Andrei Vinokurov. ¿Cómo es convenida la cifra de bloques prefabricados?
En el artículo presente encontraréis la descripción de la arquitectura tradicional de la construcción de las cifras de bloques prefabricados, que es la base más conocido de las cifras modernas no secretas, tales, como los estándares Rusos y americanos de la cifración. El artículo era escrito exactamente hace 3 años – el autor la ha acabado en la primera mitad del abril de 1995, pero por las causas diferentes no podía entonces publicar. En aquel tiempo la información sobre la arquitectura de las cifras clásicas de bloques prefabricados faltaba prácticamente en la prensa Rusa abierta, а la terminología de lengua rusa en esta esfera se encontraba todavía en la fase del proceso de formación. Por el tiempo que ha pasado desde entonces había un número enorme de los materiales por el tema discutido, por eso hoy el artículo puede aparecer ligeramente ingenuo. Sin embargo su rehacimiento radical ocuparía demasido tiempo, es más fácil escribir un nuevo artículo, y por eso el autor paralelamente a este trabajo ha decidido publicar la versión corriente con los cambios insignificantes. El artículo no supone el conocimiento preliminar del lector con la criptografía, contiene sin embargo el número suficiente de las fórmulas matemáticas y sobreentiende la posesión del aparato correspondiente matemático.
La introducción
Que acaba 20 siglo es el siglo no sólo la electricidad y el átomo, en aún большей los grados puede pretender para llamarse en el siglo de la informatización total y la computerización de la sociedad. Del mismo momento, cuando en su medio han aparecido y han comenzado la procesión victoriosa por el planeta del mecanismo para el tratamiento de los datos numéricos – los ordenadores, ha surgido la industria de la producción, el tratamiento y el consumo de la información, que en la actualidad se hacía la parte integrante de nuestra vida. Es ahora sobre el nivel tecnológico de los estados vale la pena juzgar no por la cantidad del acero fundido per capita o las cosechadoras hechas para la limpieza de la remolacha azucarera, а por la potencia común de todos los medios de cómputo que son a un habitante del país.
La importancia de la información en el mundo moderno es testimoniada es más ejemplar por los hechos siguientes: En primer lugar, la posesión por el cierto código digital puede abrir el acceso a su propietario a los valores materiales considerables y los servicios – tal estado de las cosas tiene lugar gracias a lo que la informatización de la sociedad no ha pasado de largo la esfera bankovsko-financiera. En segundo lugar, se ha formado y se ha fortalecido de un modo excepcional la industria de los servicios informativos – la información se hacía la mercancía ordinaria, es decir el objeto de la compraventa. Muchas firmas prosperan solamente gracias a lo que pueden recibir las noticias importantes para su actividad de todo para algunas horas o el día antes de competidores. En tercero, según las estimaciones de los economistas extranjeros la parte considerable de las firmas occidentales se arruinaría en la corriente de algunos días después de la divulgación de la información críticamente importante, su actividad que es la base.
El carácter especial, inmaterial de la información hace exclusivamente fácil su copia y la modificación, por fuerza de que ella se hace por un diferente objeto seductor de los abusos. Además, bastante típica es la situación, cuando sus propietarios no se han decidido a vender la información, necesaria a alguien, por ningún dinero, y el único modo de ella recibir robar. Las causas indicadas han llevado al surgimiento de la rama entera de la actividad humana, que destino básico – obtener la información por cualesquiera modos posibles e imposibles, – claro, se trata exploración. La profesión del espía con otros, es hermoso por todo conocido, es un de más antiguos sobre el planeta. Por otro lado, la estadística testimonia es implacable que la parte siempre más grande de todos los crímenes se realiza en la esfera de las tecnologías de la información "blanco" y “los cuellos azules”, que usan "las brechas" de los sistemas informativos en los objetivos personales. Realmente, es ahora para robar el banco, no es necesario romper las paredes de los depósitos y cortar por el autogen las cajas de caudales, basta de conocer el código que dirige el acceso a un de las cuentas bancarias. Todo que es necesario para esto, es un ordenador y el acceso a la red bancaria, y bien, y es final, alguna cantidad de la sustancia gris en el cráneo. Dolorosamente, pero el hecho – el número de los crímenes con el uso “de las altas tecnologías” crece por los ritmos rápidos.
Una alta vulnerabilidad de las tecnologías de la información a las acciones distintas malintencionadas ha engendrado la necesidad indispensable en los medios de la resistencia a esto que ha llevado al surgimiento y el desarrollo de la esfera de la defensa de la información (ЗИ) como la parte integrante de la industria informativa. La tarea más antigua de la esfera ЗИ es la defensa de los mensajes entregados del conocimiento no autorizado con su contenido, hay unos certificados de la comprensión por las personas de este problema todavía en hasta-anti los tiempos – en Egipto antiguo y la Babilonia, а la información sobre los modos de su decisión en la antigüedad nos ha llegado en forma de las referencias a así llamado “el código de César” – la cifra simplísima aplicada primero por Juliem César, а posteriormente y otros emperadores Romanos, para la defensa de la correspondencia de los ojos demasiado curiosos. Sin embargo hasta el tiempo moderno la criptografía era no el oficio, а por el arte, y como la ciencia, la criptografía se ha formado sólo en el siglo presente. Pero todavía el tiempo largo después de esto шифровальные los departamentos eran la prerrogativa excepcional diplomático y los servicios de inteligencia, la situación se ha cambiado es cardinal solamente en las últimas décadas.
En la actualidad la noción “la defensa de la información” une en él la multitud de significados más distintos – de la reservación de la alimentación para la defensa de la información de la destrucción a las intermitencias posibles en la red que alimenta y los guardianes en el umbral de la sala informática, las personas extrañas, que obstaculizan a la entrada, y el traslado por los empleados de los portadores de la información, hasta los generadores de los obstáculos "aturden" las radiaciones, que llevan la información. De toda la variedad de los métodos ЗИ nosotros somos interesados sólo por los que no son vinculados de ningún modo a las características de sus portadores materiales, а son fundados en la manipulación por la información y usan sólo sus propiedades inmanentes. Esta esfera ZI se llama en la defensa criptográfica de la información y sobrevive ahora boom presente. Al día de hoy es conocida una gran cantidad de las tareas que se refieren a la esfera ЗИ, – tal abundancia es condicionada que las interacciones informativas, desarrollando, adquieren cada vez más el carácter contradictorio, se hacen respectivamente más diversas y ejercitado las amenazas en su parte, а esto lleva a su vez al surgimiento de las nuevas tareas. Si antes todas las necesidades de la defensa de la información se reducían al mantenimiento de la confidencialidad y la autenticidad de los mensajes entregados, es decir a su defensa de la lectura y la inserción de los cambios por las personas extrañas, es actual ahora mucho большее el número de los problemas. Entre las nuevas tareas notaremos sólo dos, más conocido: el envío de las claves secretas por los canales de comunicación no protegidos (la distribución abierta de las llaves) y la confirmación de la propiedad de autor de los mensajes (la firma digital). А ya que hay una gran cantidad menos conocido, pero las tareas no importantes.
Conforme a las clases de las tareas decididas en la actualidad había dos esferas de la criptografía: clásico, o la criptografía con la clave secreta, y moderno, o la criptografía con la llave abierta. La historia primero cuenta con los milenios, mientras que la edad oficial segundo no ha pasado todavía por tres decenas de los años. Se pararemos brevemente sobre las distinciones entre ellos.
1. La criptografía clásica y moderna.
Clásico, o la criptografía mono-clave decide en realidad sólo dos tareas: la defensa de los mensajes entregados de la lectura y de la modificación por las personas extrañas. Se apoya en el uso de los algoritmos simétricos de la cifración, en que por - y расшифрование se distinguen solamente del orden de la ejecución y la dirección de algunos pasos simples. Estos algoritmos usan el mismo elemento (llave) secreto, y la segunda acción (расшифрование) es el recurso simple primero (зашифрования). Por eso cada uno los participantes del cambio puede cifrar, así como descifrar el mensaje. Por razón de la redundancia grande de las lenguas naturales directamente en el mensaje cifrado es extraordinariamente difícil aportar el cambio sensato, por eso la criptografía clásica abastece también la defensa de la imposición de los datos falsos. Si resulta la redundancia natural insuficientemente para la defensa segura del mensaje de la modificación, puede ser artificialmente aumentada por medio de la adición a él de la combinación especial de control llamada имитовставкой.
El esquema clásico de la cifración trabaja perfectamente, mientras entre los participantes del cambio informativo haya una confianza mutua. Si no existe, pueden surgir las colisiones distintas, puesto que por la simetría completa del esquema en caso del conflicto entre las partes para el observador independiente no hay posibilidad de sacar la conclusión unívoca, quien de dos participantes de los derechos. Realmente, el destinatario puede fabricar el mensaje cifrado y luego declarar que por ello es recibido del remitente legal, а aquel, a su vez, puede negarse a la propiedad de autor los mensajes, en realidad entregados ello, habiendo declarado que era fabricado por el destinatario mismo, el bien la posibilidad correspondiente hay aquel. En estos casos el arbitraje independiente, en que función entra el permiso de los conflictos entre los participantes del proceso informativo, no puede determinar, quien de ellos de los derechos, а quien – no existe. El hecho llevado significa que el esquema examinado criptográfico no permite unívocamente confirmar o desmentir la propiedad de autor del mensaje. Además, este esquema tiene necesidad del servicio especial que se ocupa de la fabricación de las claves secretas y la entrega a sus participantes del cambio informativo. Claro, si los participantes del cambio de todo dos, el problema es pequeño – el papel de tal servicio puede cumplir un de ellos o hasta los dos ellos es alternativo. Pero si el sistema cuenta con los centenares o hasta mil de nudos vinculados entre ellos del tratamiento de la información, es el problema pequeño crece en el dolor de cabeza grande.
La contradicción entre las restricciones de la criptografía clásica y constantemente nuevas tareas que surgen ha llevado a lo que en la segunda mitad de los años setenta eran elaborados los en principio nuevos accesos, que permiten decidir los problemas enumerados más arriba, así como el número grande de otros. De la base ha servido la apertura así llamado asimétrico криптоалгоритмов, o los métodos, en que los procedimientos directo y de vuelta криптопреобразования se cumplen sobre las llaves distintas y no tienen entre ellos los enlaces evidentes y fácilmente seguidos, que permitirían determinar por una llave otro. En tal esquema el conocimiento solamente la llave зашифрования no permite descifrar el mensaje, por eso él no es el elemento secreto de la cifra y es publicado habitualmente por el participante del cambio para que cualquiera que desea pueda mandarle el mensaje cifrado.
Como vemos, la criptografía moderna permite decidir mucho más de amplio círculo de las tareas, que la criptografía clásico. En la aurora de su desarrollo se manifestaban hasta las opiniones que en algunos años desalojará por completo a la antecesora, sin embargo esto no ha pasado por las causas siguientes: En primer lugar, los algoritmos con la clave secreta se realizan mucho más fácilmente como respecto a programas, y es duro, por fuerza de que a las características iguales de la productividad y la firmeza la complicación, entonces el precio de los materiales que realizan la cifra con la llave abierta es visiblemente más alto del precio de los aparatos que realiza la cifra clásica, а a la realización de programa sobre el mismo tipo del procesador las cifras monoclaves trabajan más rápidamente dosclave. En segundo lugar, seguridad de los algoritmos con la llave abierta en la actualidad es fundamentada mucho peor, que seguridad de los algoritmos con la clave secreta y no existe la garantía que dentro de un tiempo no serán abiertos, como esto ha resultado con криптосистемой, fundado en la tarea sobre la colocación del morral. Por eso para la organización del enlace cifrado en la actualidad se aplican las cifras exclusivamente clásicas, а los métodos de la criptografía moderna se usan solamente allí, donde no trabajan, es decir para la organización de las actas distintas sutiles como la firma digital, la distribución abierta de las llaves y el juego en el póquer por la correspondencia. Ya que los algoritmos asimétricos criptográficos no son el tema del artículo presente, el autor no se detendrá más sobre esto. El lector interesado puede encontrar su descripción y la discusión en una gran cantidad de las fuentes, por ejemplo, en [1,3,4,8].
Es necesario notar que en la actualidad es publicado el número considerable de los trabajos científicos y populares por la criptografía moderna, mientras que las publicaciones poco numerosas, en que son examinadas las cifras clásicas, son dedicadas en general o las preguntas de la historia del arte de la criptografía, o contienen la descripción de los algoritmos concretos sin investigación de los principios generales que están en su base. Tal estado de las cosas por un lado, es el tributo a la moda, а con otra – la consecuencia excesivo засекреченности de la criptografía clásica, en todo caso, normal no lo es posible llamar. Precisamente por eso en el trabajo presente el autor ha decidido contar de los principios generales de la construcción криптоалгоритмов con la clave secreta, más exactamente, una de sus clases llamadas por las cifras de bloques prefabricados, en el nivel bastante simple que el artículo sea claro al lector no muy preparado, y al mismo tiempo con la rigurosidad necesaria. No hay necesidad detalladamente de pintar dignidades de los principios, examinados en el artículo, de la construcción de los algoritmos de la cifración, basta sólo de decir que son la base de dos cifras más conocidas en Rusia del número más fuerte, o, si así le gusta más, dos más fuertes cifras del número más conocido – los estándares Rusos y americanos de la cifración, los algoritmos el GOST 28147-89 y DES, también el número grande de unas menos fuertes cifras menos conocidas y/o. Pasaremos directamente a su estudio.
