Основы криптографии Учебное пособие - Алферов А.П.
ISBN 5-85438-025-0
Скачать (прямая ссылка):
Как мы уже отмечали, далеко не все перестановки являются “хорошими” с точки зрения надежности шифрования. Например, если прослушать сигнал после применения каждой из двух подстановок
12345678^1 12345678^1
(О
13245768 ’ .36258471,
то мы нашли бы в первом случае значительно более высокую остаточную разборчивость, чем во втором.
Замечание. В (1) рассматриваемые перестановки являются нижними строками подстановок, в которых верхние строки
301
fлава 10
представляют собой исходные порядки сегментов, а нижние — порядки сегментов после перестановки.
Причина указанного различия перестановок (I) состоит в том, что в первой из них символы I, 4, 5, 8 остаются неподвижными, а остальные смещаются лишь на соседние позиции, тогда как во второй происходит лучшее перемешивание.
Рассмотренный пример приводит к естественной количественной мере “качества” перестановки. Пусть для произвольной подстановки а символ a(i) обозначает позицию, на которую а перемещает і -й сегмент. Тогда смещение символа і после перестановки равно |/ - a(i)\, а среднее смещение после перестановки характеризуется величиной
Для первой подстановки из (1) среднее смещение s(a) равно 0,5, для второй — 2,5. Величина 5(a) называется сдвиговым фактором подстановки а . Замечено, что перестановки, приводящие к выходному сигналу с низкой остаточной разборчивостью, имеют большой сдвиговый фактор, хотя обратное может быть неверным. В качестве примера приведем подстановку а восьми элементов со сдвиговым фактором 4, которая плохо выдерживает “тесты на слух”:
Помимо своего низкого сдвигового фактора первая подстановка в (1) имеет и другие нежелательные свойства. Рассмотрим, например, соседние сегменты 4 и 5. В скремблиро-ванном кадре они расположены в том же порядке, что и в исходном. Если сегменты имеют длительность в 40 мс, то рассматриваемая пара сегментов составляет около 80 мс. Как мы
^12345678^ ,5768324 Ij
(2)
302
Шифрование в телефонии
уже отмечали, большинство фонем могут быть узнаваемы в таком интервале времени. В той же подстановке, а также в подстановке (2), сегменты 6 и 8 являются соседними. Это также нежелательно. Дело в том, что вообще при прослушивании в скремблированном сигнале пары соседних сегментов типа /, і + 2 человеческий мозг в состоянии, как правило, восстановить пропущенный сегмент / +1, то есть восстановить соответствующую часть сообщения. Нечто подобное имеет место и в других случаях.
Таким образом, в рассмотренных ситуациях также идет речь о некоторой остаточной разборчивости. Это свидетельствует о сложности формализации определения “хороших” с точки зрения защиты перестановок, а следовательно, и сложности их подсчета. Поэтому имеются существенные различия в подсчете числа “хороших” перестановок, это может зависеть от субъективных предпочтений разработчика.
Теперь нужно решить вопрос о способе выбора перестановок с помощью ключа. Имеются два естественных способа такого выбора. Первый состоит в выборе произвольной перестановки данной степени с последующим ее тестированием. В зависимости от того, подходит она или нет, перестановка используется для преобразования кадра. Другой способ состоит в предварительном отборе всех “хороших” перестановок в ROM (памяти лишь для чтения), имеющейся в самом оборудовании, и их выбором для использования с помощью псевдослучайной последовательности. Рассмотрим оба способа.
Наиболее неблагоприятным для первого способа является фактор времени. В конце промежутка времени, равного длительности кадра, мы должны выбрать следующую подходящую перестановку. При этом нежелательно повторение той же перестановки, что в принципе возможно даже для случайной управляющей последовательности. Поэтому необходим контроль, устраняющий появление неподходящих перестановок. Ожидание подходящей перестановки требует дополнительных временных затрат, что нежелательно.
303
І лава Ю
Второй метод использует лишь те перестановки, которые записаны в ROM. Если их запас не слишком велик, то это улучшает шансы противника. В случае когда кадр состоит из не слишком большого числа сегментов, скажем 8, и имеется возможность хранить все “хорошие” перестановки, второй метод предпочтителен. Чтобы понять еще одно преимущество второго метода, необходимо рассмотреть вопрос о возможностях перехватчика, обладающего той же аппаратурой и полным набором “хороших” перестановок.
Предположим, что одной из перестановок, хранящихся в ROM, является вторая перестановка из (1), и мы ее использовали для перемешивания кадра. Перехватчик, желая определить используемую перестановку, может перебирать перестановки, обратные к хранимому запасу перестановок. Если наша память содержит также нижнюю строку подстановки
(12345678"!
(3)
^36258417J
то перехватчик может опробовать и ее (вместо использованной). Результатом последовательного применения исходной подстановки и обратной к подстановке (3) является подстановка
^12345678^1
^l 2345687J
Она так близка к тождественной подстановке, что практически всегда дает возможность противнику восстановить исходный кадр. Помимо (3) есть и другие перестановки, “близкие” к истинной. В случае когда кадр состоит из 8 сегментов, таких пар “близких” перестановок имеется достаточно много и ситуация достаточно опасна (с точки зрения защиты). Дело в том, что мы должны скорректировать определение “хорошей” перестановки и тем самым уменьшить их число в памяти. Надо избегать записывать в память пары перестано-
