КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
Математические
модели криптографии
А. Е. Жуков, председатель совета
Ассоциации «РусКрипто»
Поточные шифры
Поточные шифры являются важ-
нейшими криптографическими при-
митивами, обеспечивающими кон-
фиденциальность информации. При
аппаратной реализации поточные
шифры, как правило, быстрее блоч-
ных и могут быть реализованы бо-
лее простыми микросхемами. По-
точные шифры в наибольшей сте-
пени подходят для приложений, в ко-
торых время работы является кри-
тическим параметром, или для уст-
ройств, работающих при сущест-
венных ограничениях (по скорости,
по площади микросхемы, по энер-
гопотреблению и т. д.). Поточные
шифры широко используются в те-
лекоммуникациях. Особенно удоб-
но использование поточных шифров
в системах мобильной связи, требу-
ющих от криптографических при-
митивов высокой скорости работы,
минимальных размеров реализую-
щих их микросхем, ограничений по
потребляемой энергии и электро-
снабжению.
Поточным шифром (stream cipher)
называется симметричный шифр,
который обрабатывает открытый
текст отдельными символами (ра-
нее – побитно, затем – побайтно,
в последнее время – бинарными сло-
вами длиной 32, 64 или 128 битов),
причем преобразование, которому
подвергаются последовательные зна-
ки открытого текста, все время изме-
2 Защита информации. INSIDE № 6’2011
Окончание. Начало см. в № 5’2011.
няется во времени. Заметим, что в от-
личие от поточного шифра, преоб-
разование, которому подвергаются
информационные блоки при блоч-
ном шифровании, во времени не ме-
няется.
Общая структура поточного
шифра: поточный шифр задается
следующими элементами (рис. 5):
● A – конечный алфавит, элементы
которого являются знаками от-
крытого текста (plaintext), откры-
тый текст представляется в виде
конечной последовательности x1,
x2, ѕ, xn где xt
A;
● B’ – конечный алфавит, элементы
которого являются знаками ши-
фртекста (ciphertext), шифртекст
представляется в виде конечной
последовательности y1, y2, ѕ, yn
той же длины, что и соответству-
ющий открытый текст, при этом
yt
B’;
● Z – конечный алфавит, элементы
которого являются знаками клю-
чевого потока (key stream, running
key) k1, k2, ѕ, kn , kt
Z;
● K – множество секретных ключей
всей системы; мощность множес-
тва K, как правило, весьма велика,
но в то же время K    Z n;
● k – секретный ключ системы, k
K,
с помощью которого определяет-
ся ключевой поток k1, k2, ѕ;
● RKG = { f1, f2 , ѕ} – генератор клю-
чевого потока (running key genera-
tor, RKG) – семейство функций f1,
f2 , ѕ, таких, что для всех t  1
функция ft : K % At – 1  Z, тогда
очередной знак ключевого потока
kt = ft(k, x1, ѕ, xt – 1);
● E(kt, ) и D(kt, ) – семейство пре-
образований шифрования и рас-
шифрования в общем случае за-
висящих от значения kt :
E(kt, ) : A  B’, D(kt, ) : B’  A,
при этом yt = E(kt, xt) и xt = D(kt , xt),
то есть при фиксированном kt пре-
образования E и D являются вза-
имнообратными.
Большинство поточных шифров
относится к одному из двух классов:
синхронным поточным шифрам
и самосинхронизирующимся поточ-
ным шифрам. Однако разновидно-
сти поточных шифров не ограничи-
ваются двумя этими классами (на-
пример, алгоритм Helix не относит-
ся ни к одному из этих классов)
У синхронного поточного шифра
(synchronous stream cipher) генератор
ключевого потока является конеч-
ным автономным автоматом, рабо-
та которого определяется только зна-
чением секретного ключа k и, воз-
можно, значением несекретной син-
хропосылки IV (IV – initial vector) и не
зависит от знаков открытого текста
или шифртекста (рис. 6).
Непременным условием коррект-
ной работы синхронного поточного
шифра является обязательная син-
хронизация генераторов ключевого
потока на передающем и приемном
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

концах. Отметим также свойство не-

распространения ошибок: если в про-
цессе прохождения по каналу связи
отдельные знаки шифртекста были
изменены (но не удалены или встав-
лены), то все прочие знаки шифр-
текста будут расшифрованы верно.
Если же знаки будут удалены или
вставлены, произойдет рассинхро- Рис. 5
низация криптосистемы, и до восста-
новления синхронизации все следу-
ющие знаки будут расшифровывать-
ся неверно.
