Вы находитесь на странице: 1из 7

КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Математические
модели криптографии
А. Е. Жуков, председатель совета Окончание. Начало см. в № 5’2011.
Ассоциации «РусКрипто»

Поточные шифры няется во времени. Заметим, что в от- f2 , ѕ, таких, что для всех t  1
Поточные шифры являются важ- личие от поточного шифра, преоб- функция ft : K % At – 1  Z, тогда
нейшими криптографическими при- разование, которому подвергаются очередной знак ключевого потока
митивами, обеспечивающими кон- информационные блоки при блоч- kt = ft(k, x1, ѕ, xt – 1);
фиденциальность информации. При ном шифровании, во времени не ме- ● E(kt, ) и D(kt, ) – семейство пре-
аппаратной реализации поточные няется. образований шифрования и рас-
шифры, как правило, быстрее блоч- Общая структура поточного шифрования в общем случае за-
ных и могут быть реализованы бо- шифра: поточный шифр задается висящих от значения kt :
лее простыми микросхемами. По- следующими элементами (рис. 5): E(kt, ) : A  B’, D(kt, ) : B’  A,
точные шифры в наибольшей сте- ● A – конечный алфавит, элементы при этом yt = E(kt, xt) и xt = D(kt , xt),
пени подходят для приложений, в ко- которого являются знаками от- то есть при фиксированном kt пре-
торых время работы является кри- крытого текста (plaintext), откры- образования E и D являются вза-
тическим параметром, или для уст- тый текст представляется в виде имнообратными.
ройств, работающих при сущест- конечной последовательности x1, Большинство поточных шифров
венных ограничениях (по скорости, x2, ѕ, xn где xt  A; относится к одному из двух классов:
по площади микросхемы, по энер- ● B’ – конечный алфавит, элементы синхронным поточным шифрам
гопотреблению и т. д.). Поточные которого являются знаками ши- и самосинхронизирующимся поточ-
шифры широко используются в те- фртекста (ciphertext), шифртекст ным шифрам. Однако разновидно-
лекоммуникациях. Особенно удоб- представляется в виде конечной сти поточных шифров не ограничи-
но использование поточных шифров последовательности y1, y2, ѕ, yn ваются двумя этими классами (на-
в системах мобильной связи, требу- той же длины, что и соответству- пример, алгоритм Helix не относит-
ющих от криптографических при- ющий открытый текст, при этом ся ни к одному из этих классов)
митивов высокой скорости работы, yt  B’; У синхронного поточного шифра
минимальных размеров реализую- ● Z – конечный алфавит, элементы (synchronous stream cipher) генератор
щих их микросхем, ограничений по которого являются знаками клю- ключевого потока является конеч-
потребляемой энергии и электро- чевого потока (key stream, running ным автономным автоматом, рабо-
снабжению. key) k1, k2, ѕ, kn , kt  Z; та которого определяется только зна-
Поточным шифром (stream cipher) ● K – множество секретных ключей чением секретного ключа k и, воз-
называется симметричный шифр, всей системы; мощность множес- можно, значением несекретной син-
который обрабатывает открытый тва K, как правило, весьма велика, хропосылки IV (IV – initial vector) и не
текст отдельными символами (ра- но в то же время K    Z n; зависит от знаков открытого текста
нее – побитно, затем – побайтно, ● k – секретный ключ системы, k  K, или шифртекста (рис. 6).
в последнее время – бинарными сло- с помощью которого определяет- Непременным условием коррект-
вами длиной 32, 64 или 128 битов), ся ключевой поток k1, k2, ѕ; ной работы синхронного поточного
причем преобразование, которому ● RKG = { f1, f2 , ѕ} – генератор клю- шифра является обязательная син-
подвергаются последовательные зна- чевого потока (running key genera- хронизация генераторов ключевого
ки открытого текста, все время изме- tor, RKG) – семейство функций f1, потока на передающем и приемном

