Одноразовая система шифрования

Важнейшим для развития криптографии был результат К. Шеннона о существовании и единственности абсолютно стойкого шифра. Единствен­ным таким шифром является какая-нибудь форма так на­зываемой ленты однократного использования, в которой открытый текст «объединяется» с полностью случайным ключом такой же дли­ны. Этот результат был дока­зан К. Шенноном с помощью разработан­но­го им теоретико-информацио­нного метода исследования шифров. Обсудим особенности строения аб­со­лютно стойкого шифра и воз­можности его практического использования.

Пусть { K_i; 0< i<n } – независимые случайные переменные, принима­ющие равновероятные значения на множестве Z_m:

P{(K ₀, K ₁,..., K_{n -1})=(k ₀, k ₁,..., k_{n -1})}=(1/ m) ⁿ.

Одноразовая системашифрования преобразует исходный текст
(x ₀, x ₁,..., x_{n -1}) в шифрованный текст (y ₀, y ₁,..., y_{n -1}) при помощи подстановки Цезаpя:

y_i =Е _k (x_i)=(k_i + x_i) mod m, i =0,..., n-1.

Для такой системы подстановки используют также термин "одноразовая лента" и "одноразовый блокнот". Пространство ключей К системы однора­зовой подстановки состоит из векторов (k ₀, k ₁,..., k_{n -1}) и содержит mⁿ точек.

Процесс шифрования фактически представляет собой наложение белого шума в виде бесконечного ключа на исходный текст, которое меня­ет статистические характеристики языка источника. Системы однора­зо­вого использования теоретически не расшифруемы, так как не содержат достаточной информации для восстановления текста.

Подчеркнем, что для абсолютной стойкости существенным являет­ся каждое из следующих требований к ленте однократного использования:

1) полная случайность и равновероятность ключа (это, в частности, означает, что ключ нельзя вырабатывать с помощью какого-либо детерми­нированного устройства);

2) равенство длины ключа и длины открытого текста;

3) однократность использования ключа.

В случае нарушения хотя бы одного из этих условий шифр переста­ет быть абсолютно стойким, и появляются принципиальные возможности для его вскрытия (хотя они могут быть трудно реализуемыми). Но именно эти ус­ловия и делают абсолютно стойкий шифр очень дорогим и непрак­тич­ным. Прежде чем пользоваться таким шифром, мы должны обеспечить всех абонентов достаточным запасом случайных ключей и исключить воз­мож­ность их повторного примене­ния.

В случае передачи информации по компьютерным сетям, в част­нос­ти для информационных систем, где при­ходится шифровать многие мил­лио­ны знаков, задача, хотя, и решена тео­ретически, с практической точки зре­ния не подвинулась не на шаг, так как передача секретного текста заменя­ется переда­чей секретного ключа точно такой же длины.

1.24. Шифр Вернама

Простым примером реализации абсолютно стойкого шифра (при использовании ключа,равного по длине исходному тексту) является шифр, предложенный в 1926 году сотрудни­ком фирмы AT&T Вернамом. Разрабо­тан­ное Вернамом на основе этого аппарата считывающее устройство и оборудование для шифрования использовалось в то время корпусом связи армии США.

Шифр использует двоичное представление символов исходного текста с использованием телеграфного кода Бодо, где каждая буква исход­ного текста переводи­лась в пятибитовый символ с использованием ста­рин­ного телетайпа фирмы AT&T и записывалась на бумажной перфоленте. Таким же образом записывался на перфоленте и ключ. При шифрова­нии, кото­рое могло быть выполнено простым наложением двух перфолент одинаковой длины друг на друга, ключ добавлялся к исходному тексту путем побитового сложения Å по модулю два символов от­крытого текста и ключа:

y_i = x_i Å k_i, i=1,…, n.

Здесь х₁ х₂ ... x_п – открытый текст, k₁ k₂ ... k_п – ключ, y₁ y₂ ... y_п – ши­фрован­ный текст.

Дешифрование выполняется аналогично (наложением перфолент) и состоит в сложении по модулю два симво­лов шифртекста с той же последовательностью ключей:

y_i Å k_i = x_i Å k_i Å k_i = x_i, i=1,…,n.

При этом последовательности ключей, использованные при шифро­вании и дешифровании, при сложении по модулю два компенсиру­ют друг друга и в результате восстанавливаются сим­волы х исходного текста.

Однако при реали­зации метода Вернама возникают серьезные проб­лемы, связан­ные с необходимостью доставки получателю такой же после­дова­тельности ключей, как у отправителя, либо с необходимостью, безо­пасного хранения идентичных последовательностей ключей у отправителя и получателя. Эти недостатки системы шифрования Вернама преодолены при шифровании методом гаммирования.