänzung "des Schwanzes", erforderlich ist, die Übergebühr nach einer Menge der möglichen Bedeutungen dieses Blocks, viel kleiner, als den vollen Raum der Bedeutungen des Blocks zu erfüllen.

·       kann man "die Schwänze" die Daten aus den vollen Blöcken ergänzen. Insgesamt arbeitet diese befriedigende Lösung, aber es nicht, wenn der unvollständige Block – einzig, das heißt wenn die Länge der Mitteilung gibt es mehreren Umfang des Blocks der Chiffre. Außerdem das vorliegende Herangehen verwendend, werden wir früh oder spät auf die Situation zusammenstoßen, wenn für die Ergänzung "des Schwanzes" die fixierten Teile der Mitteilung, die über die ungenügende Unbestimmtheit für криптоаналитика verfügen verwendet sein werden. So fangen, zum Beispiel, viele Mitteilungen mit dem Namensstempel an, der nur zwei – drei mögliche Bedeutungen übernehmen kann, und verschiedener Formen seiner Aufzeichnung in der Textart kann Maximum etwas Dutzende der Varianten sein. Wenn für die Ergänzung "des Schwanzes" der Teil solchen Blocks verwendet wird, so bildet sich die Situation, die betrachtete in vorhergehende Punkt ähnlich ist – kann "der Schwanz" eine leichte Beute криптоаналитика werden.

·       kommt die Anwendung für die Ergänzung "des Schwanzes" des abgesonderten ständigen geheimen Elementes aus dem selben Grund nicht heran, dass auch die erste Weise – die Nutzung des gegebenen Elementes nach den Teilen seine verwundbar zu криптоанализу macht. Solches Schema zeigt sich schutzlos vor der Analyse aufgrund des gewählten offenen Textes. Außerdem vergrössert die vorliegende Weise das Gesamtvolumen geheim (Schlüssel-) die Informationen, was sehr unerwünscht ist.

·       ist man wohl, die beste mögliche Weise besteht darin, für die Ergänzung "des Schwanzes" die Daten vom Hardwarezufallszahlengenerator zu verwenden. Es ist der Sensor, der wirklich die Zufallszahlen produziert, habend die hohe statistische Qualität hier nötig. Aus diesem Grund verschieden Programmsensoren PSTSCH hier kommen nicht heran. Infolge seiner zeigt sich häufig solche Weise unannehmbar nach den Wirtschaftsgründen, da das Vorhandensein auf jedem Computer-schifrowatele der sehr kostspieligen Hardwarekomponente fordert.

Wie wir sehen, hat das zweite Problem der Chiffrierung im Regime des einfachen Ersatzes die wirksame und gleichzeitig rentable Lösung auch nicht. Außerdem schafft dieses Problem noch ein, die rein technische Komplexität – nach зашифрования im Regime des einfachen Ersatzes des bekommenen Blocks werden alle Kategorien bedeutend, und es bedeutet, dass man zusammen mit шифротекстом den Umfang (die Zahl der Bits oder der Bytes) des letzten, unvollständigen Blocks des Ausgangstextes jetzt bewahren muss, was zur Veränderung seines Umfanges bringt, und es ist in einigen Fällen unerwünscht.

Der dritte Mangel der Chiffrierung im Regime des einfachen Ersatzes besteht in seiner Instabilität vor der Modifikation der Mitteilung, die in der Umstellung der Blöcke шифротекста besteht. Wirklich, wenn wir die Änderungen an den Block шифротекста "aufs Geratewohl" jenes aller Wahrscheinlichkeit nach nach расшифрования er vornehmen wird sich “запорченным” erweisen, das heißt wird sein Inhalt sinnlos. Der Grund es besteht darin, dass alle natürlichen und künstlichen Sprachen den riesigen Überschuss haben, und die Veränderungen, die zum Block шифротекста zufälligen, das heißt unvorsätzlichen für uns von der Weise beigetragen sind, beeinflussen die entsprechenden entzifferten Daten und die Wahrscheinlichkeit, den habenden Sinn das Ergebnis zu bekommen ist äußerst klein. Andere Sache, wenn wir von den Stellen einfach tauschen, wir entfernen oder wir verdoppeln die Blöcke der chiffrierten Mitteilung. In diesem Fall können wir das Ergebnis bekommen, das einigen Sinn hat, und solcher Verstoß der Ganzheit der Daten kann sich nicht bemerkt erweisen, wenn die speziellen Maße nicht zu übernehmen.

Infolge der dargelegten höher Gründe kann die Nutzung der Blockchiffre im Regime des einfachen Ersatzes sein es ist nur für die Chiffrierung klein nach dem Umfang der Datenfelder, deren Umfang кратен dem Umfang des Blocks verwendet block- криптоалгоритма und empfehlenswert die die wiederholten Blöcke nicht enthalten. Diesem Satz der Forderungen befriedigen nur die Massive der Schlüsselinformationen vollkommen. Gerade deshalb DES empfiehlt nicht, und der Russische Standard ГОСТ 28147-89 verbietet gerade, die Chiffrierung im Regime des einfachen Ersatzes für die Daten zu verwenden, die nicht Schlüssel- sind.

8.    Гаммирование.

Die in der vorhergehenden Abteilung angebotene Prozedur der Chiffrierung nach der Methode des einfachen Ersatzes von der Nutzung des Sensors der Pseudozufallszahlen kann ein wenig geändert sein, was sie von der Reihe der Mängel befreien wird. Зашифрованию ist nötig es nach dem Algorithmus des einfachen Ersatzes die Blöcke, die vom Sensor PSTSCH produziert werden, und schon sie unterzuziehen, als Gamma zu verwenden, das mit den Blöcken der Daten mit Hilfe der binären Operationen _° und _• kombiniert wird:

T_i ' = T_{i  °} E_K (G_i) (зашифрование),

T_i = T_i '  _• E_K (G_i) (расшифрование),

Wo die Blöcke des Gammas G_i vom Umfang | G_i | = | T | = N mit Hilfe des Sensors der Pseudozufallszahlen, der in der Regel der rekurrente Algorithmus ist produziert werden:

G_i+1 =  g (G_i), wo g – einige Funktion, реализуемая algorithmenweise.

Welche Forderungen zu ПДПСЧ vorgewiesen sein sollen, um die ausreichende Qualität der Chiffre zu gewährleisten? Vor allem werden wir bemerken, was криптостойкости, der guten statistischen Parameter für die produzierte Reihenfolge gefordert wird, da sie im Folgenden зашифрованием der Blöcke nach dem Algorithmus des einfachen Ersatzes gewährleistet werden.