2 Защита информации. INSIDE № 6’2011


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

концах. Отметим также свойство не-


распространения ошибок: если в про-
цессе прохождения по каналу связи
отдельные знаки шифртекста были
изменены (но не удалены или встав-
лены), то все прочие знаки шифр-
текста будут расшифрованы верно.
Если же знаки будут удалены или
вставлены, произойдет рассинхро- Рис. 5
низация криптосистемы, и до восста-
новления синхронизации все следу-
ющие знаки будут расшифровывать-
ся неверно.
Самосинхронизирующимся по-
точным шифром (self-synchronizing
stream cipher) называется поточный
шифр, где генератор ключевого по-
тока является конечным автоматом,
работа которого определяется значе- Рис. 6
нием секретного ключа k, значени-
ем несекретной синхропосылки IV
и, кроме того, зависит от m послед-
них знаков шифртекста (рис. 7).
Такие криптосистемы обладают
свойством самосинхронизации: если
в процессе прохождения по каналу
связи отдельные знаки шифртекста
были изменены, удалены или встав-
лены, через m тактов работы (то есть
после получения m неискаженных
знаков шифртекста) криптосистема
приходит в корректное состояние,
Рис. 7
и все последующие знаки будут рас-
шифровываться верно. Отсюда для
таких систем вытекает свойство ог-
раниченного распространения ошиб-
ки: если знаки шифртекста были
изменены, удалены или вставлены,
то не более чем m следующих знаков
будут расшифрованы неверно.
Наиболее распространенным ти-
пом поточного шифра является адди- Рис. 8
тивный синхронный поточный шифр
(шифр гаммирования) – в нем роль ми, но не достаточными условиями «практических» однонаправленных
преобразований шифрования и рас- криптографической стойкости со- функций.
шифрования играет операция XOR ответствующего поточного шифра.
(сложение по mod 2) (рис. 8). Поскольку существование крипто- Генераторы ключевого потока
Для всех поточных шифров вы- графически стойких генераторов Рассматривая генератор ключе-
ходная последовательность генерато- псевдослучайных последовательно- вого потока как конечный автомат,
ра ключевого потока должна удов- стей в настоящий момент не доказа- Руппель [9] выделил в нем два ос-
летворять целому ряду свойств, в том но (доказательство существования новных блока, отвечающих за его ра-
числе иметь большой период, боль- таких генераторов связано с доказа- боту: управляющую и комбинаци-
шую линейную сложность и хоро- тельством существования однона- онную части.
шие статистические свойства. В ча- правленных функций), на практике Управляющая часть (driving part)
стности, генератор ключевого пото- мы имеем дело с вычислительно отвечает за переход из одного вну-
ка должен быть криптографическим стойкими генераторами, прошедши- треннего состояния в другое, а так-
генератором псевдослучайных по- ми тщательный экспертный анализ. же за большой период и хорошие
следовательностей. Указанные свой- Рассмотрим основные конструкции, статистические свойства выходной
ства являются лишь необходимы- используемые при построении этих последовательности.