2. Las nociones básicas.
Hay algunos principios de la construcción криптоалгоритмов con la clave secreta – distinguen потоковые y las cifras de bloques prefabricados, es posible pasar la clasificación y por otros indicios. Para contar de todos los tipos posibles de las cifras de la clase dada es necesario escribir no el artículo, а el libro bastante voluminoso o hasta algunos libros. Por eso el autor no tratará de abarcar inmenso, y se limitará en el artículo dado por el relato sobre la arquitectura encarnada en los estándares Rusos y americanos de la cifración – a todos ellos las distinciones son parecidos como los hermanos, que incluso no los mellizos. Puede ser, las noticias, expuestas en el artículo, inspirarán al lector con la mente curiosa para la creación de propia cifra – en esto no hay nada imposible, ya que la criptografía en los últimos años ha alcanzado tales éxitos que es ahora hasta los países, menos desarrollados en la ciencia, sin mencionar las grandes firmas que prosperan de los estados desarrollados, se permiten crear a él la cifra prácticamente no abierta. A aquel hay un ejemplo convincente – el estándar americano de la cifración (DES) era elaborado originariamente por la firma IBM para propias necesidades, y sólo luego, después de algunas elaboraciones, era aceptado en calidad del estándar federal de los EEUU [2]. Los logros de la criptografía moderna permiten abastecer la confidencialidad tanto completa al tratamiento de la información que hasta los defensores más fervientes de la privacidad y no intervención del estado en los expedientes personales de los ciudadanos temen sus consecuencias. Así, el Congreso de los Estados Unidos son examinadas las actas legislativas que permiten a la aplicación de los medios criptográficos solamente bajo el control de los servicios correspondientes. Además todos los procedimientos del cambio para los mensajes cifrados deben basarse así que a la necesidad del servicio especial por la decisión de los órganos judiciales podrían descifrarlos. Es posible que bastante pronto antes llegará el asunto y a nosotros. En esta dirección es hecho ya algunos pasos – lean el decreto del presidente de Rusia №334 del 3 de abril de 1995 “Sobre las medidas de la observación de la legalidad en el campo de la elaboración, la producción, la realización y la explotación шифровальных de los medios, también la concesión de los servicios en el campo de la cifración de la información”, el control del estado que establece en realidad detrás de la elaboración y el uso de los medios криптозащиты la información. Las dudas a propósito de aquel, de donde “las orejas crecen” no puede ser – ФАПСИ tiene intención de ser el monopolista en este mercado muy atractivo de los aparatos, los programas y los servicios, а el estado no quiere que sus ciudadanos tengan los secretos de él.
Volveremos a la esencia del problema: así, que dos partes, que llamaremos los participantes legales del cambio para la información, tratan de arreglar el enlace secreto. De ellos uno es al remitente, а otro – el destinatario del mensaje, aunque, claro, en las situaciones reales estos papeles no son fijados en los participantes rudamente y cada uno ellos cae ser por el remitente, así como el destinatario. La tarea del remitente consiste para formar y enviar al destinatario el mensaje T. La tarea del destinatario consiste que el mensaje mandado de recibir y comprender su contenido. Que uno solamente el destinatario pueda ponerse al corriente del contenido del mensaje, el remitente tiene que transformarlo conforme a algún algoritmo E así, todo lo que quien, a excepción del destinatario legal y, puede ser, el remitente, no podía restablecerlo en el tipo anterior. Esta transformación se llama зашифрованием los mensajes T, а lo que resulta como resultado de este procedimiento, se llama шифротекстом T '. El enlace entre el texto T inicial, шифротекстом T ' y el algoritmo зашифрования E puede ser simbólicamente expresado por medio de la fórmula siguiente: T ' = E (T). El mensaje T cifrado ' pasa por el remitente al destinatario por el canal de comunicación. Que el destinatario legal pueda ponerse al corriente del contenido del mensaje recibido, él lo debe preliminarmente descifrar, es decir aplicar a шифротексту T ' el algoritmo расшифрования D, como resultado será restablecido el mensaje T inicial. Así, расшифрование de los datos se realiza conforme a la ecuación T = D (T '). Para abastecer la confidencialidad del enlace, el algoritmo расшифрования no debe ser conocido a las personas extrañas, puesto que su confidencialidad determina la confidencialidad del enlace organizado así.
En nuestra situación hay una tercera parte llamada conforme a la tradición que se ha formado por el malhechor, que desea impedir la realización de las intenciones de los participantes legales del cambio. En el caso más general dando cumplimiento a las intenciones el malhechor puede interceptar los mensajes cifrados y mandar los mensajes, fabricados por él mismos, de un de las partes en nombre de otra. Claro, él no posee el algoritmo расшифрования – en este caso todo sería extremamente simplemente para él. El círculo de las tareas, que puede intentar decidir криптоаналитик, más ampliamente que simplemente la descodificación del mensaje – enumeraremos estas tareas llamadas en la criptografía por las amenazas:
· descifrar el mensaje T ', es decir recibir el texto T abierto, correspondiente a ello, ' por completo o parcialmente, o por lo menos hacer algunas conclusiones sobre el contenido del mensaje interceptado, apoyando en las leyes, descubiertas en ello;
· formar en base a que tiene dado al mensaje T ~ ', que el destinatario legal aceptaría por verdadero. Es en absoluto obligatorio además, aunque, claro, es muy deseable para el malhechor que él mismo pueda comprender el sentido del mensaje compuesto o hasta podía fabricar cualquier mensaje, escogido por ello según su parecer;
Bajo el descubrimiento de la cifra comprenden la realización exitosa por lo menos por una de las amenazas indicadas. La primera amenaza, si es realizada, violará la confidencialidad del mensaje, а segundo violará su autenticidad. El grado del éxito en la realización enumerado ser más alto de las amenazas puede también distinto. Si excluir el suerte casual, la realización exitosa de la amenaza de la confidencialidad de los datos significa la asimilación por el malhechor por el algoritmo расшифрования D, o la construcción del algoritmo D, funcionalmente equivalente a ello, ', que permite para cualquier mensaje T cifrado ', o por lo menos para шифротекстов de alguna clase, recibir el mensaje T correspondiente abierto. Análogamente, la realización exitosa de la amenaza de la integridad de los datos significa la asimilación por el malhechor por el algoritmo зашифрования E, o la construcción del algoritmo E, funcionalmente equivalente a ello, ', que permite para cualquier mensaje T abierto, o por lo menos para los mensajes de alguna clase, recibir el mensaje T correspondiente cifrado ' o, en el caso menos exitoso para él, la creación del algoritmo E ~ que permite crear tal mensaje T cifrado ', que el destinatario legal aceptaría por verdadero.
Para la realización de las amenazas el malhechor tiene que realizar algún trabajo bastante intelectual con los datos interceptados, en esto puede ayudarlo криптоаналитик. Es fácil adivinar que en la tarea último entra криптоанализ, es decir el análisis de los mensajes interceptados con el fin de la realización de un de las amenazas enumeradas más arriba. Además el analítico puede disponer de la información siguiente:
· el texto T descifrado ', pueden haber también los mensajes interceptados antes cifrados
(T1 ', T2 '..., Tn ' ), cifrado con el uso del mismo algoritmo, así como T ';
· los mensajes abiertos correspondientes a algún antes cifrado interceptado:
(T1, T2..., Tm ), Ti ' = E (Ti), i = 1..., m, donde m £ n;
· la posibilidad de recibir para el mensaje T cualquiera abierto, escogido por el malhechor, correspondiente шифротекст T ' = E (T);
· la posibilidad de recibir para el mensaje T cualquiera cifrado, escogido por el malhechor, ' el texto T correspondiente abierto = D (T ');
Conforme a estas tres posibilidades distinguen los tipos siguientes básicos криптоанализа:
· el análisis en la base solamente шифротекста;
· el análisis en base al texto no escogido abierto;
· el análisis en base al texto escogido abierto;
· el análisis en base a escogido шифротекста;
La primera posibilidad es a disposición del analítico prácticamente siempre. La segunda posibilidad es completamente real también: por ejemplo, exploración a través de la red de agentes consiguió sacar el desciframiento de un de los mensajes secretos. Además, esta posibilidad es muy típica en aquellas esferas, donde el plazo de la vida de la información secreta es muy pequeño, y es hecha pública rápidamente – con la transmisión de los materiales de promoción, los reportajes distintos publicados posteriormente por los medios de la información de masas etc., la palabra en todas partes, donde es necesario adelantar a los competidores de todo para algunas horas o los días. Las terceras y cuartas posibilidades, aunque parecen exótico, con todo eso pueden tener lugar también – si el empleado de la organización que trabaja a otra parte, tiene el acceso a general шифровальным a los medios. Claro, el tercer caso vale la pena conforme a la tarea de la descodificación, а cuarto – la imposición de los datos falsos. Primero dos son actuales para las dos amenazas.
En la situación vital, examinada por nosotros, hay todavía una parte, que papel trataremos de cumplir. Es al criptógrafo, en que tarea entra abastecer a los participantes legales del cambio de tales algoritmos por - y расшифрования que el malhechor no pueda cumplir ni una de las amenazas hasta en la situación, más favorable para él, es decir a la posibilidad криптоанализа en base al texto según el deseo escogido abierto. Con otras palabras, la tarea del criptógrafo es la elaboración del sistema secreto y auténtico de la transferencia de los datos. En general, es distinto, aunque a veces y las propiedades, vinculadas bastante apretadamente en las cifras concretas, криптосистем. Explicaremos su sentido:
La autenticidad es la seguridad del sistema criptográfico de la imposición de los datos falsos.
La confidencialidad es la seguridad del sistema criptográfico de ¡Ñßᡬµ¿«¡¿Ó«@óá¡¡«ú« del conocimiento con el contenido de los datos, cerrados por el sistema.
3. Las cifras con la clave secreta.
Así, nuestra tarea consiste para abastecer a los participantes del cambio de los algoritmos seguros de la cifración. ¿La primera pregunta, que a él daremos – si esto es decidida la tarea en general, y si sí, que grado máximo de la confidencialidad podemos abastecer? La respuesta a esta pregunta era encontrada por Shennonom – el teorema que lleva su nombre, dice que hay unas cifras absolutamente resistentes, es decir tales cifras, que es imposible abrir, aunque криптоаналитик posee la reserva ilimitada del tiempo y los recursos de cómputo. Шенноном era establecido también que la condición de la firmeza absoluta de la cifra es el uso en el algoritmo de la cifración no la cantidad menor de la información secreta, que contiene la información en el mensaje cifrado.
¿Cómo realizar tal cifra? Antes de responder a esta pregunta se acordaremos que todas las cifras modernas se basan en el principio de Kirhgofa, que dice que los algoritmos de la cifración deben basarse así que hasta a su divulgación ellos abastezcan todavía un cierto nivel de seguridad. A propósito, sobre el autor del principio – en su literatura nombran erróneamente de "Kerkhoffom" – el autor no ha encontrado ni el caso único de la transcripción correcta de este apellido. Se escribe “Kirchhoff” – exactamente así como, como el apellido del autor de las leyes, conocidas en la electrotecnia, de Kirhgofa. Кирхгоф era el holandés, y no el inglés, por eso pronunciar su apellido debe en concordancia con las reglas de la transcripción alemana, y no inglés. Volveremos al tema discutido – claro que криптоалгоритмы, los Kirhgofa, construidos en concordancia con el principio, deben usar a la cifración los datos secretos llamados por la llave, que abastecen la confidencialidad del mensaje en condiciones de la abertura del algoritmo. Con otras palabras, la confidencialidad de la cifra debe ser abastecida de la confidencialidad de la llave, y no la confidencialidad del algoritmo de la cifración. Esto significa que los algoritmos E y D, introducido por nosotros en el examen en la sección anterior, usan la clave secreta K, y pueden ser designados por nosotros ahora como EK y DK. Entonces las ecuaciones de la cifración tendrán el tipo siguiente:
T ' = EK (T) ббббббббббббб (зашифрование),
T = DK (T ') ббббббббббббб (расшифрование).
Se acordaremos que en las cifras de la clase examinada para por - y расшифрования se usa la misma llave. Claro que el procedimiento расшифрования debe en cualquier caso llevar al resultado correcto. Esto significa que cuál ni eran admisible bloque de los datos T y la llave K, debe cumplirse la igualdad siguiente: EK (DK (T)) = T.
Volveremos a las cifras absolutamente resistentes que realiza el principio Kirhgofa. Puesto que toda su confidencialidad es concentrada en clave de K, conforme a ellos la exigencia de Shennona significa que la dimensión de la llave de la cifración no debe ser menos de dimensión del mensaje cifrado: | K | ³ | T |. Creeremos que tienen la dimensión igual igual N de las palas: | K | = | T | = N. Es el mínimo, a que es todavía posible la firmeza absoluta. Para зашифрования el mensaje T es necesario скомбинировать con la llave K por medio de alguna operación binaria ° así que recibido шифротекст dependa y del texto T inicial, y de la llave K. Además la ecuación зашифрования tendrá el tipo siguiente:
T ' = EK (T) = T ° K.
La dimensión шифротекста además es igual también N de las palas: | T ' | = | T | = | K | = N. Para el mantenimiento de la firmeza absoluta de la cifra la cantidad de la información secreta en clave de K debe ser máximamente posible para su dimensión. Esto significa que todos los bits de clave deben ser casuales con los significados equiprobables y es estadístico son independientes. Tal llave puede ser recibida solamente por el modo duro, algorítmicamente no lo es posible producir, puesto que en este caso la exigencia indicada será violada la cifra dejará de ser absolutamente resistente.
Discutiremos ahora las exigencias, con que debe satisfacer la operación °. En primer lugar que la cifración sea convertible, la ecuación T ° K = T ' debe ser unívocamente soluble relativamente T a cualesquiera significados T ' y K. Esto significa que cerca de la operación binaria ° debe existir de vuelta, que designaremos a través de •, y cuál ni eran N-bitovye los bloques de los datos T y K, siempre debe cumplirse la igualdad (T ° K) • K = T. En segundo, el mantenimiento de la confidencialidad completa de la cifra es necesario que las llaves diferentes den para los textos iguales iniciales diferente шифротексты. Esto es equivalente a la exigencia unívoco разрешимости las ecuaciones T ° K = T ' relativamente K. Puesto que la confidencialidad del mensaje cifrado se apoya enteramente en la confidencialidad de la llave, en todo el resto de la operación ° y • pueden salir de las consideraciones de la comodidad. En calidad de tales operaciones puede usarse la adición y la sustracción por el módulo 2N:
T ° K = (T + K) mod 2N, T • K = (T – K) mod 2N.