Самосинхронизирующимся по-
точным шифром (self-synchronizing
stream cipher) называется поточный
шифр, где генератор ключевого по-
тока является конечным автоматом,
работа которого определяется значе- Рис. 6
нием секретного ключа k, значени-
ем несекретной синхропосылки IV
и, кроме того, зависит от m послед-
них знаков шифртекста (рис. 7).
Такие криптосистемы обладают
свойством самосинхронизации: если
в процессе прохождения по каналу
связи отдельные знаки шифртекста
были изменены, удалены или встав-
лены, через m тактов работы (то есть
после получения m неискаженных
знаков шифртекста) криптосистема
приходит в корректное состояние,
Рис. 7
и все последующие знаки будут рас-
шифровываться верно. Отсюда для
таких систем вытекает свойство ог-
раниченного распространения ошиб-
ки: если знаки шифртекста были
изменены, удалены или вставлены,
то не более чем m следующих знаков
будут расшифрованы неверно.
Наиболее распространенным ти-
пом поточного шифра является адди- Рис. 8
тивный синхронный поточный шифр
(шифр гаммирования) – в нем роль ми, но не достаточными условиями «практических» однонаправленных
преобразований шифрования и рас- криптографической стойкости со- функций.
шифрования играет операция XOR ответствующего поточного шифра.
(сложение по mod 2) (рис. 8). Поскольку существование крипто- Генераторы ключевого потока
Для всех поточных шифров вы- графически стойких генераторов Рассматривая генератор ключе-
ходная последовательность генерато- псевдослучайных последовательно- вого потока как конечный автомат,
ра ключевого потока должна удов- стей в настоящий момент не доказа- Руппель [9] выделил в нем два ос-
летворять целому ряду свойств, в том но (доказательство существования новных блока, отвечающих за его ра-
числе иметь большой период, боль- таких генераторов связано с доказа- боту: управляющую и комбинаци-
шую линейную сложность и хоро- тельством существования однона- онную части.
шие статистические свойства. В ча- правленных функций), на практике Управляющая часть (driving part)
стности, генератор ключевого пото- мы имеем дело с вычислительно отвечает за переход из одного вну-
ка должен быть криптографическим стойкими генераторами, прошедши- треннего состояния в другое, а так-
генератором псевдослучайных по- ми тщательный экспертный анализ. же за большой период и хорошие
следовательностей. Указанные свой- Рассмотрим основные конструкции, статистические свойства выходной
ства являются лишь необходимы- используемые при построении этих последовательности.

Защита информации. INSIDE № 6’2011 3

 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
Комбинационная часть (combin-
ing part) напрямую участвует в вы-
работке знаков выходной последова-
тельности и отвечает за ее сложность
и непредсказуемость, сохраняя при
этом все хорошие свойства, обеспе-
ченные работой управляющей части.
Строение управляющей части
Ниже приведем список узлов,
наиболее часто встречающихся
в схемах управляющей части со-
временных поточных шифров.
● Регистры сдвига с линейной об-
ратной связью (linear feedback shift
register – LFSR) – наиболее распро-
страненные узлы управляющей ча-
сти современных поточных шиф-
ров. Чрезвычайно распространены
ввиду давно разработанной мате-
матической теории, позволяющей
строить LFSR с заранее намечен-
ными свойствами. Используются
в огромном количестве алгорит-
мов поточного шифрования. В чис-
ле последних разработок – алго-
ритмы ABC, Decim, Grain, MICK-
EY-128, Polar Bear, SOSEMANUK,
Sfinks, WG, Yamb, ZK-Crypt.
● Регистры сдвига с управляемым
движением (jump controlled LFSR).
В числе последних разработок –
алгоритм Pomaranch.
● Регистры сдвига с обратной свя-
зью по переносу (feedback with car-
ry shift register – FCSR). Для них, так
же как и для регистров сдвига с уп-
равляемым движением, существу-
ет разработанная математическая
теория. В числе последних разра-
боток, использующих FCSR, – ал-
горитм F-FCSR-H.
● Регистры сдвига с нелинейной об-
ратной связью (nonlinear feedback
shift register – NFSR). Хотя общая
теория регистров сдвига с нелиней-
ной обратной связью в настоящее
время не разработана, многочис-
ленные исследования в этом на-
правлении позволяют в ряде слу-
чаев получить достаточно точные
оценки необходимых параметров.