Защита информации. INSIDE № 6’2011 3


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Комбинационная часть (combin- ● Динамические массивы памяти ющих в качестве управляющей ча-
ing part) напрямую участвует в вы- (dynamic memory array). В самом сти счетчики, могут служить алго-
работке знаков выходной последова- общем виде динамическим масси- ритмы NLS, Rabbit. Ясно, что обес-
тельности и отвечает за ее сложность вом памяти будем называть такой печение криптостойкости в случае
и непредсказуемость, сохраняя при массив ячеек памяти, в котором использования счетчиков цели-
этом все хорошие свойства, обеспе- заполнение конкретной ячейки па- ком ложится на комбинационную
ченные работой управляющей части. мяти в следующий момент време- часть, в качестве которой необхо-
ни определяется некоторой функ- димо выбирать какую-либо одно-
Строение управляющей части цией g (функция обновления) от за- направленную функцию. В роли
Ниже приведем список узлов, полнений всех ячеек массива в пре- таковой выступает хэш-функция
наиболее часто встречающихся дыдущий момент времени (рис. 9). (алгоритмы Phelix, Salsa20/12) или
в схемах управляющей части со- Все конструкции, рассмотренные даже целиком блочный шифр (ал-
временных поточных шифров. выше, могут быть описаны как ди- горитм LEX или алгоритм ГОСТ
● Регистры сдвига с линейной об- намические массивы памяти с весь- 28147-89 в режиме гаммирования).
ратной связью (linear feedback shift ма простыми функциями обнов-
register – LFSR) – наиболее распро- ления. В данный же раздел мы Строение комбинационной части
страненные узлы управляющей ча- включаем алгоритмы поточного Конструкции, используемые в ка-
сти современных поточных шиф- шифрования, использующие ди- честве комбинационной части алго-
ров. Чрезвычайно распространены намические массивы общего вида: ритмов поточного шифрования, так-
ввиду давно разработанной мате- HC128, Mir1, Hermes8, Mosquito, же весьма разнообразны.
матической теории, позволяющей TSC-3, Phelix, Rabbit, Polar Bear, ● Нелинейные функции (nonlinear
строить LFSR с заранее намечен- Py, Salsa20/12, Edon80. function) – наиболее старая и наибо-
ными свойствами. Используются лее распространенная конструк-
в огромном количестве алгорит- ция (используются в алгоритмах
мов поточного шифрования. В чис- ABC, Decim, Grain, MICKEY-128,
ле последних разработок – алго- WG).
ритмы ABC, Decim, Grain, MICK- ● Прореживание последовательно-
EY-128, Polar Bear, SOSEMANUK, сти, выработанной управляющей
Sfinks, WG, Yamb, ZK-Crypt. частью (Decimating of the interme-
● Регистры сдвига с управляемым diate sequence) – алгоритмы ABC,
движением (jump controlled LFSR). Decim, Grain, Sfinks, Polar Bear,
В числе последних разработок – MICKEY-128, WG, SOSEMANUK,
алгоритм Pomaranch. Yamb.
Рис. 9
● Регистры сдвига с обратной свя- ● Конечные автоматы (finite-state
зью по переносу (feedback with car- Особо следует отметить разно- machine). Для улучшения свойств
ry shift register – FCSR). Для них, так видность динамических массивов па- последовательности, выработан-
же как и для регистров сдвига с уп- мяти, называемую клеточными авто- ной управляющей частью, можно
равляемым движением, существу- матами (cellular automata). Клеточ- использовать конечные автоматы
ет разработанная математическая ные автоматы используются в кон- (алгоритм Pomaranch).
теория. В числе последних разра- струкции управляющей части алго- ● Как уже упоминалось выше, в ка-
боток, использующих FCSR, – ал- ритма MAG. честве комбинационной части мо-
горитм F-FCSR-H. ● Счетчики (counter). Очень важ- гут использоваться как отдельные
● Регистры сдвига с нелинейной об- ным типом управляющей части, узлы блочных шифров (алгорит-
ратной связью (nonlinear feedback хотя и весьма простым, являются мы Phelix, Salsa20/12, Hermes8), так
shift register – NFSR). Хотя общая счетчики. Помимо простоты реа- и целиком блочные шифры (ал-
теория регистров сдвига с нелиней- лизации счетчики обладают весь- горитм LEX или алгоритм ГОСТ
ной обратной связью в настоящее ма важным свойством, позволя- 28147-89 в режиме гаммирования).
время не разработана, многочис- ющим использовать их при ши-
ленные исследования в этом на- фровании больших массивов дан-
правлении позволяют в ряде слу- ных (например, баз данных). Такая Примитивы
чаев получить достаточно точные конструкция управляющей час- с открытым ключом
оценки необходимых параметров. ти позволяет непосредственно рас- Из многочисленных примитивов
В последнее время интерес к ис- шифровывать отдельные произ- с открытым ключом ограничимся
пользованию в конструкции уп- вольно расположенные части за- рассмотрением асимметричных ал-
равляющей части существенно воз- шифрованного массива данных, горитмов шифрования и тех «прак-
рос (см. алгоритмы Achterbahn, а не производить расшифрование тических» однонаправленных функ-
Dragon, Grain, MICKEY-128, NLS, массива с его начала, как это при- ций, которые в них применяются.
SSS, Trivium, CryptMT-Fubuki, ходится делать в других случаях. Асимметричный шифр является
VEST). Примерами алгоритмов, использу- по сути дела однонаправленной под-

