Современная криптология - Брассар Ж.
Скачать (прямая ссылка):
Криптографическую систему назовем криптосистемой общего использования, если ее стойкость основывается не на секретности алгоритмов шифрования и дешифрования, а на секретности некоторого сравнительно короткого значения, которое называется ключом этой криптосистемы. Такие ключи должны легко вырабатываться конкретными пользователями при помощи их
1 Здесь и везде далее в книге автор, естественно, имеет в виду английский алфавит.
Определения м классификации
собственных ключей таким образом, чтобы при этом даже разработчик криптосистемы не мог ее раскрыть при условии, что у него нет доступа к тем ключам, которые в ней действительно используются.
В некоторых применениях (главным образом в военных, дипломатических и разведывательных ведомствах) у разработчика общей криптосистемы нет никаких причин делать общедоступным описание существа ее алгоритмов. Сохраняя такую информацию в тайне, можно обеспечить даже некоторую дополнительную безопасность. Однако решающим обстоятельством, позволяющим полагаться на секретность такой информации, это не является, поскольку ничего нельзя сказать о том, когда она может быть скомпрометирована. По этой причине, исследования надежности таких систем всегда должны проводиться в предположении, что потенциальному противнику о криптосистеме известно все, за исключением реально используемого секретного ключа. А если противник такими знаниями на самом деле не обладает, то это даже лучше. Для других типов применений, подобных, например, большим финансовым комплексам, в действительности лучше раскрывать, как работают их криптосистемы, поскольку в противном случае пользователи всегда будут подозревать, что возможно все-таки существует какой-то скрываемый от них метод раскрытия такой криптосистемы.
Одним из очевидных требований обеспечения стойкости общей криптографической системы является огромное количество возможных ключей, которое не позволяет провести исчерпывающий поиск (когда осуществляется попытка систематического дешифрования заданного шифртекста, используя при этом каждый из возможных ключей до тех пор, пока не получится некий осмысленный открытый текст). Например, при наивном подходе шифр Юлия Цезаря можно рассматривать как пример общей криптосистемы (с ключом к = 3), шифрование в которой заключается в замене каждого очередного символа открытого текста /г-тым после него символом соответствующего алфавита, где к — некий секретный ключ. Но такое обобщение является бесполезным, потому что оно предоставляет возможность использования лишь 25 нетривиальных ключей, и тем самым обеспечивает простоту полного перебора для любого, кто предположительно знает метод шифрования (по крайней мере тогда, когда зашифрован
22 Определения и классификация
Глава 2
ное сообщение имеет достаточную избыточность для того, чтобы у него имелась единственная осмысленная расшифровка)-
Необходимо осознавать однако, что большое число ключей само по себе стойкости криптосистемы не обеспечивает. Так, например, еще одно обобщение шифра Юлия Цезаря может состоять в том, что в качестве ключа выбирается произвольная перестановка всех 26 букв алфавита, наподобие (ER0X...WM), а шифрование каждого символа открытого текста производится в соответствии с этой перестановкой (А—»-Е, В —>¦ R, ..., Z —>¦ М). При таком шифровании открытый текст «BAD DAY» преобразуется в шифртекст «REX XEW». Заметив, что существует 26! различных перестановок из 26 символов, которое является числом большим, чем 4 х 1026, можно было бы предположить, что полный перебор на таком множестве ключей невозможен, потому что, если опробовать каждый возможный ключ, когда в течении каждой секунды проверяется миллиард ключей, то это заняло бы десять миллиардов лет! Тем не менее подобный (одноалфавитный) шифр простой замены является довольно легким для криптоанализа, хотя бы только из-за разницы в частотах, с которыми в естественном языке встречаются различные символы открытого текста [228, 181, 284]. Известны намного более надежные криптографические системы, которые были разработаны и использовались со значительно меньшим ключевым пространством.
Если вернуться к нашей классификации, то общая криптографическая система называется криптосистемой с секретным ключом, если в ней любые две стороны, перед тем, как связаться друг с другом, должны заранее договориться между собой об использовании в дальнейшем некоторой информации для шифрования и дешифрования, хранящаяся в тайне часть которой и называется секретным ключом. В предыдущем примере, когда первая сторона, назовем ее Алисой, зашифровывает сообщение, используя ключ (ER0X.. .WM), и посылает шифртекст второй стороне, скажем, Бобу, то лучше всего, чтобы Боб заранее знал, какой ключ был использован при шифровании открытого текста.
Такая необходимость в секретном распределении ключей не была непреодолимой проблемой в те дни, когда потребность в криптографий испытывало небольшое количество пользовате-
Определения и классификация 23
лей, хотя при этом нужно было проявлять предусмотрительность, для того чтобы предотвратить препятствующие задержки прежде, чем секретная связь могла быть установлена. Теперь же, когда криптография стала общедоступной, было бы неразумно организовывать подобные коммуникационные сети, в которых каждой паре потенциальных пользователей заранее предоставлялся бы их совместный секретный *ключ, потому что в такой сети число ключей возрастало бы квадратично с увеличением числа пользователей.
