Раздел: Документация

0 ... 82 83 84 85 86 87 88 ... 169

ния таким образом, чтобы никто из субъектов не узнал значения параметра другого.

6.N & k - пороговая схема - имеется некоторый ресурс, например, зашифрованный набор данных, также есть п субъектов. Необходимо построить процедуру, разрешающую доступ к ресурсу, только если его запросят одновременно не менее k субъектов.

7.Тайное голосование по телефону - имеется «N» субъектов,

взаимодействующих по линиям связи; некоторый вопрос ставится им

на голосование; каждый из субъектов может проголосовать либо «за», либо «против». Требуется организовать процедуру голосования таким образом, чтобы можно было вычислить ее исход - подсчитать, сколько подано голосов «за» или, в более простом случае, выяснить, что «за» было подано достаточное или недостаточное число голосов, и чтобы при этом результаты голосования каждого из субъектов оставались в тайне.

Методы раскрытия шифров

В качестве меры трудоемкости раскрытия таких шифров обычно используют количество элементарных операций (w) некоторого типа,

необходимых для дешифрования сообщения или определения ключа.

Под элементарной операцией в различных случаях понимают разное, но обычно этим термином обозначают операцию, выполняемую на

конкретной аппаратуре за один шаг ее работы. Например, операцию

типа «сложение» для универсальных процессоров или цикл проверки одного ключа для специальных аппаратных схем перебора ключей.

Трудоемкость дешифрования зависит от характера и количества информации, имеющейся в распоряжении аналитика. Обычно различают следующие виды криптоанализа:

-анализ на основе только- у аналитика имеется

только зашифрованное сообщение размером n: w = WGC(n);

-анализ на основе заданного открытого текста — аналитик располагает зашифрованным сообщением размером п и соответствующим ему открытым текстом: w

-анализ на основе произвольно выбранного открытого текста — в распоряжении аналитика есть возможность получить результат зашифрования для произвольно выбранного им массива открытых данных размером n: w = WCP(n);

9 280

257

---

- анализ на основе произвольно выбранного шифротекста - в

распоряжении аналитика есть возможность получить результат расшифрования для произвольно выбранного им зашифрованного сообщения размером n: w - WCC(n).

чтоиспользует наилучший из

доступных ему способов анализа. Конечно, последний вид криптоанализа несколько экзотичен, но, тем не менее, в соответствующих обстоятельствах и он возможен. Очевидно, что между величинами трудоемкости различных видов криптоанализа выполняются следующие соотношения.

Все рассмотренные характеристики трудоемкости имеют нижние границы:

wxx inf WXX(n) .

Очевидно также, что эти границы достигаются при некоторых конечных значениях параметра п, потому что при его неограниченном увеличении трудоемкость анализа, принимающего во внимание все имеющиеся в наличии данные, будет неограниченно возрастать:

wxx - WXX(nxx) .

Таким образом, для каждого вида криптоанализа (XX) существует свой оптимальный объем необходимых данных (пхх), при возрастании объемаданных от нуля до этого значения трудоемкость анализа снижается до своего граничного значения (wxx), а при дальнейшем возрастании — увеличивается. Эти критические объемы данных и соответствующие величины трудоемкости анализа и

представляют особый интерес для специалистов-криптографов.

Понятно, что реально трудоемкость анализа зависит не только от объема анализируемых данных, но и от самих этих данных. По этой причине все приведенные вышеявляются оценочными,

а соответствующие величины считаются заданными с точностью до порядка-двух. Следует различать точное значение показателей трудоемкости каждого вида анализа WXX (п) и его текущую оценку , основанную на достижениях современного криптоанализа — понятно, что оценка больше оцениваемой величины: и с развитием криптоанализа она постоянно снижается. Истинный интерес, конечно же, представляет сама оцениваемая величина. Однако, как отметил еще Шеннон, не существует способа получить точное значение трудоемкости анализа, все оценки базируются на проверках устойчивости шифров к известным на текущий момент видам криптоанализа и нет гарантии, что в ближайшем или более отдаленном будущем не будут разработаны новые методы анализа, существенно ее снижающие.

258

---

Сказанное вьште означает, что при текущем положении дел в криптографии стойкость абсолютно всех шифров, за исключением совершенных, не может быть доказательно обоснована. Вместо этого она обосновывается эмпирически, как устойчивость к известным на сегодняшний день видам криптоанализа, но никто не может дать гарантии

того, что завтра не будет изобретен вид криптоанализа, успешный

именно для данного конкретного шифра. Вот почему не стоит доверять «новейшим шифрам» — они не прошли проверку временем. По этой же самой причине не является разумным доверять криптоалгоритмам, которые держатся их авторами в секрете - даже при отсутствии злонамеренно оставленных там «люков» нет совершенно никакой гарантии того, что алгоритм был исследован со всей необходимой тщательностью. Сказанное не означает, что использование секретных алгоритмов шифрования вовсе лишено смысла. Оно является допустимым и разумным при выполнении двух следующих условий:

—между разработчиками и пользователями алгоритма существует уровень доверия, исключающий намерение разработчика нанести ущерб пользователю, предоставив ему недостаточно качественный шифр или шифр с оставленными в нем люками;

—специалисты, разработавшие алгоритм, имеют достаточно высокий уровень компетентности в этой области.

Указанные условия выполняются, например, для спецслужб ведущих государств, разрабатывающих для «внутреннего собственные шифры. Рассмотрение следующей нашей темы - классификации шифров - начнем с двух требований, предъявляемых к практическим алгоритмам шифрования - они, в общем-то, естественны и понятны:

—шифр должен быть технически применим для закрытия массивов данных произвольного объема;

—шифр должен быть реализуем в виде устройства, имеющего

ограниченный объем памяти, и его реализация должна быть эффективна при этом.

Попытка совместить оба требования неизбежно приводит к

криптоалгоритму, в котором шифрование производится пошагово, порциями — массив данных разбивается на блоки ограниченного размера, и за один шаг шифруется один блок:

Т -Т2, . . Тп) ,

для всех i от 1 до п , N — максимальный размер блока.

9*

259

0 ... 82 83 84 85 86 87 88 ... 169