4 Защита информации. INSIDE № 6’2011


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

становкой с лазейкой, действующей с решением целого ряда математи-


на некотором очень большом, но ко- ческих задач.
нечном множестве. Рассмотрим две ● Задача раскрытия системы RSA
наиболее популярные «практичес- (RSA Decryption Problem – RSADP)
кие» однонаправленные функции, Дано: открытый ключ RSA (e, N)
используемые в асимметричной и полученный на этом ключе шифр- Рис. 10
криптографии, и связанные с ними текст y. ный до сих пор вопрос: эквивалент-
задачи, которые в настоящее время Найти: открытый текст x такой, на ли задача взлома системы RSA за-
не имеют эффективного решения. что y = x e (mod N). даче факторизации числа.
● Задача нахождения секретного
Факторизация натуральных чисел ключа системы RSA (RSA Key Re- Дискретные логарифмы
Первой криптосистемой с откры- covery Problem – RSAKRP) Другой и, пожалуй, наиболее по-
тым ключом была криптосистема Дано: открытый ключ RSA (e, N). пулярной «практической» однона-
RSA (Rivest-Shamir-Adleman Crypto- Найти: число d такое, что x ed = правленной функцией является
system), предложенная в 1978 году Ро- = x(mod N) для всех x  ZN*. функция дискретного экспоненци-
нальдом Райвестом, Ади Шамиром ● Задача нахождения кратного экс- рования. Ее «практическая» однона-
и Леонардом Адлеманом [8]. В ее ос- поненты системы RSA (RSA Ex- правленность вытекает из сложно-
нове лежит «практическая» однона- ponent Multiple Problem – RSAEMP) сти задачи дискретного логарифми-
правленная функция умножения Дано: число N, являющееся мо- рования (discrete logarithm problem –
fmult : P % P  N, дулем системы RSA. DLP): в циклической группе G = g
где P – множество простых чисел. Найти: целое число k такое, что с образующим элементом g для про-
«Практическая» однонаправлен- xk = 1(mod N)для всех x  Z N* (то извольного элемента y  G найти це-
ность этой функции вытекает из есть ϕ(N) делит k). лое число x такое, что y = gx. Полу-
сложности задачи факторизации (fa- ● Задача нахождения порядка муль- ченное число называется дискрет-
ctorization problem), для которой в на- типликативной группы системы ным логарифмом элемента y по осно-
стоящее время не известно эффек- RSA (RSA Order Problem – RSAOP) ванию g (discrete logarithm of element y):
тивных алгоритмов. На основе этой Дано: число N, являющееся мо- x = logg y. Задача дискретного лога-
функции авторы алгоритма постро- дулем системы RSA. рифмирования может иметь несколь-
или функцию с лазейкой Найти: порядок мультиплика- ко вариантов:
RSAe : ZN  ZN , тивной группыZN* (то есть величи- ● порядок G  группы G может быть