В последнее время интерес к ис-
пользованию в конструкции уп-
равляющей части существенно воз-
рос (см. алгоритмы Achterbahn,
Dragon, Grain, MICKEY-128, NLS,
SSS, Trivium, CryptMT-Fubuki,
VEST).
4 Защита информации. INSIDE № 6’2011
● Динамические массивы памяти
(dynamic memory array). В самом
общем виде динамическим масси-
вом памяти будем называть такой
массив ячеек памяти, в котором
заполнение конкретной ячейки па-
мяти в следующий момент време-
ни определяется некоторой функ-
цией g (функция обновления) от за-
полнений всех ячеек массива в пре-
дыдущий момент времени (рис. 9).
Все конструкции, рассмотренные
выше, могут быть описаны как ди-
намические массивы памяти с весь-
ма простыми функциями обнов-
ления. В данный же раздел мы
включаем алгоритмы поточного
шифрования, использующие ди-
намические массивы общего вида:
HC128, Mir1, Hermes8, Mosquito,
TSC-3, Phelix, Rabbit, Polar Bear,
Py, Salsa20/12, Edon80.
Рис. 9
Особо следует отметить разно-
видность динамических массивов па-
мяти, называемую клеточными авто-
матами (cellular automata). Клеточ-
ные автоматы используются в кон-
струкции управляющей части алго-
ритма MAG.
● Счетчики (counter). Очень важ-
ным типом управляющей части,
хотя и весьма простым, являются
счетчики. Помимо простоты реа-
лизации счетчики обладают весь-
ма важным свойством, позволя-
ющим использовать их при ши-
фровании больших массивов дан-
ных (например, баз данных). Такая
конструкция управляющей час-
ти позволяет непосредственно рас-
шифровывать отдельные произ-
вольно расположенные части за-
шифрованного массива данных,
а не производить расшифрование
массива с его начала, как это при-
ходится делать в других случаях.
Примерами алгоритмов, использу-
ющих в качестве управляющей ча-
сти счетчики, могут служить алго-
ритмы NLS, Rabbit. Ясно, что обес-
печение криптостойкости в случае
использования счетчиков цели-
ком ложится на комбинационную
часть, в качестве которой необхо-
димо выбирать какую-либо одно-
направленную функцию. В роли
таковой выступает хэш-функция
(алгоритмы Phelix, Salsa20/12) или
даже целиком блочный шифр (ал-
горитм LEX или алгоритм ГОСТ
28147-89 в режиме гаммирования).
Строение комбинационной части
Конструкции, используемые в ка-
честве комбинационной части алго-
ритмов поточного шифрования, так-
же весьма разнообразны.
● Нелинейные функции (nonlinear
function) – наиболее старая и наибо-
лее распространенная конструк-
ция (используются в алгоритмах
ABC, Decim, Grain, MICKEY-128,
WG).
● Прореживание последовательно-
сти, выработанной управляющей
частью (Decimating of the interme-
diate sequence) – алгоритмы ABC,
Decim, Grain, Sfinks, Polar Bear,
MICKEY-128, WG, SOSEMANUK,
Yamb.
● Конечные автоматы (finite-state
machine). Для улучшения свойств
последовательности, выработан-
ной управляющей частью, можно
использовать конечные автоматы
(алгоритм Pomaranch).
● Как уже упоминалось выше, в ка-
честве комбинационной части мо-
гут использоваться как отдельные
узлы блочных шифров (алгорит-
мы Phelix, Salsa20/12, Hermes8), так
и целиком блочные шифры (ал-
горитм LEX или алгоритм ГОСТ
28147-89 в режиме гаммирования).
Примитивы
с открытым ключом
Из многочисленных примитивов
с открытым ключом ограничимся
рассмотрением асимметричных ал-
горитмов шифрования и тех «прак-
тических» однонаправленных функ-
ций, которые в них применяются.
Асимметричный шифр является
по сути дела однонаправленной под-

становкой с лазейкой, действующей
на некотором очень большом, но ко-
нечном множестве. Рассмотрим две
наиболее популярные «практичес-
кие» однонаправленные функции,
используемые в асимметричной
криптографии, и связанные с ними
задачи, которые в настоящее время
не имеют эффективного решения.