Realizar los cálculos sobre el mensaje como por un todo único puede encontrarse embarazoso por razón de su dimensión considerable, por eso es oportuno romper el mensaje y la llave en los bloques de la dimensión menor y aplicar las operaciones indicadas a estos bloques:
T = (T1, T2..., Tn), K = (K1, K2..., Kn), |Ki | = |Ti | = Ni,
Ti ° Ki = (Ti + Ki) mod 2Ni, Ti • Ki = (Ti – Ki) mod 2Ni.
Si llevar este proceso de la fracción hasta el fin lógico, llegaremos a la operación побитового las adiciones por el módulo 2, llamado también побитовым que excluye o:
T ° K = T • K = T Å K.
La última operación se encontraba de vuelta a él y por esta causa, también por fuerza de la simplicidad y la ligereza de la realización (las palas separadas del mensaje en ella son tratadas independientemente uno de otro), ha recibido la difusión más grande.
Se pararemos brevemente en alcanzado: la cifra, que hemos recibido ahora, se llama en la escala desechable de Vernama. Esta cifra posee la firmeza absoluta, que es pagada, sin embargo, por precio bastante caro – para la cifración del mensaje es necesaria la llave de la misma dimensión preliminarmente llevada el remitente y el destinatario.
Para la cifración de dos mensajes distintos no es posible aplicar la misma consecuencia de los elementos de la escala. Si esta exigencia es violada, siempre es posible encontrar tal par de las operaciones Ä binarias y Æ, que, siendo aplicado respectivamente a los bloques abierto y cifrado con el uso del mismo elemento de la escala de los datos, darán los resultados idénticos:
Ti ' Ä T~i ' = Ti Æ T~i.
Esto hará la tarea криптоанализа además fácil, que más de redundancia contiene en el mensaje. Para los textos en las lenguas naturales en vista de su redundancia enorme esta tarea casi trivial – a separar uno de otro tales mensajes no presenta el trabajo. Tal división puede ser cumplida por el método del exceso, y sobre cada paso en el exceso participan algunos símbolos.
Si para la imposición de la escala se usa la operación побитового de la suma por el módulo 2, en calidad de las operaciones binarias que eliminan la influencia de la escala secreta al resultado, puede ser usada la misma operación. Realmente que, por ejemplo, dos bloques son cifrados por medio del mismo elemento de la escala Gi impuesto en ellos por la operación побитового las adiciones por el módulo 2:
Ti ' = Ti Å Gi,
T~i ' = T~i Å Gi.
Cumpliremos побитовое la adición de los bloques шифротекста por el módulo 2:
Ti ' Å T~i ' = (Ti Å Gi) Å (T~i Å Gi) = (Ti Å T~i) Å (Gi Å Gi) = (Ti Å T~i) Å 0 = Ti Å T~i.
Como vemos, el resultado coincide con побитовой por la suma por el módulo de 2 bloques del texto abierto que hace криптоанализ trivial.
La exigencia de la escala única para cada mensaje cifrado hace la cifración por medio de la escala desechable por el Vernama tanto muy caro que su uso es económicamente justificado sólo en los canales de comunicación para el envío de mensajes de la importancia excepcional, involucrado además no a menudo.
La barrera, ante que nos hemos parado, es insuperable: alcanzar ÝõõѬԿó@¡«ßÔ¿ la realización práctica криптоалгоритма se puede solamente habiendo negado a la firmeza absoluta. Se puede abrir la cifra que no es absolutamente resistente, por el tiempo final, más exactamente, por el número final de los pasos, cada uno de que consiste en la ejecución de la operación elemental aritmética o lógica. Sin embargo nada nos impide crear tal es teorético la cifra inestable, que descubrimiento tenía que cumplir el número tanto grande de las operaciones que esto era irrealizable sobre los medios de cómputo, modernos y esperados en la perspectiva no lejanos, por el tiempo razonable. A la medida de la firmeza práctica de las cifras del tipo semejante puede servir la cantidad del trabajo necesario para su descubrimiento, expresado en las operaciones elementales o en la duración de los cálculos correspondientes en los ordenadores modernos. Notaremos que en los sistemas reales криптозащиты la información se usa es teorético casi exclusivamente las cifras inestables.
La cifra buena debe ser estable al análisis estadístico y algorítmico, es decir no debe existir fácilmente обнаружимых de los enlaces estadísticos entre el texto abierto y cifrado y las dependencias entre ellos deben ser bastante difíciles para esto que se podría descubrirlos por medio del análisis. Hay una frontera precisa entre bien y las cifras no bien proyectadas de bloques prefabricados: primero es imposible abrir por el modo, más eficaz que el exceso completo por todo lo posible a los significados de la llave, para el descubrimiento segundo pueden encontrarse útil y unos modos más eficaces. ¿Cómo construir las cifras resistentes? La ciencia sobre esto es restringida prácticamente en todas partes, donde tienen que hacer con la criptografía – son publicadas sólo las consideraciones que tienen el carácter más general y que no contienen ningunos datos concretos. Iniciarse en estos conocimientos secretos se puede, sólo trabajando en la subdivisión correspondiente del servicio correspondiente especial. Y bien, а nosotros trataremos de examinar el problema exclusivamente de la posición del sentido común. A fin de cuentas, es posible proponer sólo dos accesos fundamentales a la construcción de la cifra con la clave secreta:
· el elemento producido de la escala Gi no depende del bloque cifrado de los datos Ti;
· la cifración del macizo de la información T se realiza por medio de la manipulación con él;
El primer acceso sale de manera evidente de la cifra de Vernama. Toda la diferencia consisten en lo que en ello la escala no es por sí misma el elemento clave, pero es producido de la llave K de la dimensión fijada por medio de algún juego de las funciones fi : Gi = fi (K) o, más exactamente, una función Gi universal = f (i, K) – aunque del punto de vista de los matemáticas este mismo, del punto de vista algorítmico es las cosas diferentes. La exigencia práctico реализуемости de la cifra en forma del aparato o el programa para el ORDENADOR lleva a la necesidad de la posibilidad de su descripción en forma del algoritmo con el número final de los estados posibles, a que modelo más general puede servir el autómata final. Así, el generador de la escala puede ser determinado por medio de las correlaciones siguientes como el autómata final sin entrada:
Si = WK (Si–1), Gi = QK (Si), (las horas muertas гаммирование)
O como el autómata final con la entrada, si el bloque producido de la escala depende del bloque que precede шифротекста y/o el texto abierto:
Si = WK (Si–1, Ti–1, Ti '–1), Gi = QK (Si) ббббббббб (гаммирование con la realimentación).
El primera de dos correlaciones determina la regla del cambio de los estados, segundo – la regla de la fabricación del elemento de salida, es decir el elemento de la escala. Claro que para el mantenimiento de la confidencialidad de la cifra las dos estas reglas deben o ser secretas, o depender del significado de la clave secreta K. Las cifras construidas por el esquema dado, se llaman потоковыми, puesto que en ellos se usa el flujo de la escala producida por el generador. Зашифрование (расшифрование) se realiza por medio de la imposición simple de los elementos de la escala a los bloques del texto abierto (cifrado) por medio de las operaciones correspondientes binarias: Ti ' = Ti ° Gi , Ti = Ti ' • Gi. Depende de las operaciones usadas la imposición de la escala puede realizarse como побитово, y los bloques de otra dimensión. La complicación básica a la realización del acceso dado consiste en la elaboración de la fuente realmente cualitativa криптостойкой las escalas.
El segundo acceso a la construcción de las cifras con la clave secreta no contiene en él ningunas alusiones a los modos posibles de su realización. En la sección siguiente del artículo trataremos de palpar estos modos.
4. La idea básica de la cifra de bloques prefabricados.
¡El punto de partida las realizaciones del acceso examinado es la idea de producir la escala para зашифрования los mensajes … del mensaje! Sin embargo hacerlo es directamente imposible, puesto que surgen además las dificultades con расшифрованием: que la escala es producida del bloque cifrado conforme a la ecuación G = f (T), donde f – alguna función. Además la ecuación зашифрования tendrá el tipo siguiente: T ' = EK (T) = T ° G = T ° f (T). Para расшифрования los mensajes su destinatario debe decidir esta ecuación relativamente T: T ° f (T) = T '. Si la función f es difícil y нелинейна que es necesario para la firmeza suficiente de la cifra, la tarea dada puede encontrarse prácticamente insoluble.
Con todo eso, durante la elaboración del nuevo esquema criptográfico no quisiera negarnos de las decisiones, antes usadas y que han adqurido reputación bien, a que número se refiere la imposición de la escala a los datos para su cifración. ¿Cómo salir de aquella situación difícil, en que nos encontrábamos? Trataremos de decidir por lo menos la parte del problema, para que presentaremos el macizo cifrado de los datos T de la dimensión |T | = N en el tipo de los par de los bloques de la dimensión menor: T = (T0, T1), |T0 | = N0, |T1 | = N1, N0 + N1 = N, donde T0 designará menor, а T1 – la parte mayor del macizo T. Cumpliremos зашифрование del bloque mayor por medio de menor, usando además alguna función f, que representa N1-bitovyj el bloque de los datos en N0-bitovyj, y la operación convertible binaria ° sobre N0-bitovymi por los bloques de los datos. Designaremos la transformación recibida que cifra a través de Gf °. La ecuación de esta transformación será lo siguiente:
Gf ° (T) = Gf ° (T0, T1) = (T0, T1 ° f (T0)).
Para Gf ° es fácil construir de vuelta, o la transformación Gf que descifra •:
Gf • (T) = Gf • (T0, T1) = (T0, T1 • f (T0)).
Realmente, si las operaciones binarias ° y • mutuamente de vuelta, cualquiera que sea N-bitovyj el bloque de los datos T = (T0, T1), siempre es justa la igualdad siguiente:
Gf • (Gf ° (T)) = Gf • (Gf ° (T0, T1)) = Gf • (T0, T1 ° f (T0)) = (T0, (T1 ° f (T0)) • f (T0)) = (T0, T1) = T.
Claro que el destino de la función f consiste para enmascarar la dependencia entre el bloque T0 y la escala para la cifración del bloque T1, que de él es producida. Para esto la función f debe ser el elemento secreto de nuestra cifra – nosotros mientras cerremos los ojos a esta infracción del principio de Kirhgofa. Notaremos el hecho muy importante: nuestro esquema es trabajador a cualquier función f, después de расшифрования siempre recibiremos los mismos datos, que eran ante зашифрованием.
Antes de pasar al estudio del material ulterior, los lectores, no fuerte en el matemático, tiene que conocer algunas nociones matemáticas a saber, con la noción de la composición de las representaciones y las transformaciones. Mismo, quien posee este material suficientemente, pueden no leer los párrafos siguientes imprimidos por la letra menuda.
Todos los artículos, examinados en las partes dados, de la transformación son a los operadores en la multitud de bloques de los datos, es decir las funciones que aceptan en calidad del argumento y que dan en calidad del resultado los bloques de los datos.
1. Llamaremos la composición de las transformaciones A y B tal transformación C = AB que cualquiera que era el bloque de los datos T, siempre se cumple la igualdad C (T) = B (A (T)). Así, por la definición de la composición AB (T) = B (A (T)).
2. Para la composición de las transformaciones es justa la ley asociativa, es decir para cualesquiera transformaciones A, B, C es justa la identidad: A (BC) = (AB) C. Realmente, por que ni era el bloque de los datos T, es justa la igualdad siguiente:
(A (BC)) (T) = BC (A (T)) = C (B (A (T))) = C (AB (T)) = ((AB) C) (T).
Por eso en la expresión para la composición de tres y más transformaciones del paréntesis излишни: A (BC) = (AB) C = ABC.
3. Entre todas las transformaciones hay uno especial, llamado idéntico y designado por nosotros a través de I. El rasgo distintivo de la transformación dada es lo que deja el argumento invariable: cualquiera que sea el bloque de los datos T, siempre es justo I (T) = T. Es evidente que la composición de cualquier transformación A con idéntico da en resultado la misma transformación A: IA = AI = A. Realmente, para cualquier bloque de los datos T son justas las igualdades siguientes: AI (T) = I (A (T)) = A (T) e IA (T) = A (I (T)) = A (T).
4. La transformación B se llama de vuelta a la transformación A, si su composición es la transformación idéntica, es decir si se cumple la condición AB = I o para el bloque cualquiera de los datos T es justa la igualdad B (A (T)) = T. La transformación A se llama convertible, si hay una transformación de vuelta a él, designado A–1: AA‑1 = I.
Con el punto de vista expuesto recientemente la transformación que cifra debe ser convertible, es decir debe cumplirse la propiedad Gf°Gf • = I. Debe notar que la propiedad dada se cumple siempre, que función f no usaríamos en nuestra transformación, si solamente las operaciones binarias ° y • son mutuamente de vuelta.
Ahora se acordaremos sobre lo que el esquema, propuesto por nosotros, ha decidido sólo la mitad del problema, puesto que la parte T0 menor del bloque T se ha quedado no cifrado. Pero este problema tiene la decisión evidente: sobre el paso siguiente es necesario cifrar la parte T0 del macizo T, usando el elemento de la escala producida de la parte T1 ' del bloque T con el uso de alguna otra función g, que representa N0-bitovye los bloques de los datos en N1-bitovye. Ahora las dos partes del bloque inicial se encuentran cifrado. Por algunas razones es aceptado, sin embargo, que cifrado sobre cada tal paso y usado para las elaboraciones de la escala de la parte se encuentran sobre las posiciones fijadas dentro del bloque – la tradición prescribe producir la escala de la parte menor y ponerla en mayor. Por lo menos, el asunto va así en el GOST, DESе, y todas otras cifras construidas por su imagen y la semejanza. Para abastecer la propiedad indicada, entre los pasos de la cifración es necesario cumplir el traslado de las partes del bloque, que coloca las partes correspondientes a los lugares debidos.