«практическая» однонаправленность ну ϕ(N)). известен или неизвестен; посколь-
которой базируется на «практичес- ● Задача факторизация модуля си- ку значение дискретного логариф-
кой» однонаправленности функции стемы RSA (RSA Factorization Prob- ма единственно по mod G , мож-
fmult. Сам алгоритм RSA общеизве- lem – RSAFP) но искать хотя бы одно подходя-
стен, и мы не будем приводить его Дано: число N, являющееся мо- щее для этого значение, если по-
описание. дулем системы RSA. рядок G  нам не известен;
Очевидно, что знания использу- Найти: разложение числа N на ● элемент y не обязательно лежит
емых в криптосистеме простых чи- множители (то есть N = pq). в группе G, в этом случае появляет-
сел p и q достаточно для получения Очевидно, что RSADP сводится ся задача определения принадлеж-
секретного ключа, а значит, для рас- к RSAKRP. В самом деле, нахожде- ности элемента y данной группе G.
крытия системы: для этого нам до- ние секретного ключа обеспечивает С понятием дискретного лога-
статочно найти e –1modϕ(N), где расшифровку полученного сообще- рифма связанны следующие задачи.
ϕ(N) = (p – 1)(q – 1), а N = pq – мо- ния. Сведение в обратную сторону ● Задача дискретного логарифми-
дуль системы RSA. Таким образом, по-прежнему остается открытой рования (Discrete Logarithm Prob-
разложение числа N на множители проблемой: мы не можем в настоя- lem – DLP)
ведет к раскрытию криптосистемы щее время доказать, что знание се- Параметры: циклическая группа
RSA. Криптостойкость алгоритма кретного ключа является необходи- G порожденная образующим эле-
RSA определяется значением пара- мым для дешифровки и что деши- ментом g  G.
метра s = log2N – длины двоичной фровка позволяет вычислить сек- Вход: элемент y  G.
записи числа N. В настоящее время ретный ключ. Найти: наименьшее натураль-
минимальным является значение В настоящее время доказаны сле- ное x такое, что y = g x.
параметра s = 1024 [11]. Это однако дующие соотношения между приве- ● Задача дискретного логарифми-
не означает, что сложность раскры- денными выше задачами (рис. 10). рования в группе известного по-
тия системы RSA эквивалентна слож- Таким образом, если показать, рядка (Discrete Logarithm with Known
ности задачи факторизации, хотя что RSAFP сводится к RSAEMP, то Order Problem – DLKOP)
многие специалисты считают, что из этого будет следовать, что задачи Параметры: циклическая группа
это именно так. Стойкость алгорит- RSAKRP, RSAEMP, RSAOP и RSAFP G порожденная образующим эле-
ма RSA и «практическая» однона- эквивалентны. Хотя основным явля- ментом g, порядок группы G .
правленность функции fmult связаны ется очень известный, но не решен- Вход: элемент y  G.