1.    Es ist notwendig, dass die Periode der Wiederholung der generierten Reihenfolge ПСЧ {G_i} genug groß ist, es ist – maximal möglich besser. Wenigstens, er soll die meiste mögliche Zahl der Blöcke am chiffrierten Datenfeld übertreffen. Wenn nur aus dieser Forderung zu stammen, wäre am meisten herankommend die Nutzung des Elementar- der möglichen Sensoren, bestimmt mit dem folgenden Verhältnis: G_i+1 =  (G_i + 1) mod 2^N, oder einfach G_i =  i mod 2^N. Aber es handelt sich darum, dass dieser Sensor PSTSCH die Ausführung zweiten genügend wichtiger Forderung zu ПДПСЧ nicht gewährleistet:

2.    Es ist notwendig, dass es die benachbarten oder nach der Anordnung nahen Elemente der Reihenfolge {G_i}, das heißt wie mindestens genug ist, in einigen Bits, unterschieden sich voneinander. Es wäre äußerst wünschenswert, damit die Unterschiede zwischen ihnen in jedem Byte waren. Für den Elementargenerator, der im Punkt 1 angeboten ist, die Hälfte Paare benachbarter Bedeutungen unterscheidet sich nur in einem Bit: G_2i+1 =  G_2i Å 1.

Der Sinn der ersten Forderung wird offensichtlich ausgehend davon, dass die Methode гаммирования nach dem Wesen das einmalige Gamma fordert, anders wird er nach der algorithmischen Linie leicht geöffnet. Wenn die Periode der Wiederholung des produzierten Gammas ungenügend groß ist, können sich verschiedene Teile einer und derselbe langen Mitteilung chiffriert mit Hilfe der identischen Grundstücke des Gammas erweisen. Es verringert auf viel Ordnungen die Standhaftigkeit der Chiffre, seine leichte Beute криптоаналитика machend. Die zweite Forderung ist weniger offensichtlich, und eigentlich ist nur für die Chiffren vollkommen bestimmt архитектур vorhanden, in die der Schritt der Chiffrierung eine Kombination einiger verhältnismäßig einfacher Umgestaltungen ist, im Verlauf jedes von denen Unterschiedes in den chiffrierten Blöcken der Daten nehmen sehr unbedeutend zu. Deshalb, wenn wir die Chiffrierung zwei Blöcke unterziehen werden, sich unterscheidend nur in der einzigen binären Kategorie, werden die ernsten Unterschiede zwischen ihnen nur durch etwas solche einfachen Schritte erscheinen, dass die Standhaftigkeit der Chiffre etwas verringert und erleichtert die Aufgabe криптоаналитика. Natürlich, für den Fall STAATSJENE ist diese Senkung nicht so groß, aber die Hersteller des Algorithmus haben sich entschieden    , sich zu sichern. Der Sensor PSTSCH, der in den Russischen Standard auf die Chiffrierung eingeht, vermutet die unabhängige Bearbeitung der älteren und jüngeren Hälften des produzierten Blocks G_i = (G_i, 0 , G_i, 1):

G_i+1,0 =  (G_i, 0 + C₀) mod 2³²,

G_i+1,1 =  (G_i, 1 + C₁ – 1) mod (2³² – 1) + 1,

Wo die Konstanten C₀ und C₁ die folgenden Bedeutungen in 16-ritschnoj dem Zahlensystem haben: C₀ =  1010101₁₆, C₁ =  1010104₁₆.

Solcher ist ДПСЧ ненамного elementar- komplizierter, befriedigt den obengenannten Forderungen jedoch: die Periode der Wiederholung der mit sein Hilfe produzierten Reihenfolge ist zu maximal genug groß und nah, und die mit sein Hilfe bekommenen Blöcke werden wie mindestens in einem Bit in jedem Byte unterschieden.

Wir werden bemerken, dass der vorliegende Algorithmus wie in hardware- einfach ist, als auch in der Programmrealisierung, – werden wir uns erinnern, dass alle ganzzahligen Berechnungen im Computer nach dem Modul 2^N, wo die N-Wortlänge des mechanischen Wortes geführt werden. Das erste zwei Verhältnisse wird auf allen ausnahmslos 32-Entladungstypen der Prozessoren für eine Mannschaft, zweites realisiert, obwohl mehr schrecklich aussieht, als erstes, in Wirklichkeit ненамного komplizierter ihn realisiert wird. Es wird offensichtlich, wenn es, in der nächsten Form aufzuzeichnen:

Auf allen dem Autor bekannten 32-Entladungsprozessoren die rekurrenten Verhältnisse für die Leistung des nächsten Elementes wird allen für drei Maschinenbefehle realisiert:

add	G0,01010101h
add	G1,01010104h
adc	G1,0

Die Mannschaften sind in der Mnemonik der Firma Intel für den von ihr hergestellten Prozessor iAPX386, G0, G1 – 32 Bitelemente der Daten – die Register oder die doppelten Wörter im Gedächtnis, entsprechend die jüngeren und älteren Hälften des 64-Bit- Blocks der Daten gegeben, aus denen nach зашифрования nach dem Algorithmus des einfachen Ersatzes der Block des Gammas erhalten wird.

Es ist offenbar, dass unter Anwendung vom Regime гаммирования, wie auch für jeden Fall, wenn der rekurrente Sensor PSTSCH verwendet wird, das zusätzliche Element der Daten G₀, ersten in der rekurrenten Reihenfolge {G_i notwendig ist}. Um einige mögliche Weisen криптоанализа zu erschweren, wird im Russischen Standard der Chiffrierung das Element G₀ зашифрованием nach dem Algorithmus des einfachen Ersatzes des Blocks der Daten S solchen Umfanges | S | = | G₀ | = 64, genannt синхропосылкой oder der Anfangsauffüllung erhalten        : G₀ = E_K (S). Für die Chiffrierung werden die Blöcke des Gammas, seit G₁ verwendet. Синхропосылка soll der die Mitteilung übernehmenden Seite bekannt sein, aber die Forderung der Einmaligkeit des Gammas der Chiffrierung, das mit der Kombination синхропосылка+ключ eindeutig bestimmt wird, bringt zur Notwendigkeit, einzigartig синхропосылку für jede übergebene Mitteilung zu verwenden. Da ihre Geheimhaltung für die Versorgung der Standhaftigkeit der Mitteilung nicht gefordert wird, wird синхропосылка in der offenen Art zusammen mit der chiffrierten Mitteilung gewöhnlich übergeben.