Факторизация натуральных чисел
Первой криптосистемой с откры-
тым ключом была криптосистема
RSA (Rivest-Shamir-Adleman Crypto-
system), предложенная в 1978 году Ро-
нальдом Райвестом, Ади Шамиром
и Леонардом Адлеманом [8]. В ее ос-
нове лежит «практическая» однона-
правленная функция умножения
fmult : P % P  N,
где P – множество простых чисел.
«Практическая» однонаправлен-
ность этой функции вытекает из
сложности задачи факторизации (fa-
ctorization problem), для которой в на-
стоящее время не известно эффек-
тивных алгоритмов. На основе этой
функции авторы алгоритма постро-
или функцию с лазейкой
RSAe : ZN  ZN ,
«практическая» однонаправленность
которой базируется на «практичес-
кой» однонаправленности функции
fmult. Сам алгоритм RSA общеизве-
стен, и мы не будем приводить его
описание.
Очевидно, что знания использу-
емых в криптосистеме простых чи-
сел p и q достаточно для получения
секретного ключа, а значит, для рас-
крытия системы: для этого нам до-
статочно найти e –1modϕ(N), где
ϕ(N) = (p – 1)(q – 1), а N = pq – мо-
дуль системы RSA. Таким образом,
разложение числа N на множители
ведет к раскрытию криптосистемы
RSA. Криптостойкость алгоритма
RSA определяется значением пара-
метра s = log2N – длины двоичной
записи числа N. В настоящее время
минимальным является значение
параметра s = 1024 [11]. Это однако
не означает, что сложность раскры-
тия системы RSA эквивалентна слож-
ности задачи факторизации, хотя
многие специалисты считают, что
это именно так. Стойкость алгорит-
ма RSA и «практическая» однона-
правленность функции fmult связаны
Защита информации. INSIDE № 6’2011
с решением целого ряда математи-
ческих задач.
● Задача раскрытия системы RSA
(RSA Decryption Problem – RSADP)
Дано: открытый ключ RSA (e, N)
и полученный на этом ключе шифр-
текст y.
Найти: открытый текст x такой,
что y = x e (mod N).
● Задача нахождения секретного
ключа системы RSA (RSA Key Re-
covery Problem – RSAKRP)
Дано: открытый ключ RSA (e, N).
Найти: число d такое, что x ed =
= x(mod N) для всех x
ZN*.
● Задача нахождения кратного экс-
поненты системы RSA (RSA Ex-
ponent Multiple Problem – RSAEMP)
Дано: число N, являющееся мо-
дулем системы RSA.
Найти: целое число k такое, что
xk = 1(mod N)для всех x
Z N* (то
есть ϕ(N) делит k).
● Задача нахождения порядка муль-
типликативной группы системы
RSA (RSA Order Problem – RSAOP)
Дано: число N, являющееся мо-
дулем системы RSA.
Найти: порядок мультиплика-
тивной группыZN* (то есть величи-
ну ϕ(N)).
● Задача факторизация модуля си-
стемы RSA (RSA Factorization Prob-
lem – RSAFP)
Дано: число N, являющееся мо-
дулем системы RSA.
Найти: разложение числа N на
множители (то есть N = pq).
Очевидно, что RSADP сводится
к RSAKRP. В самом деле, нахожде-
ние секретного ключа обеспечивает
расшифровку полученного сообще-
ния. Сведение в обратную сторону
по-прежнему остается открытой
проблемой: мы не можем в настоя-
щее время доказать, что знание се-
кретного ключа является необходи-
мым для дешифровки и что деши-
фровка позволяет вычислить сек-
ретный ключ.
В настоящее время доказаны сле-
дующие соотношения между приве-
денными выше задачами (рис. 10).
Таким образом, если показать,
что RSAFP сводится к RSAEMP, то
из этого будет следовать, что задачи
RSAKRP, RSAEMP, RSAOP и RSAFP
эквивалентны. Хотя основным явля-
ется очень известный, но не решен-
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
Рис. 10
ный до сих пор вопрос: эквивалент-
на ли задача взлома системы RSA за-
даче факторизации числа.
Дискретные логарифмы
Другой и, пожалуй, наиболее по-
пулярной «практической» однона-
правленной функцией является
функция дискретного экспоненци-
рования. Ее «практическая» однона-
правленность вытекает из сложно-
сти задачи дискретного логарифми-
рования (discrete logarithm problem –
DLP): в циклической группе G = g
с образующим элементом g для про-
извольного элемента y
G найти це-
лое число x такое, что y = gx. Полу-
ченное число называется дискрет-
ным логарифмом элемента y по осно-
ванию g (discrete logarithm of element y):
x = logg y. Задача дискретного лога-
рифмирования может иметь несколь-
ко вариантов:
● порядок G  группы G может быть
известен или неизвестен; посколь-
ку значение дискретного логариф-
ма единственно по mod G , мож-
но искать хотя бы одно подходя-
щее для этого значение, если по-
рядок G  нам не известен;
● элемент y не обязательно лежит
в группе G, в этом случае появляет-
ся задача определения принадлеж-
ности элемента y данной группе G.