Защита информации. INSIDE № 6’2011 5


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Найти: натуральное x такое, что ● Проблема Диффи–Хеллмана (Dif- ● Задача расшифрования Эль-Га-
y = g x. fie–Hellman Problem – DHP) маля (ElGamal Decryption Problem –
Заметим, что если порядок груп- Параметры: группа G, элемент EGDP)
пы G известен, нахождение наимень- g  G. Параметры: простое число p, об-
шего значения дискретного логариф- Вход: два случайно выбранных разующий элемент g группы Zp*.
ма и нахождение любого его значе- элемента x и y из подгруппы, порож- Вход: шифртекст (u, v) и откры-
ния – задачи эквивалентные. денной элементом g  G. тый ключ p = (p, g, e).
● Задача дискретного логарифми- Найти: элемент k = g ab, где Задача: найти x такой, что суще-
рования в группе, для которой a = logg x, b = logg y. ствует r для которого выполняются
известна факторизация порядка Если DHP представляет собой равенства u = g r modp и v = xermod p.
(Discrete Logarithm with Known Or- сложную задачу, k является секрет- ● Задача восстановления ключа
der Factorization Problem – DLKOFP) ным. Очевидно, если мы можем ре- Эль-Гамаля (ElGamal Key Recovery
Параметры: циклическая группа шать DLP, то мы можем решить Problem – EGKRP)
G порожденная образующим эле- и DHP, найдя параметр a как реше- Параметры: простое число p, об-
ментом g, порядок группы G  и его ние задачи DLP для величины x, а за- разующий элемент g группы Zp*.
разложение на простые сомножители. тем вычислив k = y a. Таким образом, Вход: открытый ключ e = (p, g, e).
Вход: элемент y  G. решение DHP сводится к решению Задача: найти целое d такое, что
Найти: натуральное x такое, что DLP. Последнее означает, что если e = g d modp.
y = g x. задача DHP трудна, то трудной ока- Заметим, что имея возможность
В качестве примера рассмотрим зывается и задача DLP применитель- дешифровывать сообщения (то есть
циклическую группу G, порожден- но к циклической подгруппе, порож- решая задачу EGDP) мы можем вы-
ную элементом g  Zn*. Если ϕ(n) денной элементом g. В настоящее числить vu–dmod p из u и v. Отсюда
является неизвестным, то в общем время задача DHP считается труд- следует, что мы в состоянии найти
случае вычислительно трудно най- ной для группы g  Zp*, где p – боль- ud как v/x. Очевидно, что задача на-
ти порядок элемента g. Также вы- шое простое число. хождения ud из u и g d эквивалент-
числительно трудно проверить, ле- ● Задача определимости Диффи– на проблеме Диффи–Хеллмана для
жит заданный элемент y  Zn*в груп- Хеллмана (Decisional Diffie-Hell- группы G = Zp*.
пе G или нет. Если все-таки y  G, man Problem – DDHP) Задачи, которые приведены вы-
вычислительно трудно найти хотя Параметры: группа G, элемент ше, соотносятся следующим обра-
бы одно натуральное x такое, что g  G. зом (рис. 11).
y = g xmod n. Вход: тройка (x, y, z) элементов из
Во многих случаях для решения циклической подгруппы, порожден-
этих задач мы можем применить ал- ной элементом g. Поиск новых «практических»
горитмы факторизации. Так, напри- Задача: определить, выполняет- однонаправленных функций
мер, если порядок G  известен и из- ся равенство z = x log g y или нет. Вплоть до самого последнего вре-
вестна его факторизация (то есть Очевидно, что DDHP сводится мени «технологическая база» крип-
мы имеем дело с задачей DLKOFP), к DHP. Считается, что эта задача так- тографии с открытым ключом про-
и при этом число G  является B- же является трудной для большой должала оставаться чрезвычайно
гладким, мы можем применить про- циклической подгруппы, порожден- бедной. В подавляющем большин-
стой алгоритм, требующий порядка ной элементом g, g  G = Zp*, где p – стве случаев это, как было сказано
O(B1/2) арифметических операций. большое простое число. выше, или задача факторизации
Протокол Диффи–Хеллмана (Dif- Наиболее известным алгорит- больших чисел, или задача дискрет-
fie–Hellman Key Agreement Protocol) мом шифрования, базирующимся ного логарифмирования в поле боль-
[2] был исторически первым при- на функции дискретного экспонен- шого порядка. Таким образом, в ос-
митивом асимметричной крипто- цирования, является алгоритм шиф- новании стойкости таких систем ле-
графии, опубликованным в откры- рования Эль-Гамаля (ElGamal Encryp- жит вычислительная трудность ре-
той литературе. Сам протокол обще- tion Algorithm) [3], который мы так- шения некоторой задачи для алгеб-
известен и мы его приводить не бу- же не приводим в силу его общеиз- раической системы с элементами чис-
дем. Его криптостойкость опирает- вестности. С оценкой его криптостой- ловой природы. Учитывая тот факт,
ся на сложность решения проблемы кости связаны следующие «практиче- что числа как наиболее древние ма-
Диффи–Хеллмана. ские» трудные задачи. тематические объекты давно изуча-
ются, не удивительны большие до-
стижения в разработке алгоритмов
для решения этих задач.
Эти тенденции нашли свое отра-
жение в публикации NIST (Нацио-
нального института стандартов и тех-
нологий США) [11], посвященной
Рис. 11 анализу сравнительной стойкости