Según las consideraciones del mantenimiento máximo криптостойкости y la eficiencia de la realización de la cifra es oportuno tomar las dimensiones de las partes mayores y menores del bloque cifrado igual: N0 = N1 = N/2. Tal condición era escogida por los elaboradores de la mayoría de las cifras de la arquitectura examinada. En este caso entre los pasos del algoritmo de la parte del bloque cifrado se cambian simplemente por lugares. Hay sin embargo unas cifras que no se someten a esta regla, en ellos será dicho algunas palabras más abajo en el artículo presente.
Designaremos a través de S la operación del traslado de las partes mayores y menores del macizo de la información: S (T) = S (T0, T1) = (T1, T0). Es evidente que la operación S es de vuelta para: S2 = S · S = I. Realmente, para el bloque cualquiera de los datos T = (T0, T1) es justa la igualdad:
S2 (T) = S2 (T0, T1) = S (S (T0, T1)) = S (T1, T0) = (T0, T1) = T.
Entonces nuestro nuevo esquema de la cifración puede ser presentado por la composición de unos pasos más simples:
Gf °, g = Gf ° · S · Gg °.
Además de vuelta, o la transformación que descifra puede ser presentada por la correlación siguiente:
Gg •, f = Gg • · S · Gf •.
Realmente, es justa la igualdad siguiente:
Gf °, g · Gg •, f = (Gf ° · S·Gg °) · (Gg •· S·Gf •) = Gf ° · S·Gg ° · Gg •· S·Gf • = Gf ° · S · (Gg°Gg •) · S·Gf • = Gf ° · S·I·S·Gf • =
= Gf ° · (S·I) ·S·Gf • = Gf ° · S·S·Gf • = Gf ° · (S·S) ·Gf • = Gf ° · I·Gf • = (Gf ° · I) ·Gf • = Gf ° · Gf • = I.
Las operaciones de la imposición de la escala en los pasos de la cifración del bloque pueden ser, en general, distintas, sin embargo el sentido especial en esto durante la creación de las cifras no veían.
Como se notaba ya más arriba, hay unas cifras, en que el bloque cifrado de los datos comparte en dos no las partes iguales según la dimensión. Si el elemento de la escala es producido de la parte menor del bloque que tiene la dimensión N0 y es puesto a la parte mayor que tiene la dimensión N1, el esquema es más estable a криптоанализу cuando se cumple la condición N1 < N0. Además simplemente cambiar por lugares de la parte del bloque entre los pasos de la cifración no sirve, es necesario romper de nuevo después de cada tal traslado el bloque en las partes. Habitualmente en tal situación usan el desplazamiento (giro) cíclico del bloque en N1 de las palas a la izquierda o a la derecha, а a расшифровании entre los pasos será necesario volver el bloque al mismo número битов en dirección contraria. En el caso indicado de la expresión para las transformaciones зашифрования y расшифрования del bloque serán los siguientes:
Gf °, g = Gf ° · R®N1 · Gg °,
Gg •, f = Gg • · R¬N1 · Gf •,
Donde a través de R¬m y R®m son designados los operadores del giro del bloque de los datos en m de las palas a la izquierda y a la derecha respectivamente. Ya que por un paso del algoritmo es cifrado N1 < N/2 битов del bloque, para зашифрования de todo el bloque será necesario más de dos pasos. El significado exacto del número de los pasos exigidos en tal algoritmo es igual éN/N1ù, donde a través de éxù es designado el resultado del redondeo del número x hasta el aumento, próximo entero a un lado. De la consideración de la simplicidad de la realización de la cifra escogen habitualmente N1 así que la dimensión del bloque N comparta a él sin resto. Como regla, si N = 64, toman N1 = 16 o N1 = 8.
Debe notar que las cifras construidas según tal principio, es mucho menos que las cifras, en que el bloque comparte en dos partes iguales según la dimensión. Es condicionado esto que en ellos por un paso es cifrada la cantidad menor битов y, respectivamente, es necesario más de pasos. Según tal principio, por ejemplo, es construida la cifra bajo el nombre de código “албер”, creado en los subsuelos de un del I.R.S. numeroso, y, se dicen, hasta que optaba a una plaza el estándar Ruso de la cifración, para él N1 = 8.
5. La cifra de la sustitución simple.
Para que el esquema de bloques prefabricados de la cifración sea estable a криптоанализу, debe poseer las propiedades de la mezcla y la diseminación. Esto significa que cada uno las palas del texto inicial debe influir sobre todas las palas шифротекста, y el carácter de esta influencia no debe ser es seguido ni estadístico, ni algorítmicamente. Esta exigencia importante para las cifras de bloques prefabricados por la causa siguiente: para el descubrimiento de la cifra por la línea algorítmica криптоаналитик puede intentar en el tipo evidente sacar las correlaciones que vinculan las entradas y las salidas del algoritmo. Para потокового de la cifra esto es inútil, porque estas correlaciones están determinadas enteramente por los elementos de la escala, que son distintos para los bloques distintos de los datos cifrados. He aquí que криптоанализ no sea coronado con el éxito para la cifra de bloques prefabricados, es necesario que el carácter de la influencia de los datos de entrada en de salida sea bastante difícil para que se podía revelarlo por medio del análisis de los macizos de entrada y los colofones. Esto sobreentiende, en particular, la ausencia de la dependencia estadística битов del bloque de salida de битов de entrada que significa en la práctica que por que por la imagen ni hemos cambiado el bloque de los datos T abiertos, todas las palas del bloque de los datos T cifrados ' = EK (T) con la probabilidad 1/2 independientemente cambiarán uno de otro el significado. Pero el esquema, construido en la sección anterior, de la cifración no posee tal propiedad. Realmente, que зашифрованию se somete el bloque de los datos T = (T0, T1), entonces en resultado recibiremos:
T ' = Gf °, g (T) = Gf °, g (T0, T1) = (Gf ° · S·Gg °) (T0, T1) = (S·Gg °) (Gf ° (T0, T1)) = (S·Gg °) (T0, T1 ° f (T0)) =
= Gg ° (S (T0, T1 ° f (T0))) = Gg ° (T1 ° f (T0), T0) = (T1 ° f (T0), T0 ° g (T1 ° f (T0))) = (T0 ', T1 ')
Examinaremos la parte menor del bloque cifrado de los datos: T0 ' = T1 ° f (T0). Es fácil notar que la dependencia битов las partes T0 ' del bloque T ' de битов las partes T1 es bastante trivial y no satisface las exigencias expresadas más arriba. Por eso construido por nosotros криптопреобразование Gf °, g = Gf ° · S · Gg ° es insuficientemente difícil para que era posible llamar sin tensiones su criptográfico. Pero puede por el modo muy simple de ser difundido en el número cualquiera de los pasos n: que son dadas las funciones f1..., fn que representan la multitud N/2-bitovyh de bloques de los datos, y el vapor mutuamente las operaciones de vuelta binarias 
y 
en la misma multitud. Entonces las transformaciones que cifra y que descifra pueden ser determinadas del modo siguiente:
Por la inducción por el número de los pasos básicos n es posible mostrar que la segunda transformación atrás primero:
Para realizar sucesivamente en la cifra el principio de la mezcla y la diseminación, es oportuno presentar la transformación que cifra en forma del número bastante grande (n) al paso cada uno de que representa la realización acerca de la cifra no complicada. Así, en el estándar Ruso de la cifración el número de tales pasos es igual 32, а en americano – 16, pero los pasos mismos en ello es un poco más difícil. Es криптоалгоритмы de la arquitectura semejante con el número menor de los pasos n, por ejemplo – FEAL [7], para que variantes distintas n = 4 o n = 8.
Como se notaba ya, el tipo de las operaciones binarias de la imposición de la escala y es no importante desde el punto de vista de la firmeza de la cifra, por eso se cogen, como regla, las horas muertas para la realización práctica la variante – la operación побитового que excluye o
. Esto permite realizar el procedimiento directo y de vuelta de la transformación por la imagen del mismo tipo, se distinguirán solamente del orden del uso de las funciones que cifran f1..., fn. Para una diseminación más completa de la información de los datos iniciales криптопреобразование puede ser completado inicial (Y0) y final (Y1) con los traslados битов u otros simple y de manera evidente por las transformaciones convertibles. En resultado recibiremos las transformaciones siguientes que cifran:
Como siempre, a través de Y–1 se deja ver de vuelta a Y la transformación. Para conservar la uniformidad directo y de vuelta криптопреобразований, es necesario abastecer la ejecución de las condiciones Y0–1 = Y1, Y1–1 = Y0, es decir las substituciones Y0 y Y1 deben ser mutuamente de vuelta. Recibimos las fórmulas siguientes para directo y de vuelta криптопреобразований:
La transformación con el traslado adicional битов posee más alto криптостойкостью en comparación con la transformación análoga sin traslado solamente en caso de que es el elemento secreto de la cifra. Realmente, si esto no así, por la primera acción криптоаналитика someterá todo que hay en su disposición los bloques de los datos, abierto, así como cifrado, este traslado Y, y reducir así la tarea inicial a la tarea del descubrimiento de la cifra sin traslado. De este punto de vista inicial y final битовые los traslados en el algoritmo DES son no más, que adornamientos y no prestan la influencia visible en ello криптостойкость.
Ahora se acordaremos sobre la infracción del principio de Kirhgofa que consiste en el uso en calidad de los elementos secretos de las funciones de la cifración fi. Para que nuestro algoritmo de la cifración no lo viole, cambiaremos ligeramente el esquema del uso de las funciones fi – haremos por sus por que dependen de la clave secreta K: fi (T) = fi (T, K), donde fi – la función conocida (abierta), а el elemento K-secreto de la cifra (la llave). Como regla, todas las funciones fi usan de modo igual el bloque convertible de los datos T y se diferencian sólo por el esquema del uso de la llave K, es decir se puede anotar: fi (T, K) = f (T, j i (K)) = f (T, Ki ), donde a través de Ki = j i (K) hemos designado el código producido de la llave K y usado sobre el i paso de la cifración, que llamaremos para ser breve “la llave de paso”.
A nosotros se quedó discutir el último detalle en la construcción de la cifra de bloques prefabricados. Hasta ahora no exigíamos que la dimensión del bloque T cifrado sea constante, sin embargo ahora lo tenemos que hacer por las causas siguientes:
· Muchos elementos de la cifra, tales, como los traslados битов y las funciones de la sustitución битовых de los grupos en el macizo de los datos suponen que el bloque convertible tiene la dimensión fijada. Aunque es posible dar en general la regla de la construcción de tales elementos para los bloques de la dimensión cualquiera, llevar a la práctica esta regla sería es extraordinariamente inconveniente.
· Si era posible según el deseo aumentar la dimensión del bloque cifrado, esto llevaría a la situación, cuando el bloque de los datos de la dimensión grande es cifrado por un paso sobre la llave mucho la dimensión menor, y tal esquema se hace menos estable a las tentativas algorítmico криптоанализа.
Por fuerza de las causas indicadas a la cifración por el esquema, examinado por nosotros, le deben someterse solamente los bloques de los datos de la dimensión fijada, precisamente por eso la cifra dada se llama en de bloques prefabricados. En caso necesario el mensaje T se estrella a algunos bloques de la dimensión igual, que son cifrados independientemente uno de otro:
T = (T1, T2..., Tn), T ' = (T1 ', T2 '..., Tn ') = (EK (T1), EK (T2)..., EK (Tn)).
Por esta causa el esquema dado de la cifración llaman la cifra de la sustitución simple, puesto que al fin de cuentas se reduce a la sustitución de unos significados de los bloques de los datos por otros. Para el algoritmo, construido por nosotros, de la cifración, es evidente, hay un problema, si la dimensión del texto cifrado no es múltiple a la dimensión del bloque криптоалгоритма. Este, y una serie de otras preguntas serán discutidos en la sección siguiente.
La dimensión de los bloques de la cifración está determinada por el elaborador de la cifra de la condición del logro necesario криптостойкости. La elección de la dimensión insuficiente de los bloques hará posible криптоанализ en base a las leyes estadísticas. Por otro lado, el aumento injustificado de la dimensión del bloque hará la cifra voluminoso e inconveniente para la aplicación, por eso en cuestión es necesario buscar el compromiso. Prácticamente en todas las cifras, conocidas al autor, de la arquitectura examinada se usa la dimensión del bloque igual a 64 palas.
Sacaremos en conclusión algún total de nuestras investigaciones: la definición de la cifra de bloques prefabricados tiene que dar lo siguiente:
1. Los parámetros numéricos del algoritmo:
· la dimensión del bloque cifrado de los datos |T | = N;
· la dimensión de la llave |K | = NK;
· la dimensión de la llave "de paso" |Ki | = NK ';
· el número de los pasos de la cifración (rondas) n;
2. La función de la cifración f, que acepta en calidad del argumento y que devuelve en calidad del significado N/2-bitovye los bloques de los datos. La función de la cifración depende también de NK '-bitovogo del bloque secreto de los datos – la llave "de paso";
3. El juego de las funciones j i, 1 £ i £ n para la fabricación de las llaves Ki "de paso" de la llave inicial de la cifración K: Ki = j i (K);
4. Los traslados битов Y en N-bitovom el bloque de los datos;
Las transformaciones que cifra y criptográficas que descifra se basan como las composiciones de los pasos Gi descritos más arriba simples , S, Y:
E~KY = Y · G1 · S · G2 · S ·... · S · Gn · Y–1,
D~KY = Y · Gn · S ·... · S · G2 · S · G1 · Y–1.
Aquí Gi y S designan respectivamente el paso de la transformación que cifra y el traslado de las mitades mayores y menores del bloque cifrado:
Gi (T) = Gi (T0, T1) = (T0, T1 Å f (T0, Ki)) = (T0 ', T1 ') = T ',
S (T) = S (T0, T1) = (T1, T0).