С понятием дискретного лога-
рифма связанны следующие задачи.
● Задача дискретного логарифми-
рования (Discrete Logarithm Prob-
lem – DLP)
Параметры: циклическая группа
G порожденная образующим эле-
ментом g
G.
Вход: элемент y
G.
Найти: наименьшее натураль-
ное x такое, что y = g x.
● Задача дискретного логарифми-
рования в группе известного по-
рядка (Discrete Logarithm with Known
Order Problem – DLKOP)
Параметры: циклическая группа
G порожденная образующим эле-
ментом g, порядок группы G .
Вход: элемент y
G.
5
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
Найти: натуральное x такое, что
y = g x.
Заметим, что если порядок груп-
пы G известен, нахождение наимень-
шего значения дискретного логариф-
ма и нахождение любого его значе-
ния – задачи эквивалентные.
● Задача дискретного логарифми-
рования в группе, для которой
известна факторизация порядка
(Discrete Logarithm with Known Or-
der Factorization Problem – DLKOFP)
Параметры: циклическая группа
G порожденная образующим эле-
ментом g, порядок группы G  и его
разложение на простые сомножители.
Вход: элемент y
G.
Найти: натуральное x такое, что
y = g x.
В качестве примера рассмотрим
циклическую группу G, порожден-
ную элементом g
Zn*. Если ϕ(n)
является неизвестным, то в общем
случае вычислительно трудно най-
ти порядок элемента g. Также вы-
числительно трудно проверить, ле-
жит заданный элемент y
Zn*в груп-
пе G или нет. Если все-таки y
G,
вычислительно трудно найти хотя
бы одно натуральное x такое, что
y = g xmod n.
Во многих случаях для решения
этих задач мы можем применить ал-
горитмы факторизации. Так, напри-
мер, если порядок G  известен и из-
вестна его факторизация (то есть
мы имеем дело с задачей DLKOFP),
и при этом число G  является B-
гладким, мы можем применить про-
стой алгоритм, требующий порядка
O(B1/2) арифметических операций.
Протокол Диффи–Хеллмана (Dif-
fie–Hellman Key Agreement Protocol)
[2] был исторически первым при-
митивом асимметричной крипто-
графии, опубликованным в откры-
той литературе. Сам протокол обще-
известен и мы его приводить не бу-
дем. Его криптостойкость опирает-
ся на сложность решения проблемы
Диффи–Хеллмана.
Рис. 11
6 Защита информации. INSIDE № 6’2011
● Проблема Диффи–Хеллмана (Dif-
fie–Hellman Problem – DHP)
Параметры: группа G, элемент
g
G.
Вход: два случайно выбранных
элемента x и y из подгруппы, порож-
денной элементом g
G.
Найти: элемент k = g ab, где
a = logg x, b = logg y.
Если DHP представляет собой
сложную задачу, k является секрет-
ным. Очевидно, если мы можем ре-
шать DLP, то мы можем решить
и DHP, найдя параметр a как реше-
ние задачи DLP для величины x, а за-
тем вычислив k = y a. Таким образом,
решение DHP сводится к решению
DLP. Последнее означает, что если
задача DHP трудна, то трудной ока-
зывается и задача DLP применитель-
но к циклической подгруппе, порож-
денной элементом g. В настоящее
время задача DHP считается труд-
ной для группы g
Zp*, где p – боль-
шое простое число.
● Задача определимости Диффи–
Хеллмана (Decisional Diffie-Hell-
man Problem – DDHP)
Параметры: группа G, элемент
g
G.
Вход: тройка (x, y, z) элементов из
циклической подгруппы, порожден-
ной элементом g.
Задача: определить, выполняет-
ся равенство z = x log g y или нет.
Очевидно, что DDHP сводится
к DHP. Считается, что эта задача так-
же является трудной для большой
циклической подгруппы, порожден-
ной элементом g, g
G = Zp*, где p –
большое простое число.