6 Защита информации. INSIDE № 6’2011


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

криптоалгоритмов, размеру исполь- Таблица


зуемых ключей и срокам их дей-
ствия. В приводимой здесь таблице, Криптостойкость 80 112 128 192 256
(в битах)
взятой из [11], даются рекомендуе-
мые значения параметров для раз- Сроки действия До 2010 года До 2030 года После – –
2030 года
личных криптографических прими-
тивов с учетом развития вычисли- FFC (DSA, DH, MQV) L = 1024 L = 2048 L = 3072 L = 7680 L = 15 360
тельной техники и тенденций в раз- N = 160 N = 224 N = 256 N = 384 N = 512
работке алгоритмов их «вскрытия». IFC (RSA) k = 1024 k = 2048 k = 3072 k = 7680 k = 15360
Из нее видно, что требуемые значе-
ния ключевых параметров для боль- ECC (ECDSA) f = 160 – 223 f = 224 – 255 f = 256 – 383 f = 384 – 511 f = 512+
шинства примитивов асимметрич-
ной криптографии достигают значи- ● Проблема поиска сопрягающего дении доказательства одних утвер-
тельных величин. В случае очередно- элемента ждений к другим, также не доказан-
го успеха в области алгоритмов фак- Дано: x, y  G, x ~ y . ным. С нашей точки зрения, своео-
торизации и дискретного логариф- Определить: элемент a  G та- бразный «застой» в этих исследова-
мирования системы, стойкость кото- кой, что y = axa–1. ниях объясняется следующим: почти
рых основана на этих задачах, могут ● Обобщенная проблема поиска со- все они используют в качестве моде-
стать значительно более уязвимыми прягающего элемента ли вычислений, в рамках которой ве-
или даже совершенно нестойкими. Дано: x, y  G, y = bxb–1, b  H G, дется исследование однонаправлен-
причем сам элемент b – неизвестен. ности, машину Тьюринга. В то же
Криптография с открытым ключом Определить: элемент a  G такой, время существует достаточно боль-
и нечисловые алгебраические что y = axa–1. шое разнообразие вычислительных
системы ● Проблема сопряженной разреши- моделей. Одна из них, а именно схе-
Одним из возможных подходов мости: мы из функциональных элементов,
для построения новых систем с от- Дано: x, y  G, y = bxb–1, b  H G. является не менее мощной. На наш
крытым ключом может стать пере- Определить: a1, a2 G : a1xa2 = y. взгляд, отказ от использования в ка-
ход к алгебраическим системам с эле- ● Проблема извлечения корня: честве вычислительной модели ис-
ментами нечисловой природы, на- Дано: y  G, y = xm, x – неизвестен. ключительно машины Тьюринга
пример, к неабелевым группам – Определить: z  G : y = z m. и переход к схемам из функциональ-
группам заведомо нечисловой при- ных элементов может позволить
роды [15]. Правда, при использова- сдвинуться с мертвой точки в этом
нии таких групп в криптосистеме Новый подход к исследованию фундаментальном вопросе.
с открытым ключом возникают сле- однонаправленности Взяв как вычислительную модель
дующие вопросы: «…after almost thirty years of pub- схемы из функциональных элемен-
● как представить сообщение в ви- lic-key cryptography, there is still no тов, в качестве меры сложности то-
де элемента группы G; proof that trapdoor one-way functions, го или иного преобразования будем
● существует ли единственное пред- which are the fundament to the theory, рассматривать сложность минималь-
ставление для элементов группыG: exist.» ной булевой схемы, реализующей
если элементы представляются не Jim Massey, January 20021 данное преобразование. В качестве
единственным образом, исходный модели однонаправленной функции
открытый текст и расшифрован- Начиная с момента появления будем рассматривать вычислитель-
ный текст могут не совпасть как работы Диффи и Хеллмана [2], то но асимметричное преобразование,
выражения; есть на протяжении последних 35 лет, то есть такое обратимое преобразо-
● возможно ли эффективное вычис- весьма значительные мировые на- вание f, сложность которого отлича-
ление такого представления? учные силы занимались исследова- ется от сложности обратного преоб-
В качестве основы для «практиче- нием вопросов, связанных с однона- разования [1], [4], [5]. Пытаясь по-
ских» однонаправленных функций правленностью. Однако, несмотря на нять природу такого различия, мож-
можно использовать следующие из- многие сотни работ, посвященных но задать глупый вопрос: почему
вестные задачи теории групп, для ко- этой тематике, в настоящее время схему, реализующую прямое преоб-
торых в ряде случаев не известно эф- нет ни доказательства того, что та разование, нельзя использовать для
фективных алгоритмов решения. или иная функция является однона- вычисления обратного преобразо-
● Проблема сопряженности правленной, ни существенных осно- вания? Ответ очевиден: потому что
Дано: x, y  G. ваний рассчитывать на то, что та- логические элементы, отличные от
Определить: сопряжены ли эле- кая функция может быть построена. инверсии, необратимы. Однако уже
менты x и y? Большая часть работ состоит в све- давно известны обратимые логиче-

1 «…после почти тридцати лет существования криптографии с открытым ключом все еще нет доказательства существования
фундамента теории – однонаправленных функций с лазейкой». Дж. Месси, январь 2002 года.

