Основы построения и эксплуатации защищенных телекоммуникационных систем

Учитывая эти соображения, естественно  использовать аналогичную применяемой  в радиофизике и теории информации условную энтропию передаваемого сигнала при условии, что принятый сигнал известен, в качестве теоретической меры секретности, которая далее будет названа ненадежностью. Следует отметить, что имеются две основные ненадежности: ненадежность ключа и ненадежность сообщения. Они будут обозначаться через H_E(K) и H_E(M) соответственно. Их величины определяются соотношениями:

 

,     (45)

,     (46)

 

где E, M и K – криптограмма, сообщение  и ключ; P(E,K) – вероятность ключа K и криптограммы E; P_E(K) – апостериорная вероятность ключа K, если перехвачена криптограмма E; P(E,M) и P_E(M) – аналогичные вероятности, но не для ключа, а для сообщения. Суммирование в H_E(K) проводится по всем возможным криптограммам определенной длины (скажем, N) и по всем возможным ключам. Для H_E(M) суммирование проводится по всем сообщениям и криптограммам длины N. Таким образом, H_E(K) и H_E(M) являются функциями от N – числа перехваченных букв. Это будет иногда указываться в обозначении так: H_E(K,N), H_E(M,N).

Те же самые рассуждения, которые  используются для обоснования введения ненадежности в качестве меры неопределенности в теории связи, применимы и здесь. Так, из того, что ненадежность равна нулю, следует, что одно сообщение (или ключ) имеет единичную вероятность, а все другие – нулевую. Этот случай соответствует полной осведомленности шифровальщика. Постепенное убывание ненадежности с ростом N соответствует увеличению сведений об исходном ключе или сообщении. Кривые ненадежности сообщения и ключа, нанесенные на график как функции от N, мы будем называть характеристиками ненадежности рассматриваемой секретной системы.

Можно показать, что ненадежность обладает некоторыми интересными свойствами, большинство из которых соответствует нашему интуитивному представлению о поведении величины такого рода:

• ненадежность ключа Н_Е(K,N) — невозрастающая функция N¹¹;
• ненадежность первых А букв сообщения является невозрастающей функцией N: если перехвачено N букв, то ненадежность первых N букв сообщения меньше или равна ненадежности ключа;
• ненадежность сообщения для произведения криптозащищенных система S = TR не меньше ненадежности для одной системы R.

Рассмотрим теперь, что имеется  «чистую» защищенную систему. Обозначим  различные остаточные классы сообщений через C₁,C₂,…,C_r и соответствующие остаточные классы криптограмм через C₁',C₂',…,C_r'. Вероятности всех E из C_i одинаковы и равны

 

,    (47)

где n_i – число различных сообщений в C_i . Таким образом, имеем:

 

 .  (48)

 

Учитывая, что

 

H_E(K) = H(K) + H(M) – H(E),    (49)

 

с учетом (48) для чистого шифра имеем

 

.   (50)

 

Непосредственное применение этой формулы к реальным шифрам и естественным языкам сопряжено со значительными  вычислительными трудностями, поэтому  введем понятие «случайного» шифра на основе следующих допущений.

1. Пусть число возможных сообщений длины N есть T=2^RN, где R = log₂G, G – число букв алфавита. Предполагается, что число возможных криптограмм длины N также равно T.

2. Все возможные сообщения длины  N можно разделить на две группы: группу с высокими и достаточно  равномерными априорными вероятностями и группу с пренебрежимо малой полной вероятностью. Высоко вероятная группа будет содержать S = 2^RN сообщений, где R = H(M)/N, то есть R – энтропия источника сообщений на одну букву.

3. Операцию расшифрования можно  представлять графически в виде ряда линий (как на рис. 5 и 7), идущих от каждого Е к различным M. Предположим, что имеется k равновероятных ключей, и что от каждого E будет отходить k линий. Предположим, что для случайного шифра линии от каждого E отходят к случайному набору возможных сообщений. Тогда случайный шифр будет представлять собой фактически целый ансамбль шифров и его ненадежность будет равна средней ненадежности этого ансамбля.