Наиболее известным алгорит-
мом шифрования, базирующимся
на функции дискретного экспонен-
цирования, является алгоритм шиф-
рования Эль-Гамаля (ElGamal Encryp-
tion Algorithm) [3], который мы так-
же не приводим в силу его общеиз-
вестности. С оценкой его криптостой-
кости связаны следующие «практиче-
ские» трудные задачи.
● Задача расшифрования Эль-Га-
маля (ElGamal Decryption Problem –
EGDP)
Параметры: простое число p, об-
разующий элемент g группы Zp*.
Вход: шифртекст (u, v) и откры-
тый ключ p = (p, g, e).
Задача: найти x такой, что суще-
ствует r для которого выполняются
равенства u = g r modp и v = xermod p.
● Задача восстановления ключа
Эль-Гамаля (ElGamal Key Recovery
Problem – EGKRP)
Параметры: простое число p, об-
разующий элемент g группы Zp*.
Вход: открытый ключ e = (p, g, e).
Задача: найти целое d такое, что
e = g d modp.
Заметим, что имея возможность
дешифровывать сообщения (то есть
решая задачу EGDP) мы можем вы-
числить vu–dmod p из u и v. Отсюда
следует, что мы в состоянии найти
ud как v/x. Очевидно, что задача на-
хождения ud из u и g d эквивалент-
на проблеме Диффи–Хеллмана для
группы G = Zp*.
Задачи, которые приведены вы-
ше, соотносятся следующим обра-
зом (рис. 11).
Поиск новых «практических»
однонаправленных функций
Вплоть до самого последнего вре-
мени «технологическая база» крип-
тографии с открытым ключом про-
должала оставаться чрезвычайно
бедной. В подавляющем большин-
стве случаев это, как было сказано
выше, или задача факторизации
больших чисел, или задача дискрет-
ного логарифмирования в поле боль-
шого порядка. Таким образом, в ос-
новании стойкости таких систем ле-
жит вычислительная трудность ре-
шения некоторой задачи для алгеб-
раической системы с элементами чис-
ловой природы. Учитывая тот факт,
что числа как наиболее древние ма-
тематические объекты давно изуча-
ются, не удивительны большие до-
стижения в разработке алгоритмов
для решения этих задач.
Эти тенденции нашли свое отра-
жение в публикации NIST (Нацио-
нального института стандартов и тех-
нологий США) [11], посвященной
анализу сравнительной стойкости

криптоалгоритмов, размеру исполь-
зуемых ключей и срокам их дей-
ствия. В приводимой здесь таблице,
взятой из [11], даются рекомендуе-
мые значения параметров для раз-
личных криптографических прими-
тивов с учетом развития вычисли-
тельной техники и тенденций в раз-
работке алгоритмов их «вскрытия».
Из нее видно, что требуемые значе-
ния ключевых параметров для боль-
шинства примитивов асимметрич-
ной криптографии достигают значи-
тельных величин. В случае очередно-
го успеха в области алгоритмов фак-
торизации и дискретного логариф-
мирования системы, стойкость кото-
рых основана на этих задачах, могут
стать значительно более уязвимыми
или даже совершенно нестойкими.
Криптография с открытым ключом
и нечисловые алгебраические
системы
Одним из возможных подходов
для построения новых систем с от-
крытым ключом может стать пере-
ход к алгебраическим системам с эле-
ментами нечисловой природы, на-
пример, к неабелевым группам –
группам заведомо нечисловой при-
роды [15]. Правда, при использова-
нии таких групп в криптосистеме
с открытым ключом возникают сле-
дующие вопросы:
● как представить сообщение в ви-
де элемента группы G;
● существует ли единственное пред-
ставление для элементов группыG:
если элементы представляются не
единственным образом, исходный
открытый текст и расшифрован-
ный текст могут не совпасть как
выражения;
● возможно ли эффективное вычис-
ление такого представления?
В качестве основы для «практиче-
ских» однонаправленных функций
можно использовать следующие из-
вестные задачи теории групп, для ко-
торых в ряде случаев не известно эф-
фективных алгоритмов решения.
● Проблема сопряженности
Дано: x, y
G.
Определить: сопряжены ли эле-
менты x и y?
1 «…после почти тридцати лет существования криптографии с открытым ключом все еще нет доказательства существования
фундамента теории – однонаправленных функций с лазейкой». Дж. Месси, январь 2002 года.