Como era notado más arriba, el esquema dado puede ser generalizado en caso de la división del bloque cifrado de los datos T en dos desigual según la dimensión подблока. Además, pueden ser añadidas las transformaciones adicionales de los datos en el comienzo, el fin, o en las etapas intermedias криптопреобразования, y también en vez de la función побитового que excluye o es posible usar otra cualquiera para la imposición de la escala en la parte del bloque cifrado. La cifra, que nosotros acabamos de construir, se llama en la cifra de la sustitución simple, puesto que en realidad su acción consiste en lo que los bloques cifrados de los datos son sustituidos por los bloques шифротекста independientemente de otros bloques.
6. El estándar ruso de la cifración.
Ha llegado el tiempo de contar del algoritmo de la cifración que es el estándar Ruso. Este estándar tiene designación el GOST 28147-89 de que se desprende que él era aceptado en 1989. Su base es compuesta por los procedimientos зашифрования y расшифрования por el algoritmo de la sustitución simple 64-bitovyh de los bloques de los datos, y ya con su uso se basan otros algoritmos de la cifración – como hacerlo, se discute en las secciones siguientes. En el artículo presente es examinado solamente криптоалгоритм el GOST 28147-89 [6], se puede encontrar la descripción de algunas otras cifras con la arquitectura semejante en la literatura [2,7,8], por eso el autor ha decidido no pararse a ellos. Ahora examinaremos el GOST por el esquema fijado más arriba:
1. Determinaremos las características numéricas del algoritmo:
· la dimensión del bloque cifrado es igual a 64 palas: |T | =64;
· la dimensión de la llave es igual a 256 palas | K | = 256;
· sobre cada paso del algoritmo se usa 32-bitovyj el elemento clave: | Ki | = 32;
· el número de las repeticiones del paso básico (el número de las rondas) n = 32;
2. La función de la cifración está determinada del modo siguiente:
· los datos iniciales para la función de la cifración son 32-bitovye el elemento de los datos T y la llave Ki "de paso";
· el bloque de los datos T y la llave Ki "de paso" se forman por el módulo 232: S = (T + Ki) mod 232;
· recibido 32-bitovyj el bloque de los datos es interpretado como el macizo de 4-bitovyh de los grupos S = (S1, S2..., S8), | Si | = 4, y en cada grupo se cumple la substitución por medio del nudo correspondiente de las sustituciones: Si ' = hi, Si. En resultado recibimos el bloque siguiente de los datos: S' = (S1 ', S2 '..., S8 ') = (h1, S1, h2, S2..., h8, S8);
· el resultado del paso anterior gira en 11 битов a la izquierda, es decir a un lado las categorías mayores: si S' = b31b30... b21b20... b1b0, T ' = R¬11 (S') = b20... b1b0b31b30... b21;
· el bloque recibido de los datos T ' es el significado de la función de la cifración: T ' = fi (T, K);
3. A la cifración se usa la información siguiente secreta (clave):
· la llave – 256-bitovyj el macizo de la información estructurada en el macizo de ocho 32-bitovyh de elementos, que numeraremos a título de su uso en el ciclo de la cifración: K = (k1, k2..., k8), | K | = 256, | ki | = 32;
· la tabla de las sustituciones – el juego de – por el número битовых de los grupos, a que se estrella 32-bitovyj el bloque de los datos al cálculo de la función de la cifración – los nudos de las sustituciones: H = (H1, H2..., H8). Cada nudo de las sustituciones presenta la substitución en la multitud 16-de elementos de todos significados posibles 4-bitovyh de los códigos, y puede ser presentado así en forma del macizo de 16 distinto 4-bitovyh de los números: Hi = (hi, 0, hi, 1..., hi, 15), | hi, j | = 4, 0 £ hi, j £ 15, para cualesquiera i, j, k (j ¹ k), debe cumplirse la condición hi, j ¹ hi, k. La dimensión de cada nudo de las sustituciones es igual | Hi | = 8× | hi, j | = 64 pala, а la dimensión de toda la tabla de las sustituciones | H | = 8× | Hi | = 8×64 = 512 palas o 64 байта;
4. Determinaremos el orden del uso de la llave a la cifración, es decir daremos la función j i las fabricaciones de la llave "de paso" de la llave inicial de la cifración K: Ki = j i (K). En calidad de las llaves Ki "de paso" en el GOST se cogen los ciertos elementos kj de la llave K: Ki = kj. Sin embargo tales elementos solamente 8, а de los pasos en el ciclo de la cifración 32, entonces es necesario dar la función p (i), que representa la multitud 32-de elementos de pasos en el ciclo de la cifración en la multitud 8-de elementos de partes de la llave: Ki = kp (i), 1 £ i £ 32 1 £ p (i) £ 8 Daremos esta función en tabular y формульном el tipo:
|
i |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
|
p (i) |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
i |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
31 |
32 |
|
p (i) |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
8 |
7 |
6 |
5 |
4 |
3 |
2 |
1 |
Con otras palabras, durante el ciclo зашифрования los elementos de la llave se usan sucesivamente uno tras otro, además la llave "es vista" cuatro veces – primero tres en la dirección directa, cuarto – en de vuelta. Los lectores que han asimilado bien el material de las secciones anteriores, se darán cuenta sin esfuerzo que en el ciclo расшифрования los elementos de la llave se usan en de vuelta con relación al ciclo зашифрования el orden, es decir primero la llave es vista una vez en la dirección directa, luego tres veces en de vuelta.
Ahora hablaremos sobre la tabla de las sustituciones. Es algún análogo de los S-bloques (S-boxes) del estándar americano pero, a diferencia de último, en primer lugar, mismo sobre todos los pasos del ciclo de la cifración y en segundo lugar, no es fijado y es el elemento secreto de la cifra. Debe notar que el algoritmo de la cifración es convertible a cualquier relleno de los nudos de las sustituciones, aunque y no dan las substituciones correctas en la multitud 16-de elementos, es decir contienen los elementos que repeten de la sustitución: hi, j = hi, k a algunos i, j, k (j ¹ k). Sin embargo tal sustitución conduce a la pérdida de la información sobre el significado sustituido, y en consecuencia, al descenso криптостойкости de la cifra, por eso la posibilidad de esto no es prevista en el GOST.
Notaremos que el elemento básico secreto de la cifra rusa es la llave. El algoritmo debe quedarse криптостойким hasta en caso del descubrimiento de la tabla de las sustituciones que tiene lugar, sin embargo, no a todos sus significados posibles. La existencia de las tablas "débiles" de las sustituciones, es decir las tablas, durante que uso криптостойкость de la cifra baja esencialmente, no provoca la duda – al ejemplo puede servir aquí la tabla trivial, durante que uso cada significado es sustituido por él. Sin embargo en los amplios círculos de los especialistas-criptógrafos auténticamente no sabe, cómo es mucho las tablas semejantes y si hay un criterio que permite para la tabla concreta unívocamente determinar, si es débil o no. Es evidente que si tales criterios y existen, son escrupulosamente restringidos, ningunos datos de esta pregunta, lo mismo que en cuestión de la cualidad de las llaves, no eran publicado en la prensa abierta.
Sin embargo el asunto con la elección de los datos claves va no mal – con la probabilidad que se distingue poco de la unidad, por casualidad datos escogidos claves no llevarán al descenso catastrófico криптостойкости la cifra, y el coste de su descubrimiento se quedará como antes bastante alto y se encuentra poco probable por los dientes a estructura comercial cualquiera, que incluso muy grande. Y bien, а los servicios estatales en caso necesario pueden recibir toda la información, que los interesa, y sin recurrir a la descodificación. Por esta causa del usuario regular, el coste de que información protegida no supera la suma aproximadamente algunos centenares de mil de dólares de los EEUU, será suficientemente la cualidad buena estadística de la información clave que consiste en lo siguiente:
· la llave debe ser el macizo de 256 independientes битов con los significados equiprobables;
· la tabla de las sustituciones debe ser el juego de ocho nudos independientes, cada uno de que es la substitución casual en la multitud 16-de elementos;
En la adición debe hacer la observación siguiente: si las funciones que expresan a las palas del resultado de la sustitución a través de la pala del bloque inicial resultan bastante simple, esto debilitará la cifra. Así, inofensivo a primera vista el nudo de las sustituciones Hi = (9, 8, 3, 10, 12, 13, 7, 14, 0, 1, 11, 2, 4, 5, 15, 6) es en realidad débil, puesto que deja las segundas y terceras palas del grupo invariable que se hace evidente, si anotarlo en la forma tabular con los significados binarios del argumento y la función:
|
S |
0000 |
0001 |
0010 |
0011 |
0100 |
0101 |
0110 |
0111 |
|
H (S) |
1001 |
1000 |
0011 |
1010 |
1100 |
1101 |
0111 |
1110 |
|
S |
1000 |
1001 |
1010 |
1011 |
1100 |
1101 |
1110 |
1111 |
|
H (S) |
0000 |
0001 |
1011 |
0010 |
0100 |
0101 |
1111 |
0110 |
Además de esto, la tabla de las sustituciones puede contener las vías de rodeo de otros tipos, que permiten descifrar el mensaje por una imagen más eficaz, que el exceso completo por los significados posibles de la llave – pero esto ya el tema no para el artículo de revista.
7. Las faltas del régimen de la sustitución simple.
El uso de la cifra de bloques prefabricados en el régimen de la sustitución simple tiene una serie de las faltas que se reflejan en la firmeza y la comodidad del uso de la cifra. La falta primera y más seria de la sustitución simple consiste en lo que en este régimen зашифрование de los bloques iguales del texto inicial da en resultado los bloques idénticos шифротекста que facilita la tarea криптоаналитика. Realmente, en la base solamente los datos cifrados él puede hacer algunas conclusiones sobre las propiedades del texto inicial que, claro, no es dignidad de la cifra.
Daremos el ejemplo típico: que зашифрованию se somete la información sobre el disco flexible magnético. Hay raramente una situación, cuando los datos ocupan todo el disco, como regla su parte considerable se queda libre. La parte del disquete, nunca que contenía la información útil, es habitualmente rellenada por los códigos fijados anotados allá al formateo, y a ella зашифровании recibiremos los bloques fijados шифротекста. Entonces, analizando dado al disquete, криптоаналитик puede determinar con una exactitud de alguno байтов la dimensión del macizo de la información útil que contiene sobre ella que en algunos casos, por ejemplo, si el formato y el contenido del mensaje son vinculados a la dimensión del fichero correspondiente, puede facilitar a ello la tarea de la descodificación.
Se puede proponer la modificación del esquema de la cifración por el algoritmo de la sustitución simple, que elimina la falta dada – para esto ante зашифрованием los mensajes es necesario cumplirlo рандомизацию. Esta acción consiste en lo que los bloques del texto inicial se modifican por la imagen individual, por ejemplo, ¬«¼í¿¡¿ÓÒ¯Ô@ßn con los datos producidos por el captador de los números seudocasuales (ПСЧ) por medio de alguna operación binaria °, que tiene la operación de vuelta •. Зашифрование y расшифрование se cumplirá conforme a las ecuaciones siguientes:
Ti ' = EK (Ti ° Gi),
Ti = DK (Ti ') • Gi
Donde Gi – los bloques de los datos producidos por el captador PSCH. Como se notaba ya antes, en calidad de la operación de la imposición/levantamiento de la escala más de todo se acerca el procedimiento побитового que excluye o. El período de la repetición de la consecuencia ПСЧ {Gi}, producido por el captador, debe superar el número máximamente posible de los bloques en el mensaje.
Sin embargo la acta dada es infundada, si криптоаналитик posee la posibilidad del análisis en base al texto escogido abierto, es decir si él puede recibir cualquier mensaje abierto, escogido por ello, cifrado en la misma llave y con el uso de los mismos elementos Gi , así como el texto descifrado. Realmente, supongamos, que криптоаналитик dispone de tal posibilidad. Entonces él puede someter зашифрованию el macizo que consiste de unos bloques-zapolnitelej y comparar el resultado recibido con analizado шифротекстом:
Ui = U, donde U – probable заполнитель de bloqueo,
Ui ' = EK (Ui ° Gi).
Si se cumple la condición Ui ' = Ti ', esto significa que Ti = U, y nuestra acta criptográfica no cumple las tareas, encargadas en él.
Para librarse de la falta indicada, la acta de la cifración debe abastecer el carácter unical de la consecuencia de los elementos de la escala Gi. ¿Cómo se puede realizarlo? Como regla, todos los algoritmos de la fabricación ПСЧ tienen algún juego de los parámetros numéricos que determina la consecuencia unívocamente recibida de salida {Gi}. Esto permite abastecer su carácter unical para los procesos distintos de la cifración de un de dos modos siguientes:
· hacer los parámetros numéricos del algoritmo de la fabricación ПСЧ Gi secreto. Este modo no es posible llamar bueno, puesto que él lleva al acrecentamiento del volumen total de la información secreta clave es decir, en su esencia, supone el uso del algoritmo adicional de la cifración.
· abastecer el carácter unical del juego usado de los parámetros numéricos de la construcción correspondiente шифрователя. Este modo no es posible también contar tomado, puesto que шифрователь debe contener en este caso algún bloque que abastece la recepción del vector único de los parámetros iniciales para la fabricación Gi que complicará su estructura. Además, tiene que prohibir en este caso la cifración por el algoritmo de la sustitución simple sin uso de los elementos Gi, puesto que si de esto no hacer, криптоаналитик puede cumplir la combinación del bloque-zapolnitelja con los elementos Gi independientemente, habiendo sometido зашифрованию »«ß½Ññ«óáÔѽý@¡«ßÔý de los bloques {Ui}, donde Ui = U ° Gi.
Como vemos, el modo dado рандомизации del mensaje inicial engendra por sí mismo más de problemas, que permite decidir, y por eso su uso, aunque es posible en general, no ha recibido la difusión un poco considerable. Además, en lo sucesivo veremos que a la cifración por el método гаммирования surgen los problemas semejantes.