Ненадежность ключа определяется с помощью равенства

 

H_E(K) = Σ P(E) P_E(K) log P_E(K).    (51)

 

Вероятность того, что от частного E к высоковероятной группе сообщений  отходит ровно m линий, составляет

 

.     (52)

 

Если перехвачена криптограмма, которой соответствует m таких линий, то ненадежность равна log(m). Вероятность такой криптограммы равна mT/Sk, так как она может быть создана из высоковероятных сообщений, каждое из которых имеет вероятность T/S с помощью одного из m ключей. Отсюда ненадежность равна

 

.    (53)

 

Требуется найти простое приближенное выражение для H_E(K), когда k велико. Если для

величины m ее среднее значение μ = Sk / T много больше 1, то изменение log(m) в области тех m, для которых  биномиальные слагаемые велики, будет  малым и мы можем заменить log(m) на log(μ). Этот множитель можно вынести за знак суммы, которая даст значение m. Таким образом, при этом условии

 

,    (54)

H_E(K) ≈ H(K) – DN ,     (55)

 

где D – избыточность на букву первоначального  языка (D = D_N/N).

Если m мало по сравнению с k, то биномиальное распределение может быть приближенно пуассоновским:

 

,     (56)

 

где λ = Sk/T. Отсюда

 

.    (57)

 

Заменив m на m+1, получим:

 

.    (58)

 

Это выражение можно использовать, когда λ близко к 1. Если же λ << 1, то существенным является лишь первый член ряда. Отбрасывая другие, получим

 

H_E(K) ≈ e^-λ λ log2 ≈ λ log2 ≈ 2^-ND k log2.    (59)

 

Итак, подводя итог вышесказанному, получаем, что H_E(K), рассматриваемая как функция от N – числа перехваченных букв – при N = 0 равна H(K). Далее она убывает линейно с наклоном –D до окрестности точки N = H(K)/D. После небольшой переходной области H_E(K) начинает убывать экспоненциально со временем «полураспада» 1/D, если D измеряется в битах на букву. Поведение H_E(K) показано на рис. 9 вместе с аппроксимирующими кривыми.

С помощью аналогичных рассуждений  можно подсчитать ненадежность сообщения. Она равна H_E(M) = RN для RN << H_E(K); H_E(M) = H_E(K) для RN >> H_E(K), H_E(M) = H_E(K) – f(N) для RN ~ H_E(K), где f(N) – функция, показанная на рис. 8, причем шкала N сжата в D/R раз. Таким образом, H_E(M) возрастает линейно с наклоном R до тех пор, пока она не пересечет линию H_E(K). После закругленного перехода она идет ниже кривой H_E(K).

 

 

Рис. 9. Ненадежность для случайного шифра

 

Видно, что кривые ненадежности стремятся  к нулю довольно резко. Поэтому можно  с достаточной определенностью  говорить о точке, в которой решение  становится единственным. Найденное при этом число букв мы будем называть расстоянием единственности. Для случайного шифра оно приблизительно равно H(K)/D.

Методы анализа случайного шифра  могут быть использованы для приближенной оценки характеристик ненадежности и расстояния единственности обычных типов шифров.

2.4. Практическая  оценка криптозащищенности ТКС

 

Имеется несколько различных критериев, которые можно было бы использовать для оценки качества предлагаемой защищенной системы. Рассмотрим наиболее важные из этих критериев.

Количество защищенности

Некоторые защищенные системы являются совершенными в том смысле, что положение противника не облегчается в результате перехвата любого количества сообщений. Другие системы, хотя и дают противнику некоторую информацию при перехвате очередной криптограммы, но не допускают единственного «решения». Системы, допускающие единственное решение, очень разнообразны как по затрате времени и сил, необходимых для получения этого решения, так и по количеству материала, который необходимо перехватить для получения единственного решения.

Объем ключа

Ключ должен быть передан из передающего  пункта в приемный пункт таким  способом, чтобы его нельзя было перехватить. Иногда его нужно запомнить. Поэтому желательно иметь ключ настолько малый, насколько это возможно.

Сложность операции зашифрования и расшифрования

Операции зашифрования и расшифрования  должны быть, конечно, по возможности  простыми. Если эти операции производятся вручную, то их сложность приводит к потере времени, появлению ошибок. Если они производятся автоматически, то сложность приводит к использованию значительного машинного времени.