Защита информации. INSIDE № 6’2011
Таблица
Криптостойкость 80 112
(в битах)
Сроки действия До 2010 года До 2030 года
FFC (DSA, DH, MQV) L = 1024 L = 2048
N = 160 N = 224
IFC (RSA) k = 1024 k = 2048
ECC (ECDSA) f = 160 – 223 f = 224 – 255 f = 256 – 383 f = 384 – 511
● Проблема поиска сопрягающего
элемента
Дано: x, y
G, x ~ y .
Определить: элемент a
G та-
кой, что y = axa–1.
● Обобщенная проблема поиска со-
прягающего элемента
Дано: x, y
G, y = bxb–1, b
H G,
причем сам элемент b – неизвестен.
Определить: элемент a
G такой,
что y = axa–1.
● Проблема сопряженной разреши-
мости:
Дано: x, y
G, y = bxb–1, b
H G.
Определить: a1, a2 G : a1xa2 = y.
● Проблема извлечения корня:
Дано: y
G, y = xm, x – неизвестен.
Определить: z
G : y = z m.
Новый подход к исследованию
однонаправленности
«…after almost thirty years of pub-
lic-key cryptography, there is still no
proof that trapdoor one-way functions,
which are the fundament to the theory,
exist.»
Jim Massey, January 20021
Начиная с момента появления
работы Диффи и Хеллмана [2], то
есть на протяжении последних 35 лет,
весьма значительные мировые на-
учные силы занимались исследова-
нием вопросов, связанных с однона-
правленностью. Однако, несмотря на
многие сотни работ, посвященных
этой тематике, в настоящее время
нет ни доказательства того, что та
или иная функция является однона-
правленной, ни существенных осно-
ваний рассчитывать на то, что та-
кая функция может быть построена.
Большая часть работ состоит в све-
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
128 192 256
После – –
2030 года
L = 3072 L = 7680 L = 15 360
N = 256 N = 384 N = 512
k = 3072 k = 7680 k = 15360
f = 512+
дении доказательства одних утвер-
ждений к другим, также не доказан-
ным. С нашей точки зрения, своео-
бразный «застой» в этих исследова-
ниях объясняется следующим: почти
все они используют в качестве моде-
ли вычислений, в рамках которой ве-
дется исследование однонаправлен-
ности, машину Тьюринга. В то же
время существует достаточно боль-
шое разнообразие вычислительных
моделей. Одна из них, а именно схе-
мы из функциональных элементов,
является не менее мощной. На наш
взгляд, отказ от использования в ка-
честве вычислительной модели ис-
ключительно машины Тьюринга
и переход к схемам из функциональ-
ных элементов может позволить
сдвинуться с мертвой точки в этом
фундаментальном вопросе.
Взяв как вычислительную модель
схемы из функциональных элемен-
тов, в качестве меры сложности то-
го или иного преобразования будем
рассматривать сложность минималь-
ной булевой схемы, реализующей
данное преобразование. В качестве
модели однонаправленной функции
будем рассматривать вычислитель-
но асимметричное преобразование,
то есть такое обратимое преобразо-
вание f, сложность которого отлича-
ется от сложности обратного преоб-
разования [1], [4], [5]. Пытаясь по-
нять природу такого различия, мож-
но задать глупый вопрос: почему
схему, реализующую прямое преоб-
разование, нельзя использовать для
вычисления обратного преобразо-
вания? Ответ очевиден: потому что
логические элементы, отличные от
инверсии, необратимы. Однако уже
давно известны обратимые логиче-
7
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
Рис. 12. Элемент NOT
Рис. 13. Элемент CNOTNOT
Рис. 14. Элемент CCNOT
ские элементы [12], примерами кото-
рых могут служить такие элементы
как NOT, CNOT (Controlled NOT),
CCNOT (Controlled Controlled NOT)
(рис. 12–14).
С помощью этих элементов мож-
но построить минимальную схему,
реализующую данное преобразова-
ние. Для удобства изображения схем
и получения обратной схемы будем
располагать элементы на параллель-
ных горизонтальных линиях (про-
водниках), на которые подаются вход-
ные переменные. К схеме возможно
добавление дополнительных линий,
на которые подается логический 0,
и играющих роль «памяти» [16].
Однако в общем случае эта схе-
ма не будет обратимой. Дело в том,
что в процессе вычисления нашего
преобразования на выходе схемы по-
является не только значение нашей
функции f, но и некоторая информа-
ция (за счет дополнительных линий),
полученная в процессе вычисления
и называемая вычислительным му-
сором или просто мусором (garbage).