Защита информации. INSIDE № 6’2011 7


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Рис. 12. Элемент NOT

Рис. 13. Элемент CNOTNOT

Рис. 15
Поэтому для получения обратимой 5. Hiltgen A. P. Cryptographically Relevant Contri-
схемы необходимо добавить в нее butions to Combinatorial Complexity Theory. ETH
дополнительные элементы, которые Series in Information Processing, vol. 3 (1993).
будут удалять «мусор». В отличии 6. Lai X. On the Design and Security of Block
от предыдущих подходов, когда рас- Ciphers. ETH Series in Information Processing,
сматривались две отдельные схемы – vol. 1. Hartung-Gorre Verlag Konstanz, 1992.
Рис. 14. Элемент CCNOT для f и для f –1, при новом подходе 7. Menezes A. J., van Oorschot P. C., Vanston S. A.
они связаны внутри одной схемы Handbook of Applied Cryptography. CRC, NY,
ские элементы [12], примерами кото- и являются подсхемами одной и той 1997.
рых могут служить такие элементы же схемы, построенной из обрати- 8. Rivest R. L., Shamir A., Adleman L. M. A Me-
как NOT, CNOT (Controlled NOT), мых логических элементов обрати- thod for Obtaining Digital Signatures and Public-
CCNOT (Controlled Controlled NOT) мой схемы для обратимого преобра- Key Cryptosystem. Communications of the ACM,
(рис. 12–14). зования f. Проанализировав полу- vol. 21 (1978), pp. 120–126.
С помощью этих элементов мож- ченные схемы из обратимых эле- 9. Rueppel R. A., Analysis and Design of Stream
но построить минимальную схему, ментов, можно выдвинуть следую- Ciphers, Springer-Verlag, Berlin, 1986.
реализующую данное преобразова- щую гипотезу о структуре вычисли- 10. SP 800-22. A Statistical Test Suite for Ran-
ние. Для удобства изображения схем тельно асимметричных преобразо- dom and Pseudorandom number generators for
и получения обратной схемы будем ваний [17]. cryptographic applications. NIST Special Publi-
располагать элементы на параллель- Возможно, схемы из обратимых cations 800-22, last revisions 2001.
ных горизонтальных линиях (про- элементов для асимметричных пре- 11. SP 800-131. Recommendation for the Transi-
водниках), на которые подаются вход- образований имеют общую струк- tioning of Cryptographic Algorithms and Key Sizes.
ные переменные. К схеме возможно туру, которая показана на рис. 15. NIST Special Publications 800-131 (draft), 2010.
добавление дополнительных линий, У таких схем есть некоторое «общее 12. Toffoli M. Bicontinuous Extensions of Invert-
на которые подается логический 0, тело», а также подсхемы, отвечаю- ible Combinatorial Functions. Math. Syst. Theory,
и играющих роль «памяти» [16]. щие за удаление «мусора» прямого vol. 14 (1981), pp. 13–23.
Однако в общем случае эта схе- и обратного преобразований. Из-за 13. Vaudenay S. A classical introduction to mod-
ма не будет обратимой. Дело в том, различия сложности подсхем удале- ern cryptography. Applications for Communica-
что в процессе вычисления нашего ния «мусора» и возникает различие tions Security. Springer, NY, 2006.
преобразования на выходе схемы по- в сложности прямого и обратного 14. Шеннон К. Э. Теория связи в секретных си-
является не только значение нашей преобразований. ■ стемах. В кн.: Шеннон К.Э. Работы по теории
функции f, но и некоторая информа- информации и кибернетике. – М.: И.Л., 1963.
ция (за счет дополнительных линий), ЛИТЕРАТУРА 15. Жуков А. Е. Криптография с открытым
полученная в процессе вычисления 1. Boppana R. B., Lagarias J. C. One-way functions ключом и нечисловые алгебраические системы.
и называемая вычислительным му- and circuit complexity. Information and Computa- Безопасность информационных технологий,
сором или просто мусором (garbage). tion, v. 74 (1987), pp. 226–240. 2003, вып. 1.
Без знания этой информации, а толь- 2. Diffie W., Hellman M. E. New Directions in 16. Жуков А. Е. Схемы из обратимых логиче-
ко по значению функции f, соответ- Cryptography. IEEE Transactions on Information ских элементов: Один подход к изучению од-
ствующий прообраз получить не- Theory, vol. IT-22 (1976), pp. 644–654. нонаправленности. Труды III Международной
возможно. При попытке непосред- 3. ElGamal T. A Public-Key Cryptosystem and a конференции «Информационные системы
ственного обращения с использо- Signature Scheme Based on Discrete Logarithms. и технологии» (IST’2006), Минск, 2006.
ванием такой схемы помимо обра- IEEE Transactions on Information Theory, vol. 17. Жуков А. Е. Вычислительно асимметрич-
за требуется подать и этот «мусор» IT-31 (1985), pp. 469–472. ные преобразования и схемы из обратимых
(с криптографической точки зре- 4. Hiltgen A. P. Constructions of feebly-one-way элементов. Труды Восьмого Международного
ния играющий роль «лазейки»), ко- families of permutations. AUSCRYPT’92, LNCS симпозиума «Интеллектуальные системы»
торый в общем случае неизвестен. v.718 (1993), pp. 422–434. (INTELS–2008), М., 2008.

8 Защита информации. INSIDE № 6’2011