Es ist offenbar, dass гаммирование Variante потокового der Chiffrierung, das heißt in der gegenwärtigen Abteilung haben wir den Mechanismus aufgebaut, zulassend ist, потоковые die Chiffren aufgrund block- zu schaffen. Entsprechend ihm verfügt der von uns angebotene Algorithmus der Chiffrierung über alle Vorteile und die Mängel потоковых der Chiffren. Vor allem werden wir bemerken, dass гаммирование von vielen Mängeln des einfachen Ersatzes frei ist.

Erstens werden die identischen Blöcke des Ausgangstextes nach зашифрования verschiedene Blöcke шифротекста geben, was die Aufgabe криптоанализа auf der Grundlage nur шифротекста nicht erleichtert.

Zweitens fehlt wie auch in allen Fliesschiffren, das Problem des unvollständigen Blocks der Daten. Wirklich, bei зашифровании letzt in der Mitteilung des Blocks der Daten T_n des unvollständigen Umfanges | T_n |  < N aus produziert für diesen Block des Gammas können wir das Fragment solchen Umfanges nehmen. Dieses Herangehen ist offensichtlich, wenn die Operation des Auferlegens des Gammas bitweise ist, aber kann und für andere Fälle verwendet sein. Es ist wichtig, dass dabei wir den Block шифротекста des selben Umfanges, dass auch den Block der Ausgangsdaten bekommen werden. So ändert зашифрование nach der Methode гаммирования den Umfang der chiffrierten Daten nicht, dass es in einer Reihe von den Fällen wichtig vorkommt.

In dritten, die Tatsachen beliebiger Manipulationen wie über den Teilen криптоблоков, als auch über ganzen Blöcken, solche, wie ihre Umstellung, die Entfernung, das Dublieren, offensichtlich nach расшифрования werden ist wird davon in höherem Grad gezeigt, als mehr Überschusses in der chiffrierten Mitteilung enthalten ist. Besonders hell dieser Effekt wird für die Textdateien – wenn solchen Manipulationen gezeigt, die chiffrierte Mitteilung unterzuziehen, die auf einem der natürlichen Sprachen gebildet ist, so werden wir nach расшифрования den vollen Unsinn bekommen.

Dem Regime гаммирования in viel большей die Stufen, als dem Regime des einfachen Ersatzes, ist die Eigenschaft der Nichtweiterverbreitung des Fehlers eigen. Wenn sich für den zweiten Fall der Fehler innerhalb ganz geändert криптографического des Blocks unvorsätzlich für den Übeltäter in der Weise erstreckt, so wird für den ersten Fall ihr Einfluss auf den entsprechenden Block des offenen Textes verhältnismäßig leicht vorhergesagt, was möglich die gerichtete Modifikation der Blöcke шифротекста macht. Wenn die Modifikationen das Bit im Datenfeld unterzuziehen, das гаммированием mit der Nutzung der Operation bitweisen ausschließenden oder chiffriert ist, so wird sich nach расшифрования geändert nur das selbe Bit im offenen Text erweisen.

Die angegebene Eigenschaft гаммирования ist ziemlich unangenehm, da nach dem Wesen bedeutet, dass der Übeltäter, nur auf шифротекст einwirkend, kann beliebige Kategorien im entsprechenden offenen Text nach eigenem Ermessen tauschen. Inwiefern es gefährlich sein kann, werden wir auf dem folgenden Beispiel erklären: wenn auch der Briefträger – der Übeltäter die chiffrierte Mitteilung übergibt, die er nicht entziffern kann, kann an ihn willkürliche Änderungen jedoch vornehmen. Solcher Briefträger kann, zum Beispiel, der Arbeiter der Unternehmensfiliale, der Kommunikations- ЭМВ bedient, vorbestimmt für die Sendung der Mitteilungen in die Kopfabteilung der Firma sein. Wenn auch er das gewisse Dokument, das in Form von der Textdatei gebildet ist, chiffriert im Regime гаммирования übergibt, in den, wie er weiß, mit 13 Positionen die Aufzeichnung einiger Zahl, zum Beispiel, der Summe seiner Prämie anfängt. Vollkommen kann sich erweisen, dass ihm die ganze Summe bekannt ist oder, selbst wenn werden wir ihr einiger Teil – vermuten, dass die Aufzeichnung der Zahl mit dem Symbol ‘ 1 ’ anfängt, und der Übeltäter weiß es. Dann wird für ihn das Werk nicht bilden, diese Zahl auf andere, zum Beispiel, – auf ‘ 9 ’ zu befördern. Was wird allen dazu gefordert ist das 13. Byte der Mitteilung B₁₃ durch die neue Bedeutung zu ersetzen, die auf folgende Weise ausgerechnet wird: B ' ₁₃ = B₁₃ Å ' 1 '  Å ' 9 '. Durch ' 1 ' und ' 9 ' haben wir die Kodes der Zahlen 1 und 9 entsprechend in jenem System der Kodierung bezeichnet, in dem der Text der Mitteilung vorbereitet ist. Wenn es ASCII, so ist genügend es, nur ein Bit der Mitteilung zu invertieren: B ' ₁₃ = B₁₃ Å 8. Nach расшифрования wird der Empfänger die Mitteilung bekommen, in der anstelle der richtigen Zahl 1 die Zahl 9 kostet, und es gibt als mehrere keine Veränderungen gibt es! Es ist offenbar, dass die vorliegende Auswechselung nicht aufgedeckt sein kann, wenn es im übergebenen Datenfeld keine zusätzlichen Informationen, außer der chiffrierten Ausgangsmitteilung gibt. Das angeführte Beispiel illustriert die Tatsache noch einmal, dass die Versorgung der Geheimhaltung der Mitteilung (seine Chiffrierung) seine Echtheit, das heißt der Authentizität an und für sich nicht gewährleistet. Worin der Grund solcher Besonderheit гаммирования? Es handelt sich darum, dass dieses Regime sehr wünschenswert für alle Chiffren der Vermischung der Bits der Mitteilung, das heißt den Einfluss eines Bits des Ausgangstextes auf die etwas Bits шифротекста nicht gewährleistet.

Andere Besonderheit гаммирования, erschwerend den Mechanismus seiner Nutzung ist eine Notwendigkeit der Versorgung der Einmaligkeit des Gammas. Da sich das Gamma vom Schlüssel und синхропосылкой eindeutig klärt, soll dieses Paar für jedes chiffrierte Dokument einzigartig sein, was bei der Beständigkeit des Schlüssels zur Notwendigkeit der Bestimmung jeder Mitteilung einzigartig синхропосылки bringt. Deshalb ist ein beliebiges Protokoll der Chiffrierung (der Algorithmus der Chiffrierung des höheren Niveaus) gegen die Analyse auf der Grundlage des beliebig gewählten offenen Textes vollständig labil, wenn криптоаналитик синхропосылку nach eigenem Ermessen ernennen kann oder, für die Chiffrierung der Mitteilung die Methode des einfachen Ersatzes verwenden.