La segunda falta que tiene lugar al uso de la cifra de bloques prefabricados en el régimen de la sustitución simple, es condicionada por el problema de los bloques incompletos, o "las colas". Puesto que en el régimen dado криптопреобразованию se someten sólo los bloques de la dimensión fijada, surge el problema, si la dimensión del mensaje cifrado no es múltiple a la dimensión del bloque usado криптоалгоритма. La esencia del problema consiste en el que por y como completar "las colas" hasta полноразмерных de los bloques que esto era conveniente en el uso no bajaba криптостойкости la cifra. Examinaremos las vías posibles de la decisión del problema dado:
· es posible completar "la cola" con los datos fijados – por ejemplo, los ceros. Esto, sin embargo, bajará esencialmente криптостойкость del último bloque, puesto que криптоаналитику, que posee la información sobre el modo del complemento de "la cola", será necesario cumplir el exceso por la multitud de significados posibles de este bloque, mucho menor, que el espacio completo de los significados del bloque.
· es posible completar "las colas" con los datos de los bloques completos. En total esta decisión no mala, pero ello no trabaja, si el bloque incompleto – único, es decir si la longitud del mensaje es más pequeña que la dimensión del bloque de la cifra. Además, usando el acceso dado, tarde o temprano nos encontraremos con la situación, cuando para el complemento de "la cola" serán usadas las partes fijadas del mensaje que poseen el incertidumbre insuficiente para криптоаналитика. Así, por ejemplo, muchos mensajes comienzan del grifo, que puede aceptar solamente dos – tres significados posibles, а de las formas distintas de su anotación en el tipo textual puede ser el máximo algunas decenas de las variantes. Si para el complemento de "la cola" se usa la parte de tal bloque, hay una situación semejante examinada en anterior punto – "la cola" puede hacerse la extracción fácil криптоаналитика.
· la aplicación para el complemento de "la cola" del elemento separado constante secreto no se acerca por la misma causa, así como el primer modo – el uso del elemento dado hace por partes por su vulnerable a криптоанализу. Tal esquema resulta indefenso ante el análisis en base al texto escogido abierto. Además, el modo dado aumenta el volumen total de la información secreta (clave) que es muy indeseable.
· tal vez, el modo mejor posible consiste para usar para el complemento de "la cola" los datos del captador duro de los números casuales. Es necesario Aquí el captador que produce los números realmente casuales, que tienen una alta cualidad estadística. Por esta causa los captadores PSCH distintos de programa no se acercan aquí. Debido a esto a menudo tal modo resulta inaceptable según las consideraciones económicas, puesto que exige la presencia en cada ordenador-shifrovatele de los componente muy caros duros.
Como vemos, el segundo problema de la cifración en el régimen de la sustitución simple no tiene también la decisión eficaz y al mismo tiempo económica. Además, este problema crea todavía uno, la complicación puramente técnica – después de зашифрования en el régimen de la sustitución simple todas las categorías del bloque recibido serán que significan, а esto significa que junto con шифротекстом es necesario ahora guardar la dimensión (el número битов o байтов) el último bloque, incompleto del texto inicial que lleva al cambio de su dimensión, а esto en algunos casos es indeseable.
La tercera falta de la cifración del régimen de la sustitución simple consiste en su inestabilidad ante la modificación del mensaje que consiste en el traslado de los bloques шифротекста. Realmente, si hacemos los cambios en el bloque шифротекста "sin reflexionar" esto lo más probable después de расшифрования él se encuentra “запорченным”, es decir su contenido será absurdo. La causa de esto consiste en lo que todo natural y las lenguas artificiales tienen la redundancia enorme, а los cambios aportados en el bloque шифротекста casuales, es decir la imagen imprevisible para nosotros, influyen sobre los datos correspondientes descifrados y la probabilidad recibir el sentido que tiene el resultado es extremadamente pequeña. Otro asunto, si cambiamos simplemente por lugares, quitamos o duplicamos los bloques del mensaje cifrado. En este caso podemos recibir el resultado algún que tiene sentido, y tal infracción de la integridad de los datos puede encontrarse desapercibida, si no aceptar las medidas especiales.
Por fuerza de las consideraciones expuestas más arriba el uso de la cifra de bloques prefabricados en el régimen de la sustitución simple puede se ser recomienda solamente para la cifración pequeño por el volumen de los macizos de los datos, que dimensión es múltiple a la dimensión del bloque usado de bloques prefabricados криптоалгоритма y que no contienen los bloques que repeten. A este juego de las exigencias satisfacen completamente sólo los macizos de la información clave. Precisamente por eso DES no recomienda, а el estándar Ruso el GOST 28147-89 prohíbe usar directamente la cifración en el régimen de la sustitución simple para los datos que no son claves.
8. Гаммирование.
El procedimiento, propuesto en la sección anterior, de la cifración por el método de la sustitución simple del uso del captador de los números seudocasuales puede ser ligeramente cambiado que la liberará de una serie de las faltas. Зашифрованию por el algoritmo de la sustitución simple debe someter los bloques mismos producidos por el captador PSCH, y ya usarlos en calidad de la escala combinada con los bloques de los datos por medio de las operaciones binarias ° y •:
Ti ' = Ti ° EK (Gi) (зашифрование),
Ti = Ti ' • EK (Gi) (расшифрование),
Donde los bloques de la escala Gi de la dimensión | Gi | = | T | = N son producidos por medio del captador de los números seudocasuales que es, como regla, el algoritmo recurrente:
Gi+1 = g (Gi), donde g – alguna función, realizado algorítmicamente.
¿Que exigencias deben ser presentadas a ПДПСЧ para abastecer la cualidad suficiente de la cifra? Notaremos ante todo que no es necesario ni криптостойкости, ni los parámetros buenos estadísticos para la consecuencia producida, puesto que son abastecidos en lo sucesivo зашифрованием de los bloques por el algoritmo de la sustitución simple.
1. Es necesario que el período de la repetición de la consecuencia ПСЧ generada {Gi} sea bastante grande, más vale – máximamente posible. Por lo menos, él debe superar la cantidad más grande posible de los bloques en el macizo cifrado de los datos. Si salir solamente de esta exigencia, más conveniente había un uso del protozoario de los captadores posibles, determinado por la correlación siguiente: Gi+1 = (Gi + 1) mod 2N, o sin cumplidos Gi = i mod 2N. Pero es que este captador PSCH no abastece la ejecución de la segunda exigencia bastante importante a ПДПСЧ:
2. Es necesario que los elementos, vecinos o próximos por la disposición, de la consecuencia {Gi} basta, es decir como mínimo, en algunas palas, se distinguían uno de otro. Sería extremadamente deseable que las distinciones entre ellos sean en cada uno байте. Para el generador simplísimo propuesto en el punto 1, la mitad del pares de los significados vecinos se distingue sólo en uno a pala: G2i+1 = G2i Å 1.
El sentido de la primera exigencia se hace evidente en vista de lo que el método гаммирования exige en su esencia la escala desechable, de otro modo él es revelado fácilmente por la línea algorítmica. Si el período de la repetición de la escala producida es insuficientemente grande, las partes distintas del mismo mensaje largo pueden encontrarse cifrado por medio de las partes iguales de la escala. Esto a muchos órdenes baja la firmeza de la cifra, haciendo su extracción fácil криптоаналитика. La segunda exigencia es menos evidente, y tiene lugar, en general, solamente para las cifras de las completamente ciertas arquitecturas, que el paso de la cifración es la combinación de algunas transformaciones relativamente simples, durante cada uno de que distinción en los bloques cifrados de los datos se aumentan muy poco. Por eso, si someteremos a la cifración dos bloques que se distinguen solamente en la única categoría binaria, las distinciones serias entre ellos aparecerán solamente a través de algunos tales pasos simples que baja poco la firmeza de la cifra y facilita la tarea криптоаналитика. Claro, en caso del GOST este descenso no es tan grande, pero los elaboradores del algoritmo han decidido ser asegurados. El captador PSCH que entra en el estándar Ruso a la cifración, supone el tratamiento independiente de las mitades mayores y menores del bloque Gi producido = (Gi, 0 , Gi, 1):
Gi+1,0 = (Gi, 0 + C0) mod 232,
Gi+1,1 = (Gi, 1 + C1 – 1) mod (232 – 1) + 1,
Donde las constantes C0 y C1 tienen los significados siguientes en 16-richnoj al sistema numérico: C0 = 101010116, C1 = 101010416.
Tal ДПСЧ es más difícil un poco que el protozoario, satisface sin embargo todas las exigencias enumeradas más arriba: el período de la repetición de la consecuencia, producida con ayuda su, es bastante grande y próximo a máximo, y los bloques, recibidos con ayuda sus, se diferencian como mínimo en uno a pala en cada uno байте.
Notaremos que el algoritmo dado es simple en la sala de aparatos, así como en la realización de programa, – se acordaremos que todos los cálculos íntegros en el ORDENADOR tienen lugar por el módulo 2N, donde N-razrjadnost de la palabra de máquina. El primera de dos correlaciones se realiza en todos sin excepción los tipos 32-de descarga de los procesadores por una orden, segundo, aunque se ve es más terrible, que primero, se realiza en realidad un poco más difícil él. Esto se hace evidente, si anotar en la forma siguiente:
Sobre todos los procesadores 32-de descarga, conocidos al autor, las correlaciones recurrentes para la fabricación del elemento siguiente se realiza de todo por tres órdenes de máquina:
|
add |
G0,01010101h |
|
add |
G1,01010104h |
|
adc |
G1,0 |
Las órdenes son dadas en la mnemónica de la firma Intel para el procesador, hecho por ella, iAPX386, G0, G1 – 32 битовые los elementos dado – los registros o las palabras dobles en la memoria, respectivamente las mitades menores y mayores 64-bitovogo del bloque de los datos, de que después de зашифрования por el algoritmo de la sustitución simple resulta el bloque de la escala.
Es evidente que al uso del régimen гаммирования, tanto como en cualquier otro caso, cuando se usa el captador PSCH recurrente, es necesario el elemento adicional de los datos G0, primero en recurrente las consecuencias {Gi}. Para complicar algunos modos posibles криптоанализа, en el estándar Ruso de la cifración el elemento G0 resulta зашифрованием por el algoritmo de la sustitución simple del bloque de los datos S de la misma dimensión | S | = | G0 | = 64, llamado por el sincroenvío o el relleno inicial: G0 = EK (S). Para la cifración se usan los bloques de la escala, a partir de G1. El sincroenvío debe ser conocido a la parte, que acepta el mensaje, pero la exigencia del carácter unical de la escala de la cifración unívocamente determinada por la combinación синхропосылка+ключ, lleva a la necesidad de usar el sincroenvío único para cada mensaje entregado. Puesto que su confidencialidad no es necesario para el mantenimiento de la firmeza del mensaje, el sincroenvío pasa habitualmente en el tipo abierto junto con el mensaje cifrado.
Es evidente que гаммирование es la variante потокового las cifraciones, es decir en la sección presente hemos construido el mecanismo, que permite crear потоковые las cifras en base a de bloques prefabricados. Conforme a esto el algoritmo, propuesto por nosotros, de la cifración posee todas las ventajas y las faltas потоковых de las cifras. Notaremos ante todo que гаммирование es libre de muchas faltas de la sustitución simple.
En primer lugar, los bloques iguales del texto inicial después de зашифрования darán los bloques distintos шифротекста que no facilita la tarea криптоанализа en la base solamente шифротекста.
En segundo lugar, tanto como en todos поточных las cifras, falta el problema del bloque incompleto de los datos. Realmente, a зашифровании último en el mensaje del bloque de los datos Tn de la dimensión incompleta | Tn | < N de producido para este bloque de la escala podemos tomar el fragmento de la misma dimensión. Este acceso es evidente, si la operación de la imposición de la escala es побитовой, pero puede ser aplicado y en otros casos. Es importante que además recibiremos el bloque шифротекста de la misma dimensión, así como el bloque de los datos iniciales. Así, зашифрование por el método гаммирования no cambia la dimensión de los datos cifrados que es en algunos casos importante.
En tercero, los hechos de cualesquiera manipulaciones sobre las partes криптоблоков, así como sobre los bloques enteros, tales, como su traslado, la desaparición, la duplicación, se hacen evidente después de расшифрования es se manifiesta por aquel en gran medida, que más de redundancia contiene en el mensaje cifrado. Es brillante especialmente este efecto se manifiesta para los ficheros textuales – si a tales manipulaciones someterles el mensaje cifrado compuesto sobre un de las lenguas naturales, después de расшифрования recibiremos el disparate completo.
Al régimen гаммирования en mucho большей los grados, que el régimen de la sustitución simple, le es inherente la propiedad de la no distribución de la falta. Si en el segundo caso la falta se distribuye dentro de los límites de todo el bloque cambiado criptográfico por la imagen imprevisible para el malhechor, en el primer caso su influencia en el bloque correspondiente del texto abierto es pronosticada relativamente fácilmente que hace posible la modificación dirigida de los bloques шифротекста. Si la modificación someter las palas en el macizo de los datos cifrados гаммированием con el uso de la operación побитового que excluye o, después de расшифрования cambiado se encuentra sólo mismo las palas en el texto abierto.