Без знания этой информации, а толь-
ко по значению функции f, соответ-
ствующий прообраз получить не-
возможно. При попытке непосред-
ственного обращения с использо-
ванием такой схемы помимо обра-
за требуется подать и этот «мусор»
(с криптографической точки зре-
ния играющий роль «лазейки»), ко-
торый в общем случае неизвестен.
8 Защита информации. INSIDE № 6’2011
Рис. 15
Поэтому для получения обратимой
схемы необходимо добавить в нее
дополнительные элементы, которые
будут удалять «мусор». В отличии
от предыдущих подходов, когда рас-
сматривались две отдельные схемы –
для f и для f –1, при новом подходе
они связаны внутри одной схемы
и являются подсхемами одной и той
же схемы, построенной из обрати-
мых логических элементов обрати-
мой схемы для обратимого преобра-
зования f. Проанализировав полу-
ченные схемы из обратимых эле-
ментов, можно выдвинуть следую-
щую гипотезу о структуре вычисли-
тельно асимметричных преобразо-
ваний [17].
Возможно, схемы из обратимых
элементов для асимметричных пре-
образований имеют общую струк-
туру, которая показана на рис. 15.
У таких схем есть некоторое «общее
тело», а также подсхемы, отвечаю-
щие за удаление «мусора» прямого
и обратного преобразований. Из-за
различия сложности подсхем удале-
ния «мусора» и возникает различие
в сложности прямого и обратного
преобразований. ■ стемах. В кн.: Шеннон К.Э. Работы по теории
ЛИТЕРАТУРА
1. Boppana R. B., Lagarias J. C. One-way functions
and circuit complexity. Information and Computa-
tion, v. 74 (1987), pp. 226–240.
2. Diffie W., Hellman M. E. New Directions in
Cryptography. IEEE Transactions on Information
Theory, vol. IT-22 (1976), pp. 644–654.
3. ElGamal T. A Public-Key Cryptosystem and a
Signature Scheme Based on Discrete Logarithms.
IEEE Transactions on Information Theory, vol.
IT-31 (1985), pp. 469–472.
4. Hiltgen A. P. Constructions of feebly-one-way
families of permutations. AUSCRYPT’92, LNCS
v.718 (1993), pp. 422–434.
5. Hiltgen A. P. Cryptographically Relevant Contri-
butions to Combinatorial Complexity Theory. ETH
Series in Information Processing, vol. 3 (1993).
6. Lai X. On the Design and Security of Block
Ciphers. ETH Series in Information Processing,
vol. 1. Hartung-Gorre Verlag Konstanz, 1992.
7. Menezes A. J., van Oorschot P. C., Vanston S. A.
Handbook of Applied Cryptography. CRC, NY,
1997.
8. Rivest R. L., Shamir A., Adleman L. M. A Me-
thod for Obtaining Digital Signatures and Public-
Key Cryptosystem. Communications of the ACM,
vol. 21 (1978), pp. 120–126.
9. Rueppel R. A., Analysis and Design of Stream
Ciphers, Springer-Verlag, Berlin, 1986.
10. SP 800-22. A Statistical Test Suite for Ran-
dom and Pseudorandom number generators for
cryptographic applications. NIST Special Publi-
cations 800-22, last revisions 2001.
11. SP 800-131. Recommendation for the Transi-
tioning of Cryptographic Algorithms and Key Sizes.
NIST Special Publications 800-131 (draft), 2010.
12. Toffoli M. Bicontinuous Extensions of Invert-
ible Combinatorial Functions. Math. Syst. Theory,
vol. 14 (1981), pp. 13–23.
13. Vaudenay S. A classical introduction to mod-
ern cryptography. Applications for Communica-
tions Security. Springer, NY, 2006.
14. Шеннон К. Э. Теория связи в секретных си-
информации и кибернетике. – М.: И.Л., 1963.
15. Жуков А. Е. Криптография с открытым
ключом и нечисловые алгебраические системы.
Безопасность информационных технологий,
2003, вып. 1.
16. Жуков А. Е. Схемы из обратимых логиче-
ских элементов: Один подход к изучению од-
нонаправленности. Труды III Международной
конференции «Информационные системы
и технологии» (IST’2006), Минск, 2006.
17. Жуков А. Е. Вычислительно асимметрич-
ные преобразования и схемы из обратимых
элементов. Труды Восьмого Международного
симпозиума «Интеллектуальные системы»
(INTELS–2008), М., 2008.