9.    Гаммирование mit der Rückkopplung.

Bei der Synthese des Algorithmus der Blockchiffrierung stießen wir auf die Idee schon zusammen, das Gamma für die Chiffrierung des nächsten Blocks der Daten mit der Nutzung eines oder mehrerer vorhergehender Blöcke der Daten zu produzieren.

G_i+1 = f (T_i), oder, mehr обще:

G_i+1 = f (T₁, T₂..., T_i).

Bei diesem Schema der Chiffrierung, so wie auch bei gewöhnlich гаммирования, gibt es das Problem des Erhaltens des ersten Elementes des Gammas. Die Weise ihrer Lösung ist vollkommen traditionell: der Ausgangstext wird den fiktiven nicht geheimen Block T₀, dessen einzige Bestimmung ergänzt – Grundlage für die Leistung des ersten Blocks des Gammas zu sein: G₁ = f (T₀).

Wie auch bei гаммировании ohne Wespen, soll dieser Block ein Teil der chiffrierten Mitteilung sein:

T ' = (T₀, T₁ ', T₂ '..., T_n ' ).

Wenn wir uns entschieden haben, die Blöcke des Gammas aus den Blöcken des Ausgangstextes zu produzieren, so müssen wir dabei beliebige statistische Gesetzmäßigkeiten dieses Textes verbergen. Offensichtlichst und schon der erprobte Weg dazu – die chiffrierende Umgestaltung, das heißt den Algorithmus des einfachen Ersatzes zu verwenden:

G_i = E_K (T_i),

T_i ' = T_i  Å G_i = T_i  Å E_K (T_i–1).

Aber das angebotene Herangehen in seiner ursprünglichen Art verfügt über viele Mängel des Algorithmus des einfachen Ersatzes, für deren Überwindung wir eigentlich und verschiedene Verbesserungen des Schemas der Chiffrierung unternommen haben. Wir werden das beachten, dass bei seiner Nutzung der Block шифротекста nur von den ihm entsprechenden und vorangehenden Blöcken des Ausgangstextes abhängt:

T_i ' = T_i  Å E_K (T_i–1) = f (T_i, T_i–1).

Es bedeutet, dass bei зашифровании des Massives der identischen Blöcke der Daten die entsprechenden Blöcke шифротекста, mit dem zweiten von ihnen beginnend, werden auch identisch sein sind wird offensichtlich der Betrachtung der Angleichungen зашифрования:

T_i ' = f (T_i, T_i–1),

T_i ' ₊₁ = f (T_i+1, T_i),

T_i–1 = T_i = T_i+1 ® T_i ' = T_i ' ₊1.

Wie wir sehen, nach der gegebenen Eigenschaft der von uns angebotene Algorithmus der Chiffrierung überhaupt nicht des besser einfachen Ersatzes. Jedoch kann man es sehr leicht vervollkommnen, wenn für die Leistung des Gammas, die Blöcke шифротекста, und nicht des entsprechenden offenen Textes zu verwenden:

G_i = E_K (T_i '_–1),

T_i ' = T_i  Å G_i = T_i  Å E_K (T_i '_–1) (зашифрование),

T_i = T_i ' Å G_i = T_i ' Å E_K (T_i '_–1) (расшифрование).

Jetzt hängt jeder Block шифротекста nicht nur von entsprechend, sondern auch von allen vorangehenden Blöcken des Ausgangstextes ab:

T_i ' = T_i  Å E_K (T_i '_–1) = f (T_i, T_i '_–1), aber

T_i '_–1 = T_i–1 Å E_K (T_i '_–2) = f (T_i–1, T_i '_–2), deshalb

T_i ' = f (T_i, T_i '_–1) = f (T_i, T_i–1, T_i '_–2) = ... = f (T_i, T_i–1..., T₁, T₀), wo

T₀ – синхропосылка.

Die von uns erfüllte Verbesserung macht гаммирование mit der Rückkopplung frei von den Mängeln des einfachen Ersatzes. Wirklich, wie das Korrigieren in die Blöcke шифротекста, als auch die Manipulation von ganzen Blöcken zu unvorsätzlich für den Übeltäter den Veränderungen im entzifferten Text bringt, als dessen Ergebnis er die Möglichkeit verliert, solche Einwirkungen zielgerichtet zu leisten.

Wie wir früher gezeigt haben, beeinflussen auf jeden Block шифротекста bei зашифровании alle vorangehenden Blöcke des Ausgangstextes und синхропосылка: T_i ' = f (T_i, T_i–1..., T₁, T₀). Von Etwas anderer, obwohl in einer sehr ähnlichen Weise auf die Blöcke des offenen Textes, die bei расшифровании bekommen werden, die Blöcke шифротекста beeinflussen. Für das Verständnis des Charakters dieses Einflusses werden wir die Angleichungen расшифрования für zwei angrenzende Blöcke der Daten noch einmal aufzeichnen:

T_i = T_i '  Å E_K (T_i '_–1),

T_i+1 = T_i ' ₊1 Å E_K (T_i ').

Aus diesen Angleichungen wird klar sein, dass jeder Block шифротекста bei расшифровании nur auf zwei Blöcke des offenen Textes beeinflusst: auf den ihm entsprechenden Block, und auf den zu ihm folgenden Block. Wobei für den ersten Fall dieser Einfluss solchen Charakter, wie auch unter Anwendung von gewöhnlich гаммирования, und in zweitem – wie beim einfachen Ersatz trägt. So wenn der Übeltäter die Änderungen an den Block шифротекста vornehmen wird, sie werden auf den laufenden und folgenden Blöcken der Mitteilung widergespiegelt werden.