La propiedad indicada гаммирования es bastante desagradable, puesto que significa en su esencia que el malhechor, influyendo solamente en шифротекст, puede según su parecer cambiar cualesquiera categorías en el texto correspondiente abierto. Por cuanto esto puede ser peligroso, explicaremos sobre el ejemplo siguiente: que el cartero – el malhechor entrega el mensaje cifrado, que él no puede descifrar, puede hacer sin embargo en él los cambios cualesquiera. Tal cartero puede ser, por ejemplo, el trabajador de la filial de la firma, que sirve de comunicación ЭМВ, destinado al envío de mensajes en la sede principal de la firma. Que él entrega cierto documento compuesto en forma del fichero textual, cifrado en el régimen гаммирования, en que, como él sabe, de 13 posiciones comienza la anotación de algún número, por ejemplo, su suma премиального las recompensas. Puede encontrarse completamente que le es conocida toda la suma o, por lo menos su alguna parte – supondremos que la anotación del número comienza del símbolo ‘ 1 ’, y el malhechor lo sabe. Entonces no es difícil llevarlo esta cifra a otra, por ejemplo – en ‘ 9 ’. Todo que es necesario sustituir para esto el 13 byte del mensaje B13 por un nuevo significado calculado del modo siguiente: B ' 13 = B13 Å ' 1 ' Å ' 9 '. A través de ' 1 ' y ' 9 ' hemos designado los códigos de las cifras 1 y 9 respectivamente en aquel sistema de la codificación, en que es preparado el texto del mensaje. Si esto ASCII, basta de invertir solamente uno de palas del mensaje: B ' 13 = B13 Å 8. ¡Después de расшифрования el destinatario recibirá el mensaje, en que en vez de la cifra 1 justa hay una cifra 9, y más de ningunos cambios no existen! Es evidente que la sustitución dada no puede ser descubierta, si en el macizo entregado de los datos no hay ninguna información adicional, excepto el mensaje cifrado inicial. El ejemplo dado ilustra una vez más aquel hecho que el mantenimiento de la confidencialidad del mensaje (su cifración) no abastece por sí mismo su autenticidad, es decir la autenticidad. ¿En que la causa de tal rasgo гаммирования? Es que este régimen no abastece la mezcla muy deseable para todas las cifras битов del mensaje, es decir la influencia de un pala del texto inicial en algunos битов шифротекста.
Otro rasgo гаммирования, que complica el mecanismo de su uso es una necesidad del mantenimiento del carácter unical de la escala. Puesto que la escala está determinada unívocamente por la llave y el sincroenvío, este par debe ser único para cada documento cifrado que lleva a la constancia de la llave de la necesidad del destino a cada mensaje del sincroenvío único. Por eso cualquier acta de la cifración (el algoritmo de la cifración de un más alto nivel) es inestable por completo al análisis en base al texto según el deseo escogido abierto, si криптоаналитик puede según su parecer fijar el sincroenvío o usar para la cifración del mensaje el método de la sustitución simple.
9. Гаммирование con la realimentación.
A la síntesis del algoritmo de la cifración de bloques prefabricados nos encontrábamos ya con la idea de producir la escala para la cifración del bloque siguiente de los datos con el uso de unos o algunos bloques anteriores de los datos.
Gi+1 = f (Ti) o, más обще:
Gi+1 = f (T1, T2..., Ti).
Cerca de este esquema de la cifración, así como a regular гаммирования, hay un problema de la recepción del primer elemento de la escala. El modo de su decisión es completamente tradicional: el texto inicial es completado con el bloque T0 ficticio no secreto, que único destino – ser la base para la fabricación del primer bloque de la escala: G1 = f (T0).
Tanto como a гаммировании sin SO, este bloque debe ser la parte del mensaje cifrado:
T ' = (T0, T1 ', T2 '..., Tn ' ).
Si hemos decidido producir los bloques de la escala de los bloques del texto inicial, tenemos que esconder además cualesquiera leyes estadísticas de este texto. Más evidente y ya la vía probada para esto – usar la transformación que cifra, es decir el algoritmo de la sustitución simple:
Gi = EK (Ti),
Ti ' = Ti Å Gi = Ti Å EK (Ti–1).
Pero el acceso propuesto en su tipo inicial posee muchas faltas del algoritmo de la sustitución simple, para que superación, en realidad, y hemos emprendido los perfeccionamientos distintos del esquema de la cifración. Prestaremos la atención a lo que durante su uso el bloque шифротекста depende solamente de los bloques, correspondientes y que precede ello, del texto inicial:
Ti ' = Ti Å EK (Ti–1) = f (Ti, Ti–1).
Esto significa que a зашифровании del macizo de los bloques iguales dado a los bloques correspondientes шифротекста, a partir del segundo de ellos, serán idénticos son también hay evidente del examen de las ecuaciones зашифрования:
Ti ' = f (Ti, Ti–1),
Ti ' +1 = f (Ti+1, Ti),
Ti–1 = Ti = Ti+1 ® Ti ' = Ti ' +1.
Como vemos, por la propiedad dada el algoritmo, propuesto por nosotros, de la cifración no es mejor la sustitución simple. Sin embargo se puede perfeccionarlo muy fácilmente, si para la fabricación de la escala usar los bloques шифротекста, y no el texto correspondiente abierto:
Gi = EK (Ti '–1),
Ti ' = Ti Å Gi = Ti Å EK (Ti '–1) (зашифрование),
Ti = Ti ' Å Gi = Ti ' Å EK (Ti '–1) (расшифрование).
Ahora cada bloque шифротекста depende no sólo de correspondiente, sino también de todos los bloques que preceden del texto inicial:
Ti ' = Ti Å EK (Ti '–1) = f (Ti, Ti '–1), pero
Ti '–1 = Ti–1 Å EK (Ti '–2) = f (Ti–1, Ti '–2), por eso
Ti ' = f (Ti, Ti '–1) = f (Ti, Ti–1, Ti '–2) = ... = f (Ti, Ti–1..., T1, T0), donde
T0 – El sincroenvío.
El perfeccionamiento, cumplido por nosotros, hace гаммирование con la realimentación libre de las faltas de la sustitución simple. Realmente, la inserción de los cambios en los bloques шифротекста, así como lleva la manipulación por los bloques enteros a los cambios imprevisibles para el malhechor en el texto descifrado, como resultado él pierde la posibilidad de prestar tales influencias consecuentemente.
Como hemos mostrado antes, a cada bloque шифротекста a зашифровании ejercen la influencia todos los bloques que preceden del texto inicial y el sincroenvío: Ti ' = f (Ti, Ti–1..., T1, T0). Un poco otra, aunque muy de modo semejante a los bloques del texto abierto recibido a расшифровании, influyen los bloques шифротекста. Para la aclaración del carácter de esta influencia anotaremos una vez más las ecuaciones расшифрования para dos bloques adyacentes de los datos:
Ti = Ti ' Å EK (Ti '–1),
Ti+1 = Ti ' +1 Å EK (Ti ').
De estas ecuaciones se está claro que cada bloque шифротекста a расшифровании ejerce la influencia sólo a dos bloques del texto abierto: al bloque, correspondiente a ello, y al bloque, que lo sigue. Y en el primer caso esta influencia tiene el mismo carácter, tanto como al uso de regular гаммирования, а en segundo – como a la sustitución simple. Así, si el malhechor hace los cambios en el bloque шифротекста, se reflejarán en los bloques corrientes y siguientes del mensaje.
La manifestación de esta influencia es conveniente explicar sobre el ejemplo de la sección anterior: si el mensaje era cifrado por el método гаммирования con la realimentación y en él eran hechos los cambios, indicados en el ejemplo, después de расшифрования el destinatario verá el cuadro siguiente:
· en el bloque cambiado todo también, tanto como a regular гаммировании – en vez de la cifra justa uno cuesta el nueve, impuesto por el malhechor, y más de ningunos cambios no existen;
· en el bloque que sigue por cambiado, el cuadro mismo, tanto como a la sustitución simple – el bloque representa la combinación casual absurda битов;
· todos otros bloques se han quedado invariable;
Así, el régimen гаммирования con la realimentación tiene las mismas ventajas, así como regular гаммирование, y al mismo tiempo es libre de sus faltas. Гаммирование de la SO es estable a los traslados de los bloques y a las modificaciones dirigidas шифротекста, si se modifica solamente no el último bloque. Con otras palabras, el malhechor que hace los cambios en шифротекст, no puede exactamente contar su influencia en el texto abierto, si, claro, no posee la clave secreta. Por otro lado, para este régimen como para el caso especial гаммирования, falta el problema de "la cola" – el último bloque incompleto de los datos y a diferencia de гаммирования sin SO no es tan agudo el problema del carácter unical del sincroenvío. Explicaremos la última observación: realmente, a regular гаммировании la escala producida está determinada unívocamente por el sincroenvío y la llave: Gi = f (i , T0 , K ), mientras que a гаммировании de la SO depende también de los datos cifrados: Giос = f (i , T0, T1..., Ti–1, K ). Por eso, si dos mensajes que no contienen los bloques iguales, son cifrados con el uso de la misma llave y el sincroenvío, la igualdad Ti ' Å T~i ' = Ti Å T~i se cumple solamente a i = 1 que facilita la tarea de la descodificación sólo primero, pero de ningún modo los bloques ulteriores del mensaje. Esto baja la agudeza del problema pero, claro, no la quita por completo. Si криптоаналитик posee la posibilidad del análisis en base al texto cualquiera abierto, incluso la elección del sincroenvío, tal esquema de la cifración es inestable al análisis. Así, y es necesario preocuparse en este caso de la originalidad del sincroenvío.
Acabando el relato sobre гаммировании notaremos que el estándar Ruso de la cifración no preve ningunos otros regímenes de la cifración, excepto descrito más arriba. El estándar americano determina aún más regímenes con la realimentación, sin embargo se distinguen es desventajoso de descrito más arriba que por un recurso al procedimiento de la sustitución simple es cifrada la porción de datos t, según las dimensiones menor, que completo 64-bitovyj el bloque de los datos del algoritmo DES, |t | < 64 que, claro, baja la velocidad шифрователя sin aumento un poco visible de su firmeza. Notaremos además que todo dicho en la sección dada del artículo se quedará justo, si en vez del algoritmo de la sustitución simple de acuerdo con GOST usar otro algoritmo cualquiera de la sustitución simple – ello pueden ser DES, FEAL, албер etc. – la firmeza recibido así потокового de la cifra está determinada por completo por la firmeza de la cifra usada de la sustitución simple.
10. Имитозащита.
Como ya mostrábamos varias veces en los ejemplos, la cifración no puede proteger por sí mismo los datos entregados de la inserción de los cambios. Esto es el reflejo de aquel hecho que la confidencialidad y la autenticidad – la esencia ¡Ñºáó¿@ß¿¼ÙÑ las propiedades de los sistemas criptográficos. Así, a la organización del enlace cifrado es necesario separadamente preocuparse sobre имитозащите de los datos entregados.
Имитозащита hay una defensa del sistema del enlace cifrado u otro криптосистемы de la imposición de los datos falsos.
Puesto que examinamos los sistemas de la defensa la información que abastecen las características necesarias solamente por medio de la manipulación de la información independientemente de las propiedades de sus portadores materiales, el mantenimiento de la autenticidad del mensaje puede ser alcanzado solamente por la señal en él la cierta redundancia, que con el grado suficiente de la veracidad permitiría descubrir todo hecho en él por la imagen no autorizada del cambio. El más modo simple y evidente esto hacer – añadir al mensaje el código adicional llamado por la combinación de control o имитовставкой, que depende de sus mantenimientos:
T ~ = (T, Y ), donde Y = f (T ).
A la recepción del mensaje la parte, que lo ha aceptado, comprueba la ejecución de la condición Y = f (T ), y si es justo, el mensaje se considera verdadero, en caso contrario es rechazado como falso.
Имитовставка hay una combinación de control añadida a entregada ß««íÚÑ@¡¿¯ con el fin de la defensa del sistema de la imposición de los datos falsos y que depende de su contenido.
Al modo simplísimo del cálculo de la combinación de control puede servir la suma de control de bloques del mensaje por el módulo de algún número – habitualmente la dimensión de la combinación de control es igual a la dimensión de los bloques de los datos:
f (T) = (T1 + T2 +... + Tn) mod 2N, donde N = | Ti | – la dimensión de los bloques.
Es evidente sin embargo que el modo dado del cálculo de la combinación de control no vale para имитозащиты, puesto que su falsificación no presenta el problema especial. Para comprender aquel, que propiedades debe poseer el algoritmo de la fabricación имитовставки, examinaremos las amenazas posibles de la autenticidad de los datos:
· el malhechor puede intentar cambiar los datos T ® T ~ así que de ellos имитовставка se haya quedado invariable: f (T) = f (T ~);
· el malhechor puede intentar abastecer el mensaje T, fabricado por ello, ~ de la combinación correctamente calculada de control f (T ~), habiéndolo dado mismo por verdadero;
Cualquier esquema práctico имитозащиты debe abastecer la defensa eficaz de dos amenazas enumeradas más arriba, de que no es posible de decir sobre имитовставке – la suma de control.
Para el cálculo de tal combinación de control puede ser usado así llamada вычислительно la función irreversible. La función Y = f (T ) se llama вычислительно irreversible, si la definición de tales significados T, para que es justa la ecuación f (T ) = Y, es decir el cálculo de la función inversa T = f–1 (Y ) вычислительно es imposible. En la práctica esto significa que tal significado T no puede ser determinado por un modo más eficaz, que el exceso por la multitud de todos sus significados posibles. La dimensión имитовставки Y |Y | = N debe excluir la probabilidad un poco significativa de la falsificación exitosa del mensaje, que en pésimo para el analítico el caso es igual p = 2–N.
Claro que la noción de la irreversibilidad de cómputo es formalizada extraordinariamente difícil y por eso su ejecución es prácticamente imposible comprobar para los algoritmos concretos. El esquema имитозащиты, fundado en irreversible las funciones, es estable con relación a la primera amenaza. Realmente para realizarle, el malhechor debe recoger el mensaje T bajo la combinación Y dada de control, para que tiene que decidir la ecuación f (T ) = Y relativamente T que por nuestra suposición es imposible por el tiempo aceptable. Sin embargo el esquema dado имитозащиты no protege de la segunda amenaza. Para hacer a su estable a, se puede entregar имитовставку junto con el mensaje cifrado en la misma u otra llave. La combinación de control calculada así, en la literatura extranjera se llama en el código del descubrimiento de las manipulaciones con los datos (Manipulation Detection Code), y se deja ver en forma abreviada MDC. Para la realización del método dado es necesaria вычислительно la función irreversible de la compresión de los datos. La palabra "la compresión" asiste en el nombre de la función porque independientemente de la dimensión del mensaje la dimensión de la combinación de control siempre es constante y, naturalmente, en la mayoría de los casos prácticos es más pequeña dimensión del mensaje. Sin embargo la esfera correspondiente de los matemáticas es tanto difícil que la irreversibilidad de cómputo mientras no es demostrada es formal ni para un algoritmo, usado en la práctica, de la compresión de los datos. En el estándar Ruso a la cifración y имитозащиту dado al acceso en base a MDC no ha encontrado el reflejo.