Разрастание числа ошибок

В некоторых типах шифров ошибка в одной букве, допущенная при  шифровании или передаче, приводит к большому числу ошибок в расшифрованном тексте. Такие ошибки разрастаются в результате операции расшифрования, вызывая значительную потерю информации и часто требуя повторной передачи криптограммы. Естественно, желательно минимизировать это возрастание числа ошибок.

Увеличение объема сообщения

В некоторых типах защищенных систем объем сообщения увеличивается в результате операции шифрования. Этот нежелательный эффект можно наблюдать в системах, в которых делается попытка потопить статистику сообщения в массе добавляемых нулевых символов, или где используются многократные замены. Он имеет место также во многих системах типа «маскировки» (которые не являются обычными секретными системами в смысле нашего определения).

Приведенные 5 критериев оказываются  несовместимыми, если системы применяются  к естественным языкам с их сложной  статистической структурой. В случае искусственных языков с простой статистической структурой можно удовлетворить всем критериям одновременно с помощью шифров идеального типа. В естественных языках нужно идти на компромисс, учитывающий противоречивые требования, исходя из конкретных условий. Если отбросить любой из этих пяти критериев, то оставшиеся четыре могут быть удовлетворены достаточно хорошо, как показывают следующие примеры.

Если не учитывать первое требование (количество секретности), то любая  простая система (например, простая подстановка) будет удовлетворять остальным требованиям. В крайнем случае, когда это условие отброшено полностью, вообще не потребуется никакого шифра и можно посылать сообщение открытым текстом.

Если объем ключа не ограничен, то можно использовать систему с бесконечным ключом.

Если ограничения не накладываются  на степень сложности операций, то можно использовать крайне сложные типы приемов шифрования.

Если снять ограничение на разрастание  числа ошибок, то весьма хорошей  была бы система с перемежением, хотя она и несколько сложна.

Если допускается большое увеличение объема сообщения, то можно легко  придумать различные системы, в  которых «правильное» сообщение  смешивается с многими «неправильными» сообщениями (дезинформация). Ключ определяет, какое из этих сообщений правильное.

С точки зрения теоретического исследования, проведенного в предыдущем разделе, оценка криптозащищенности ТКС может  быть осуществлена на основе анализа  рабочей характеристики этой системы.

После того как объем перехваченного текста превзойдет точку единственности, обычно будет существовать единственное решение криптограммы. Задача криптографического анализа и состоит в выделении этого единственного решения, имеющего высокую вероятность. До того как достигнута точка единственности, задача криптографического анализа состоит в выделении всех возможных решений с большой (по сравнению с остальными решениями), вероятностью и в определении вероятностей этих решений.

Хотя в принципе всегда можно  найти эти решения (например, испытывая все возможные ключи), но для различных систем нужно будет затратить различный объем работы. Средний объем работы, необходимой для определения ключа, если криптограмма имеет N букв, W(N) измеренное, скажем, в человеко-часах, можно назвать рабочей характеристикой системы. Это среднее значение берется по всем сообщениям и всем ключам с соответствующими им вероятностями.

На начальном этапе криптоанализа  имеется несколько возможных  решений и все они должны быть определены. Однако после точки единственности (рис. 8) существует, вообще говоря, только одно решение, но если необходимые данные имеются в минимальном количестве, то для нахождения этого решения нужно проделать большую работу. По мере увеличения количества данных объем необходимой работы быстро уменьшается, стремясь к некоторому асимптотическому значению, которое достигается, когда дополнительные данные уже не уменьшают объема работы.

При этом в хорошей (в практическом смысле) защищенной системе график W(N) остается достаточно высоким вплоть до того числа букв, которое намереваются передавать с помощью данного ключа, что не дает противнику практической возможности найти решение или же задерживает нахождение решения до тех пор, пока содержащаяся в нем информация не устареет.

 

 

3. ОСНОВЫ ТЕОРИИ  НАДЕЖНОСТИ

 

Задача обеспечения гарантированной  надежности функционирования является одной из наиболее приоритетных на всех этапах создания и эксплуатации защищенных ТКС. Это связано, прежде всего, с применением подобных систем в так называемых «критических» областях деятельности человека, когда чрезвычайно важно обеспечить гарантированные показатели защищенности передаваемой информации. Соответствующий математический аппарат хорошо разработан в настоящее время в рамках теории надежности.