Die Erscheinungsform dieses Einflusses bequem, auf dem Beispiel aus der vorhergehenden Abteilung zu erklären: wenn die Mitteilung nach der Methode гаммирования mit der Rückkopplung chiffriert war und waren an ihn die im Beispiel angegebenen Änderungen vorgenommen, so wird nach расшифрования der Empfänger das nächste Bild sehen:

·       im geänderten Block allen auch, wie auch bei gewöhnlich гаммировании – anstelle der richtigen Zahl einen kostet die vom Übeltäter aufgedrängte Neun, und es gibt als mehrere keine Veränderungen gibt es;

·       im Block, der für geänderten, das Bild solchen folgt, wie auch beim einfachen Ersatz – stellt der Block die zufällige sinnlose Kombination der Bits dar;

·       blieben alle übrigen Blöcke unveränderlich;

So hat das Regime гаммирования mit der Rückkopplung die selben Vorteile, dass auch gewöhnlich гаммирование, und gleichzeitig von seinen Mängeln frei ist. Гаммирование von den Wespen standfest zu den Umstellungen der Blöcke und zu den gerichteten Modifikationen шифротекста, wenn nicht der letzte Block nur abgeändert wird. Von anderen Wörtern, der Übeltäter, der die Änderungen in шифротекст vornimmt, kann ihren Einfluss auf den offenen Text genau nicht rechnen, wenn, natürlich, über den geheimen Schlüssel nicht verfügt. Andererseits, für dieses Regime wie für den Sonderfall гаммирования, fehlt das Problem "des Schwanzes" – des letzten unvollständigen Blocks der Daten und im Unterschied zu гаммирования ohne Wespen nicht so ist das Problem der Einmaligkeit синхропосылки scharf. Wir werden die letzte Bemerkung erklären: wirklich, bei gewöhnlich гаммировании klärt sich das produzierte Gamma синхропосылкой und dem Schlüssel eindeutig: G_i = f (i , T₀ , K ), während bei гаммировании von den Wespen sie auch von den chiffrierten Daten abhängt: G_i^ос = f (i , T₀, T₁..., T_i–1, K ). Deshalb, wenn zwei Mitteilungen, nicht der enthaltenden identischen Blöcke, mit der Nutzung eines und derselbe Schlüssels und синхропосылки chiffriert sind, so       wird die Gleichheit T_i ^' Å T^~_i ^' = T_i  Å T^~_i nur bei i = 1 erfüllt  , was die Aufgabe der Entzifferung nur erstes, aber auf keine Weise der nachfolgenden Blöcke der Mitteilung erleichtert. Es verringert den Witz des Problems, aber, natürlich, nimmt sie vollständig nicht ab. Wenn криптоаналитик über die Möglichkeit der Analyse aufgrund eines willkürlichen offenen Textes, einschließlich die Auswahl синхропосылки verfügt, ist solches Schema der Chiffrierung gegen die Analyse labil. So muss man und für die Originalität синхропосылки in diesem Fall sorgen.

Die Erzählung über гаммировании beendend werden wir bemerken, dass der Russische Standard der Chiffrierung keine anderen Regimes der Chiffrierung, außer beschrieben höher vorsieht. Der amerikanische Standard bestimmt noch etwas Regimes mit der Rückkopplung, jedoch ist es sie unvorteilhaft unterscheiden sich von beschrieben höher dadurch, dass für eine Behandlung zur Prozedur des einfachen Ersatzes die Portion der Daten t chiffriert wird, nach den Umfängen kleiner, als der volle 64-Bit- Block der Daten des Algorithmus DES, |t | < 64, was, natürlich, die Schnelligkeit шифрователя ohne etwas bemerkenswerte Erhöhung seiner Standhaftigkeit verringert. Außerdem wir werden bemerken, dass es ganz gesagt in der gegebenen Abteilung des Artikels richtig, wenn anstelle des Algorithmus des einfachen Ersatzes nach ГОСТ, irgendwelchen anderen Algorithmus des einfachen Ersatzes – ihm zu verwenden DES sein können, FEAL übrig bleibt, албер usw. – klärt sich die Standhaftigkeit bekommen so потокового der Chiffre von der Standhaftigkeit der verwendeten Chiffre des einfachen Ersatzes vollständig.

10.    Имитозащита.

Wie wir schon in den Beispielen mehrfach demonstrierten, kann die Chiffrierung an und für sich die übergebenen Daten vor dem Korrigieren nicht schützen. Es ist Reflexion die Tatsache, dass die Geheimhaltung und die Echtheit – das Wesen ¡Ñºáó¿@ß¿¼ÙÑ die Eigenschaften криптографических der Systeme. So muss man bei der Organisation der chiffrierten Verbindung über имитозащите der übergebenen Daten abgesondert sorgen.

Da wir die Systeme des Schutzes der Informationen, die die notwendigen Charakteristiken nur mittels der Manipulation mit den Informationen beziehungslos die Eigenschaften ihrer materiellen Träger gewährleisten betrachten, kann die Versorgung der Echtheit der Mitteilung nur von der Grundsteinlegung in ihn eines bestimmten Überschusses erreicht sein, der mit der ausreichenden Stufe der Glaubwürdigkeit zulassen würde, alle vorgenommen in ihn in der unbefugten Weise der Änderungen aufzudecken. Die am meisten einfache und offensichtliche Weise es, zu machen – zur Mitteilung den zusätzlichen Kode, der von der Kontrollkombination oder имитовставкой genannt wird, abhängenden von seinem Inhalt zu ergänzen:

T ^~ = (T, Y ), wo Y = f (T ₎.

Beim Erhalten der Mitteilung prüft die seiner übernehmende Seite die Ausführung der Bedingung Y = f (T ₎, und wenn es gerecht ist, die Mitteilung wird echt angenommen, andernfalls wird es wie falsch abgelehnt.

Zur Elementarweise der Berechnung der Kontrollkombination kann die Kontrollsumme der Blöcke der Mitteilung nach dem Modul einiger Zahl dienen – gewöhnlich ist der Umfang der Kontrollkombination dem Umfang der Blöcke der Daten gleich:

f (T) = (T₁ + T₂ +... + T_n) mod 2^N, wo N = | T_i | – der Umfang der Blöcke.

Es ist jedoch offenbar, dass die vorliegende Weise der Berechnung der Kontrollkombination für имитозащиты nicht passt, da seine Fälschung das besondere Problem nicht vorstellt. Um sich dem zurechtzufinden, über welche Eigenschaften der Algorithmus der Leistung имитовставки verfügen soll, betrachten wir die möglichen Drohungen die Echtheit der Daten:

 

·       kann der Übeltäter versuchen, die Daten T ® T ^~ so damit sie имитовставка zu ändern   blieb unveränderlich: f (T) = f (T ^~);

·       kann der Übeltäter versuchen, сфабрикованное mit ihm die Mitteilung T ^~ von der richtig ausgerechneten Kontrollkombination f zu versorgen (T ^~), das es für das Echte ausgegeben;

 

Ein beliebiges praktisches Schema имитозащиты soll den wirksamen Schutz vor zwei obengenannten Drohungen gewährleisten, wessen man über имитовставке – der Kontrollsumme nicht sagen darf.