Que el malhechor no pueda realizar ni un de las amenazas enumeradas más arriba, accesibles a ello, por la infracción de la integridad de los datos, basta de abastecer la imposibilidad del cálculo de ello de la combinación de control f (T ) para cualquier texto T. Para esto es necesario hacer simplemente el algoritmo de su cálculo f (T ) por el elemento secreto криптосистемы. La puesta en práctica consecutiva del principio de Kirhgofa lleva al esquema, en que la función f no es secreto por sí misma, pero depende del vector de los parámetros secretos – la llave K:
I = f (K , T ) = f (K, T1..., Tn), donde
T = (T1..., Tn) – el texto inicial roto en los bloques de la dimensión fijada. La combinación producida de ese modo de control ha recibido el nombre del código аутентификации de los mensajes (Message Autentification Code) y se deja ver en forma abreviada MAC. En la literatura nacional a veces se llama (no completamente correctamente) en la suma criptográfica de control. Cómo a realizarnos esta función f (¿K , T )? Hay A nuestra disposición un algoritmo de la transformación criptográfica I = EK (T ) (la sustitución simple), que posee necesario para la construcción de las funciones semejantes las propiedades, permite trabajar sin embargo solamente con los bloques del texto de la dimensión fijada | T | = N.
La primera idea, que se ocurre, cifrarlo la suma de control calculada por la imagen regular. Sin embargo la insolvencia de tal acceso es evidente – él nos permite defenderse del segunda de las amenazas llevadas, sin embargo no protege completamente de primero. Realmente, el malhechor que dispone de algún mensaje interceptado antes en abierto, así como en la forma cifrada con имитовставкой, puede imponer sin esfuerzo tal ¬Ó¿»Ô«@ß¿ßÔÑ¼Ñ la noticia falsa – para esto él фабрикует el mensaje con exactamente misma suma de control, así como que tiene, y abastece de su mismo имитовставкой. La única cosa que puede impedir al malhechor en esto, es la imposibilidad es correcto cifrar el mensaje fabricado. Sin embargo no nos es posible esperar esto – la exigencia del mantenimiento de la autenticidad del mensaje independientemente de su confidencialidad se queda en la fuerza.
Nuestro primer acceso a la tarea de la construcción del algoritmo del cálculo имитовставки se encontraba desgraciado. Lo probaremos ligeramente mejorar: cifraremos primero los bloques del mensaje, y sólo luego encontrar la suma de control recibido шифроблоков:
f (T) = (EK (T1) + EK (T2) +... + EK (Tn)) mod 2N.
El acceso dado es estable por aquellas líneas, por que era revelado anterior, sin embargo y él tiene el punto flaco evidente: no reacciona de ningún modo al traslado posible de los bloques шифротекста. Para la superación de esta falta es posible intentar en vez de la suma usar otra función, no conmutable de la combinación de los bloques, sin embargo esto engendra la multitud de problemas distintos desagradables y por eso el acceso dado no ha encontrado la aplicación práctica.
¿Cómo a obrarnos en la situación presente? Es el momento más oportuno de acordarse aquí sobre el régimen гаммирования con la realimentación – en este régimen cada bloque шифротекста depende de todos los bloques del texto inicial de primero hasta correspondiente a ello. Significa, el último bloque шифротекста depende de todos los bloques del texto inicial, la clave secreta y es estable, además, a los traslados posibles de los bloques шифротекста, a que ha cedido la variante anterior. Así, podemos intentar usarlo en la cualidad имитовставки:
I = Tn ' = f (Tn, Tn '–1) = f (Tn, Tn–1, Tn '–2) =... = f (Tn, Tn–1..., T1, T0).
Además sigue prestar, sin embargo, la atención en dos cosas:
· el sincroenvío para el cálculo имитовставки no es necesario – se puede comenzar la transformación directamente del primer bloque de los datos: I = Tn Å EK (Tn–1 Å EK (... EK (T1)...));
· el esquema dado es vulnerable por el último bloque – realmente, el resultado total para имитовставки se forma побитовым por la suma por el módulo 2 últimos bloques de los datos con algún código que depende de todos los bloques anteriores: I = Tn ' = Tn Å EK (Tn '–1) es significa que el malhechor puede fabricar el mensaje cualquiera, y luego añadir a él todavía un bloque calculado por la fórmula Tn = I Å EK (Tn '–1) que la combinación de control para él sea igual al valor dado I;
Es fácil tomar en consideración las observaciones dadas – es necesario sólo cambiar el orden del uso sobre cada paso de las operaciones побитового que excluye o y la sustitución simple, – entonces el algoritmo del cálculo имитовставки se verá del modo siguiente: I = EK (Tn Å EK (Tn–1 Å ... EK (T1)...))).
El uso en la cualidad имитовставки del último bloque recibido a la cifración del macizo de los datos гаммированием con la realimentación, o función cualquiera de él, puede hacer algunas actas criptográficas infundado. Esto tiene lugar, si para зашифрования del texto y la fabricación имитовставки se usa el mismo algoritmo – гаммирование con la realimentación, y la misma llave. Mostraremos que este esquema no abastece имитостойкости. Que el mensaje T = (T1, T2..., Tn) es cifrado sobre la llave K por el algoritmo гаммирования de la SO: T ' = (T1 ', T2 '..., Tn ' ). Que en calidad del código аутентификации se usa calculado por el mismo algoritmo y sobre la misma llave el código I, es evidente T = Tn '. Entonces el mensaje completo cifrado con el código аутентификации tiene el tipo siguiente: T ~ ' = (T ', I) = (T1 ', T2 '..., Tn ', Tn '). Si el malhechor hace los cambios en шифротекст, con todo eso nuestro esquema аутентификации no descubrirá los cambios, aunque, recibido a расшифровании el texto será muy lejano de verdadero. La causa de esto se oculta en lo que al criterio de la autenticidad del mensaje sirve aquí la igualdad del último bloque шифротекста la combinación de control, а es relativamente fácil abastecerlo. La situación no se mejorará es cardinal, si en vez del directamente último bloque шифротекста en la cualidad имитовставки usar la función de él, recibido que hasta por medio del algoritmo de la sustitución simple: I = EK (Tn ').
Así, los esquemas criptográficos, en que имитозащита no es separado de la cifración, es decir en calidad del código аутентификации se usa la parte шифротекста o la función calculada con el uso solamente de tal parte, pueden encontrarse inestable a la manipulación con шифротекстом. Debe De aquí que hay dos vías de la eliminación de la falta indicada:
· usar para el cálculo имитовставки distinto криптоалгоритмы, o los regímenes distintos del mismo algoritmo;
· usar para la cifración y el cálculo имитовставки las llaves distintas;
El uso de dos llaves en vez de uno no es completamente conveniente, por eso los fundadores del GOST han ido por la primera vía – han elaborado el algoritmo EK separado ', destinado exclusivamente para el cálculo имитовставки. Si para la cifración por la sustitución simple por cada paso se usa el ciclo 32-Z, expresado en los términos de la composición de las transformaciones simples (cm. La sección 4 del artículo presente) del modo siguiente: al 
cálculo имитовставки se usa el ciclo agilizado 16-Z, que contiene los primeros 16 pasos del ciclo 32-Z:
. El algoritmo agilizado del cálculo имитовставки permite alcanzar aproximadamente dos veces большего la velocidad en comparación con los regímenes de la cifración.
Otras diferencias del algoritmo del cálculo имитовставки del algoritmo гаммирования con la realimentación son condicionadas las causas llevadas antes y consisten en lo siguiente:
· no se usa el sincroenvío;
· la combinación del código con los datos por medio de la función Å se realiza no después de, а hasta el paso криптопреобразования: I0 = 0, Ii = EK ' (Ii–1 Å Ti), i = 1,2..., n.
La segunda propiedad elimina la vulnerabilidad имитовставки por el último bloque del mensaje.
Notaremos que en la cualidad имитовставки puede cogerse todo, pero la parte del bloque In recibido: I = ( In ) 1... L, donde L = | I | – la dimensión имитовставки. Como regla, es 32 pala menor del bloque In. La dimensión имитовставки L determina la probabilidad de la imposición exitosa de los datos falsos, que es igual p = 2–L. En la conclusión de la sección dada notaremos que en el régimen del cálculo имитовставки el GOST permite añadir en el comienzo del texto sus parámetros de descuento, tales, como la fecha de la última modificación del fichero y su dimensión, etc.: I (T) = I (U, T), donde U – el vector de los parámetros de descuento.
La conclusión.
Sobre esto el autor es obligado a poner un punto final, aunque sin examen había un número grande de las preguntas importantes, en particular, eran tocadas en absoluto las preguntas de la realización del estándar Ruso en forma del aparato o el programa para el ORDENADOR, que representan últimamente el interés más grande para el amplio círculo de los especialistas. Con todo eso el autor espera que el artículo dado será útil todo que se interesa por los métodos criptográficos de la defensa de la información. En calidad del complemento al artículo es aplicado el juego de las ecuaciones para todos los regímenes криптопреобразований de acuerdo con GOST 28147-89, que es en realidad formal y basta por la descripción minuciosa del estándar.
La literatura.
1. J. L.Messi. La introducción en la criptología moderna. ТИИЭР, т.76, №5, el Mayo 88, M, el Mundo, 1988, s.24-42.
2. M.E.Smid, D.K.Bransted. El estándar de la cifración de los datos: pasado y futuro. ТИИЭР, т.76, №5, el Mayo 88, M, el Mundo, 1988, s.43-54.
3. U.Diffi. Primero diez años de la criptografía con la llave abierta. ТИИЭР, т.76, №5, el Mayo 88, M, el Mundo, 1988, s.54-74.
4. A.N.Lébedev. La criptografía con la llave abierta y la posibilidad de su aplicación práctica. Por aquel. Сб. «La Defensa de la información», вып. 2, М.1992, s.129-147.
5. А. V.Spesivtsev etc. la Defensa de la información en los ordenadores personales. М, la Radio y el enlace, 1992, s.140-149.
6. El GOST 28147–89. Los sistemas del tratamiento de la información. La defensa criptográfico. El algoritmo de la transformación criptográfica.
7. S.Maftik. Los mecanismos de la defensa en las redes del ORDENADOR. М, el Mundo, 1992.
8. V.Zhelnikov. La criptografía del papiro hasta el ordenador. М, ABF, 1996.
¤Ёшыюцхэшхаааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааа las Ecuaciones de las transformaciones criptográficas es conforme el GOST 28147-89
|
El régimen |
La ecuación зашифрования |
La ecuación расшифрования |
La información adicional |
|
La sustitución simple |
Ti ' = EK (32) (Ti), 1 £ i £ n |
Ti = DK (32) (Ti '), 1 £ i £ n |
— |
|
Гаммирование |
Ti ' = Ti Å EK (32) (Gi), 1 £ i £ n |
Ti = Ti ' Å EK (32) (Gi), 1 £ i £ n |
G0 = EK (S), Gi = (Gi, 0, Gi, 1), 0 £ i £ n Gi, 0 = (Gi–1,0 + C0) mod 232, 1 £ i £ n Gi, 1 = (Gi–1,1 + C1 – 1) mod (232 – 1) + 1, 1 £ i £ n, C0 = 101010116, C1 = 101010416. |
|
Гаммирование con la realimentación |
Ti ' = Ti Å EK (32) (Ti '–1), 1 £ i £ n |
Ti = Ti ' Å EK (32) (Ti '–1), 1 £ i £ n |
T0 ' = S. |
|
La fabricación имитовставки |
— |
— |
I0 = 0, Ii = EK (16) (Ii–1 Å Ti), 1 £ i £ n, I = (In) 1. L |
Las explicaciones:
Ti, Ti ' – i-tyj el bloque del texto abierto y cifrado respectivamente;
El S-sincroenvío – el macizo dado por la dimensión | S | = 64 palas;
I-imitovstavka – El macizo dado por la dimensión L no más 64 palas: L = | I | < 64;
EK (32) = (G1SG2S... SG8S) 3 (G8S... SG2SG1) – la transformación del ciclo зашифрования (32-Z);
DK (32) = (G1SG2S... SG8S) (G8S... SG2SG1) 3 – la transformación del ciclo расшифрования (32-R);
EK (16) = (G1SG2S... SG8S) 2 – la transformación del ciclo de la fabricación имитовставки (32-Z);
S (T0, T1) = (T1, T0) – la operación del traslado mayor y menor 32-bitovyh de las mitades del bloque convertible de los datos;
Gi (T0, T1) = (T0, T1 Å fH (T0, Ki)) – la operación de un paso de la transformación 64-bitovogo del bloque de los datos, 1 £ i £ 8;
fH (t, k) = R¬11 (CH ((t + k) mod 232)) – la función de la cifración, el bloque t-convertible de los datos k-usados sobre el paso el elemento de la llave – 32-bitovye los bloques de los datos: | t | = | k | = 32;
R¬11 – La operación del giro (el desplazamiento cíclico) 32-bitovogo del bloque de los datos a 11 palas a la izquierda (a un lado los mayores битов);
CH – la operación de la transformación 32-bitovogo del bloque de los datos, que consiste en поблочной a la substitución 4-bitovyh de los grupos de los datos de la tabla de las sustituciones H = {hi, j} 1 £ i £ 8,1 £ j £ 16:
;
|
|