Für die Berechnung solcher Kontrollkombination kann sogenannt verwendet sein es ist die irreversibele Funktion rechen-. Die Funktion Y = f (T ₎ heißt es ist irreversibel rechen-, wenn die Bestimmung solcher Bedeutungen T, für die die Angleichung f (T ₎  = Y gerecht ist   , das heißt    rechen- die Berechnung der Rückfunktion T = f^–1 (Y ₎ unmöglich ist. In der Praxis bedeutet es, was ist Bedeutung T in der wirksameren Weise, als der Übergebühr nach einer Menge aller seiner möglichen Bedeutungen nicht bestimmt sein kann. Der Umfang имитовставки Y |Y | =  N soll die etwas bedeutsame Wahrscheinlichkeit der erfolgreichen Fälschung der Mitteilung ausschließen, die in allerschlimmst für den Analytiker den Fall p = 2^–N gleich ist  .

Klar, dass der Begriff der Rechenirreversibilität формализуемо und deshalb seine Ausführung tatsächlich außerordentlich schwierig ist es ist unmöglich, für die konkreten Algorithmen zu prüfen. Das Schema имитозащиты, gegründet auf der irreversibelen Funktion, ist in Bezug auf die erste Drohung standfest. Wirklich, damit sie zu realisieren, der Übeltäter soll die Mitteilung T unter die aufgegebene Kontrollkombination Y auswählen, wofür er die Angleichung f (T ₎  = Y verhältnismäßig T entscheiden muss   , dass es nach unserer Annahme für die annehmbare Zeit unmöglich ist. Jedoch schützt das vorliegende Schema имитозащиты vor der zweiten Drohung nicht. Um ihre standfest zu ihr zu machen, kann man имитовставку zusammen mit der Mitteilung chiffriert auf selbem oder anderem Schlüssel übergeben. Die Kontrollkombination, die so in der ausländischen Literatur ausgerechnet ist heißt vom Kode des Entdeckens der Manipulationen mit den Daten (Manipulation Detection Code), und abgekürzt wird MDC bezeichnet. Für die Realisierung der gegebenen Methode ist notwendig es ist die irreversibele Funktion der Kompression der Daten rechen-. Das Wort "die Kompression" ist im Titel der Funktion anwesend, weil es unabhängig vom Umfang der Mitteilung der Umfang der Kontrollkombination immer постоянен, und, natürlich, in der Mehrheit der praktischen Fälle mehreren Umfang der Mitteilung gibt. Jedoch ist das entsprechende Gebiet der Mathematik so kompliziert, dass die Rechenirreversibilität bis formell für einen in der Praxis verwendeten Algorithmus der Kompression der Daten bewiesen ist. Im Russischen Standard auf die Chiffrierung und имитозащиту der Daten hat das Herangehen aufgrund MDC die Reflexion nicht gefunden.

Damit der Übeltäter keine der obengenannten ihm zugänglichen Drohungen nach dem Verstoß der Ganzheit der Daten realisieren konnte, ist genügend es, die Unmöglichkeit der Berechnung mit ihm der Kontrollkombination f (T ₎ für einen beliebigen Text T gewährleisten . Dazu muss man den Algorithmus ihrer Berechnung f (T ₎ das geheime Element криптосистемы einfach machen . Die konsequente Durchführung ins Leben des Prinzips Kirchgofa bringt zum Schema, in dem die Funktion f an und für sich nicht geheim ist, aber hängt vom Vektor der geheimen Parameter – des Schlüssels K ab:

I = f (K , T ) = f (K, T₁..., T_n), wo

T = (T₁..., T_n) – der Ausgangstext, der auf die Blöcke des fixierten Umfanges müde ist. Die produzierte auf diese Weise Kontrollkombination hat den Titel des Kodes аутентификации der Mitteilungen (Message Autentification Code) bekommen und abgekürzt wird MAC bezeichnet. In der einheimischen Literatur heißt sie криптографической von der Kontrollsumme manchmal (ist          nicht vollkommen korrekt). Wie uns diese Funktion f (K , T zu realisieren  )? Zu unserer Verfügung gibt es den Algorithmus криптографического die Umgestaltungen I = E_K (T ₎ (des einfachen Ersatzes zu, jedoch), der notwendig für die Konstruktion der ähnlichen Funktionen über die Eigenschaften verfügt, lässt nur mit den Blöcken des Textes des fixierten Umfanges | T | = N zu arbeiten    .

Die erste Idee, die, es einfällt, die Kontrollsumme zu chiffrieren, die von der gewöhnlichen Weise ausgerechnet wird. Jedoch ist die Zahlungsunfähigkeit solchen Herangehens offensichtlich – er lässt uns zu, sich gegen die zweite der gebrachten Drohungen zu verteidigen, jedoch schützt nicht vor erster vollkommen. Wirklich, der Übeltäter, der über einige aufgefangene früher Mitteilung wie in geöffnete, als auch in der chiffrierten Form mit имитовставкой verfügt, kann solchen ¬Ó¿»Ô«@ß¿ßÔÑ¼Ñ die falsche Mitteilung – dazu er фабрикует die Mitteilung mit genau solcher Kontrollsumme mühelos aufdrängen, dass auch vorhanden bei ihm, und mit seiner selb имитовставкой versorgt. Einzig, was dem Übeltäter darin stören kann, es ist die Unmöglichkeit ist korrekt, сфабрикованное die Mitteilung zu chiffrieren. Jedoch dürfen nicht wir darauf hoffen – die Forderung der Versorgung der Echtheit der Mitteilung unabhängig von seiner Geheimhaltung bleibt in der Kraft.

Unser erstes Herangehen an die Aufgabe der Konstruktion des Algorithmus der Berechnung имитовставки hat sich misslungen erwiesen. Wir werden ein wenig es versuchen, zu verbessern: erstens werden wir die Blöcke der Mitteilung chiffrieren, und, nur dann die Kontrollsumme bekommen шифроблоков zu finden:

f (T) = (E_K (T₁) + E_K (T₂) +... + E_K (T_n)) mod 2^N.

Das vorliegende Herangehen ist nach jenen Linien, nach denen vorhergehend geöffnet wurde, jedoch standfest und er hat die offensichtliche schwache Stelle: auf keine Weise reagiert auf die mögliche Umstellung der Blöcke шифротекста. Für die Überwindung dieses Mangels kann man anstelle der Summierung versuchen, andere, некоммутативную die Funktion des Kombinierens der Blöcke zu verwenden, jedoch bewirkt es eine Menge verschiedener unangenehmer Probleme und deshalb das vorliegende Herangehen hat die praktische Anwendung nicht gefunden.

Wie uns unter diesen Umständen zu handeln? Sich hier an die Zeit über das Regime гаммирования mit der Rückkopplung zu erinnern – in diesem Regime hängt jeder Block шифротекста von allen Blöcken des Ausgangstextes von erstem bis zu entsprechend ihm ab. Bedeutet, der letzte Block шифротекста hängt von allen Blöcken des Ausgangstextes ab, des geheimen Schlüssels und ist zu den möglichen Umstellungen der Blöcke шифротекста, vor denen спасовал die vorhergehende Variante zu alledem standfest. So können wir versuchen, es in der Qualität имитовставки zu verwenden:

I = T_n ' = f (T_n, T_n '_–1) = f (T_n, T_n–1, T_n '_–2) =... = f (T_n, T_n–1..., T₁, T₀).

Dabei, es ist nötig zwei Sachen jedoch zu beachten:

·       синхропосылка für die Berechnung имитовставки ist       nicht nötig – die Umgestaltung kann man unmittelbar mit dem ersten Block der Daten beginnen: I = T_n  Å E_K (T_n–1 Å E_K (... E_K (T₁)...));

·       ist das vorliegende Schema nach dem letzten Block – wirklich verwundbar, das zusammenfassende Ergebnis für имитовставки bildet sich von der bitweisen Summierung nach dem Modul 2 letzten Blöcke der Daten mit einigem Kode, der von allen vorhergehenden Blöcken abhängt: I = T_n ' = T_n  Å E_K (T_n '_–1) ist bedeutet, dass der Übeltäter сфабриковать eine willkürliche Mitteilung kann, und dann, zu ihm noch einen Block, der nach der Formel T_n = I  Å E_K ausgerechnet ist     (T_n '_–1 ergänzen    ), damit die Kontrollkombination für ihn dem Vorgabewert I gleich war;

Die gegebenen Bemerkungen ist es leicht, zu berücksichtigen – man muss nur die Ordnung der Nutzung auf jedem Schritt der Operationen bitweise ausschließend ändern oder und des einfachen Ersatzes, – wird dann der Algorithmus der Berechnung имитовставки auf folgende Weise aussehen: I = E_K (T_n  Å E_K (T_n–1 Å ... E_K (T₁)...))).

Die Nutzung in der Qualität имитовставки des letzten Blocks, der bei der Chiffrierung des Datenfeldes гаммированием mit der Rückkopplung bekommen ist, oder irgendwelcher Funktion von ihm, kann einige криптографические die Protokolle insolvent machen. Es ist vorhanden, wenn für зашифрования des Textes und der Leistung имитовставки ein und derselbe Algorithmus – гаммирование mit der Rückkopplung, und einen und derselbe Schlüssel verwendet wird. Wir werden zeigen, dass dieses Schema имитостойкости nicht gewährleistet. Wenn auch die Mitteilung T = (T₁, T₂..., T_n) ist es auf dem Schlüssel K nach dem Algorithmus гаммирования von den Wespen chiffriert: T ' = (T₁ ^', T₂ ^'..., T_n ^' ). Wenn auch als Kode аутентификации ausgerechnet nach dem selben Algorithmus und auf dem selben Schlüssel des Codas I verwendet wird, ist es T = T_n ^' offenbar  . Dann sieht die volle chiffrierte Mitteilung mit dem Kode аутентификации der Folgende aus: T ^~ ' = (T ', I) = (T₁ ^', T₂ ^'..., T_n ^', T_n ^'). Wenn der Übeltäter die Änderungen in шифротекст vornehmen wird, so wird nichtsdestoweniger unser Schema аутентификации die Veränderungen nicht aufdecken, obwohl, bekommen bei расшифровании der Text vom Wahrhaften sehr fern sein wird. Der Grund es steckt darin, dass zum Kriterium der Authentizität der Mitteilung hier die Gleichheit des letzten Blocks шифротекста der Kontrollkombination dient, und es dahinter, verhältnismäßig leicht zu gewährleisten. Die Situation wird sich kardinal nicht verbessern, wenn anstelle unmittelbar des letzten Blocks шифротекста in der Qualität имитовставки, die Funktion von ihm, bekommen wenn auch sogar mit Hilfe des Algorithmus des einfachen Ersatzes zu verwenden: I = E_K (T_n ^').

So können sich криптографические die Schemen, in die имитозащита von der Chiffrierung nicht abgetrennt ist, das heißt als Kode аутентификации wird der Teil шифротекста oder die Funktion verwendet, die mit der Nutzung nur solchem Teil ausgerechnet wird, labil gegen die Manipulation mit шифротекстом erweisen. Von hier aus ist nötig es, dass zwei Wege der Beseitigung des angegebenen Mangels existieren:

·       für die Berechnung имитовставки verschiedene криптоалгоритмы, oder verschiedene Regimes eines und derselbe Algorithmus zu verwenden;

·       für die Chiffrierung und die Berechnung имитовставки verschiedene Schlüssel zu verwenden;

Die Nutzung zwei Schlüssel anstelle eines ist nicht ganz bequem, deshalb die Schöpfer STAATSJENE sind gegangen nach dem ersten Weg – sie haben den abgesonderten Algorithmus E_K ^', vorbestimmt ausschließlich für die Berechnung имитовставки entwickelt. Wenn für die Chiffrierung vom einfachen Ersatz auf jedem Schritt der Zyklus 32-S, geäußert in den Termini der Komposition der einfachen Umgestaltungen (siehe die Abteilung 4 des gegenwärtigen Artikels) auf folgende Weise verwendet wird: so wird bei der Berechnung имитовставки der vereinfachte Zyklus 16-S, enthaltend die ersten 16 Schritte des Zyklus 32-S verwendet:. Der vereinfachte Algorithmus der Berechnung имитовставки lässt zu, ungefähr doppelt большего die Schnelligkeit im Vergleich zu den Regimes der Chiffrierung zu erreichen.

Andere Unterschiede des Algorithmus der Berechnung имитовставки vom Algorithmus гаммирования mit der Rückkopplung sind von den früher gebrachten Gründen bedingt und bestehen im Folgenden:

·       wird синхропосылка nicht verwendet;

·       verwirklicht sich das Kombinieren des Kodes mit den Daten mit Hilfe der Funktion Å nicht nach, und bis zum Schritt криптопреобразования: I₀ = 0, I_i = E_K ^' (I_i–1 Å T_i), i = 1,2..., n.

Die zweite Eigenschaft entfernt die Verwundbarkeit имитовставки nach dem letzten Block der Mitteilung.

Wir werden bemerken, dass in der Qualität имитовставки aller, und nur der Teil des bekommenen Blocks I_n übernehmen kann: I = ( In ) _{1... L}, wo L = | I | – der Umfang имитовставки. In der Regel, es ist 32 jüngere Bits des Blocks I_n. Der Umfang имитовставки L bestimmt die Wahrscheinlichkeit des erfolgreichen Aufzwingens der falschen Daten, die p = 2^–L gleich ist  . Im Schluss der gegebenen Abteilung werden wir bemerken, dass im Regime der Berechnung имитовставки ГОСТ erlaubt, in den Anfang des Textes seine Berechnungsparameter, solche, wie das Datum der letzten Modifikation der Datei und sein Umfang, usw. zu ergänzen: I (T) = I (U, T), wo U – der Vektor der Berechnungsparameter.

Der Schluss.

Darauf ist der Autor erzwungen, den Punkt zu stellen, obwohl ohne Betrachtung die große Zahl der wichtigen Fragen blieb, insbesondere waren ganz die Fragen der Realisierung des Russischen Standards in Form vom Apparat oder die Computerprogramme nicht berührt, die in letzter Zeit das meiste Interesse für die breite Palette der Fachkräfte vorstellen. Nichtsdestoweniger hofft der Autor, dass der vorliegende Artikel ganz sich interessierend криптографическими von den Methoden des Schutzes der Informationen nützlich sein wird. Als Ergänzung dem Artikel wird der Satz der Angleichungen für alle Regimes криптопреобразований nach ГОСТ 28147-89, seiend eigentlich von der formalen und genug vollen Beschreibung des Standards beigefügt .

Die Literatur.

1.      G. L.Messi. Die Einleitung in die moderne Kryptologie. ТИИЭР, т.76, №5, den Mai 88, m, die Welt, 1988, s.24-42.

2.      M.E.Smid,  D.K.Bransted. Der Standard der Chiffrierung der Daten: die Vergangenheit und die Zukunft. ТИИЭР, т.76, №5, den Mai 88, m, die Welt, 1988, s.43-54.

3.     U.Diffi. Zehn ersten Jahre der Kryptographie mit dem offenen Schlüssel. ТИИЭР, т.76, №5, den Mai 88, m, die Welt, 1988, s.54-74.

4.      A.N.Lebedew. Die Kryptographie mit dem offenen Schlüssel und der Möglichkeit ihrer praktischen Anwendung. Davon. Die Sparkasse. «Der Schutz der Informationen», вып. 2, den M 1992, s.129-147.

5.    Und.  W.Spessiwzew u.a. der Schutz der Informationen in den Personalcomputern. М, den Rundfunk und die Verbindung, 1992, s.140-149.

6.    ГОСТ 28147–89. Die Systeme der Bearbeitung der Informationen. Der Schutz криптографическая. Der Algorithmus криптографического die Umgestaltungen.

7.     S.Maftik. Die Mechanismen des Schutzes in den Netzen des Computers. М, die Welt, 1992.

8.     W.Schelnikow. Die Kryptographie vom Papyrus bis zum Computer. М, ABF, 1996.

¤Ёшыюцхэшхаааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааа die Angleichungen криптографических der Umgestaltungen einverstanden ГОСТ 28147-89

Das Regime	Die Angleichung зашифрования	Die Angleichung расшифрования	Die zusätzlichen Informationen
Der einfache Ersatz	Ti ' =  EK (32) (Ti), 1  £ i  £ n	Ti =  DK (32) (Ti '), 1  £ i  £ n	—
Гаммирование	Ti ' =  Ti Å EK (32) (Gi), 1  £ i  £ n	Ti =  Ti ' Å EK (32) (Gi), 1  £ i  £ n	G0 =  EK (S), Gi =  (Gi, 0, Gi, 1), 0  £ i  £ n Gi, 0 =  (Gi–1,0 + C0) mod 232, 1  £ i  £ n Gi, 1 =  (Gi–1,1 + C1 – 1) mod (232 – 1) + 1, 1  £ i  £ n, C0 =  101010116, C1 =  101010416.
Гаммирование mit der Rückkopplung	Ti ' =  Ti Å EK (32) (Ti '–1), 1  £ i  £ n	Ti =  Ti ' Å EK (32) (Ti '–1), 1  £ i  £ n	T0 ' =  S.
Die Leistung имитовставки	—	—	I0 =  0, Ii =  EK (16) (Ii–1 Å Ti), 1  £ i  £ n, I = (In) 1. L

Die Erklärungen:

T_i, T_i ^' – i-tyj der Block des geöffneten und chiffrierten Textes entsprechend;

S-sinchropossylka – Das Datenfeld vom Umfang | S | = 64 Bit;

I-imitowstawka – Das Datenfeld vom Umfang L nicht mehr als 64 Bit: L = | I | < 64;

E_K ^(32) = (G₁SG₂S... SG₈S^{) 3 (}G₈S... SG₂SG₁⁾ – die Umgestaltung des Zyklus зашифрования (32-S);

D_K ^(32) = (G₁SG₂S... SG₈S^{) (}G₈S... SG₂SG₁^{) 3} – die Umgestaltung des Zyklus расшифрования (32-R);

E_K ^(16) = (G₁SG₂S... SG₈S^{) 2} – die Umgestaltung des Zyklus der Leistung имитовставки (32-S);

S (T₀, T₁) = (T₁, T₀) – die Operation der Umstellung der älteren und jüngeren 32-Bit- Hälften преобразуемого des Blocks der Daten;

G_i (T₀, T₁) = (T₀, T₁ Å f_H (T₀, K_i)) – die Operation eines Schrittes der Umgestaltung des 64-Bit- Blocks der Daten, 1 £ i £ 8;

f_H (t, k) = R^¬₁₁ (C_H ((t + k) mod 2³²)) – die Funktion der Chiffrierung, t-preobrasujemyj der Block der Daten, der auf dem Schritt das Element des Schlüssels k-verwendet wird – die 32-Bit- Blöcke der Daten: | t | = | k | = 32;

R^¬₁₁ – Die Operation des Drehens (die zyklische Verschiebung) des 32-Bit- Blocks der Daten auf 11 Bit nach links (zur Seite der älteren Bits);

C_H – die Operation der Umgestaltung des 32-Bit- Blocks der Daten, in der blockweisen Substitution der 4-Bit- Gruppen der Daten bestehend ist nach der Tabelle des Ersatzes H = {h_i, j} _{1 £ i £ 8,1 £ j £ 16}:;