Криптография 2е издание Протоколы, алгоритмы и исходные тексты на языке С

выполняется XOR шифротекста с битами другой, идентичной ленты . Один и тот же поток ключей нельзя ис- пользовать дважды. Так как биты потока ключей действительно случайны, предсказать поток ключей нево з- можно. Если сжигать ленты после использования, то безопасность будет абсолютной (при условии, что у кого-то другого нет копии ленты).
Другой информационно-теоретический потоковый шифр, разработанных Клаусом Шнорром ( Claus Schnorr)
предполагает, что криптоаналитик имеет доступ только к ограниченному числу битов шифротекста [1395]. Ре- зультаты являются слишком теоретическими results и не имеют практического значения. Подробности можно найти [1361, 1643,1193].
С помощью рандомизированного потокового шифра криптограф пытается сделать решение проблемы, сто я- щей перед криптоаналитиком, физически невозможным . Для этого, сохраняя небольшой размер секретного ключа, криптограф значительно увеличивает количество битов, с которыми придется иметь дело криптоанал и- тику. Это может быть сделано за счет использования при шифровании и дешифрировании большой опублик о- ванной случайной строки. Ключ же указывает, какие части строки будут использованы при шифровании и д е- шифрировании. Криптоаналитику, не знающему ключа, придется перебирать случайные комбинации частей строки. Безопасность такого шифра можно выразить с помощью среднего числа битов, которые должен пров е- рить криптоаналитик прежде, чем вероятностьопределить ключ значительно удучшится по сравнению с вероя т- ностью простого угадывания.
Шифр "Рип ван Винкль"
Джеймс Массей (James Massey) и Ингемар Ингемарсон (Ingemar Ingemarsson) предложили шифр "Рип ван
Винкль" [1011], названный так, потому что получатель, чтобы начать дешифрирование, должен получить 2
n битов шифротекста. Алгоритм, показанный на 7-й, прост в реализации, гарантировано безопасен и совершенно непрактичен. Просто выполните XOR открытого текста с потоком ключей и задержите поток ключей на время от 0 до 20 лет - точная задержка является частью ключа . По словам Массея: "Можно легко доказать, что враже- скому криптоаналитику для вскрытия шифра понадобятся тысячи лет, если кто-то согласится подождать с чт е- нием открытого текста миллионы лет." Развитие этой идеи можно найти в [1577, 755].
Канал
(мульти- плекси- рованный)
Задержка
Поток случайных битов
Открытый текст
0-20 лет
(Длина засекречена и зависит от ключа)
Поток битов открытого текста
Задержка
Рис. 17-10. Шифр "Рип ван Винкль".
Рандомизированный потоковый шифр Диффи
Эта схема впервые была предложена Уитфилдом Диффи [1362]. Используется 2
n случайных последователь- ностей. Ключ представляет собой случайную n-битовую строку. Для шифрования сообщения Алиса использует k-ую случайную строку как одноразовый блокнот . Затем она отправляет шифротекст и 2
n случайных строк по
2
n
+1 различным каналам связи.
Боб знает k-, поэтому он может легко выбрать, какой из одноразовых блокнотов использовать для дешифр и- рования сообщения. Еве остается только перебирать случайные последовательности, пока она не найдет пр а- вильный одноразовый блокнот. Для вскрытия потребуется проверить некоторое число битов, по порядку равное
O(2
n
). Рюппел указал, что, если вы отправляете n случайных строк вместо2
n
, и если ключ используется для за- дания линейной комбинации этих случайных строк, безопасность остается на прежнем уровне .
Рандомизированный потоковый шифр Маурера
Уели Маурер (Ueli Maurer) описал схему, основанную на выполнении XOR открытого текста с несколькими большими открытыми последовательностями случайных битов [1034, 1029, 1030]. Ключ является набором стартовых позиций в каждой последовательности . Можно доказать, что такой шифр почти безопасен, с вероя т- ность взлома определяется объемом памяти, имеющейся в распоряжении взломщика, независимо от доступной ему вычислительной мощности. Маурер утверждает, что эта схема становится практичной при 100 различных последовательностях длиной 10 20
случайных битов каждая. Одним из способов получить рак много битов явл я-

ется оцифровка поверхности Луны.
17.11 Шифры с каскадом нескольких потоков
Если производительность не важна, то нет причин выбирать несколько потоковых шифров и объединять их в каскад. Для получения шифротекста просто выполните XOR выхода каждого генератора с открытым текстом .
Результат Уели Маурера (см. раздел 15.7) показывает, что если генераторы используют независимые ключи, то безопасность каскада по крайней мере не меньше безопасности самого сильного алгоритма каскада, а скорее всего и намного больше.
Потоковые шифры объединяются теми же способами, что и блоковые (см. главу 15). Потоковые шифры можно объединить в каскад (см. раздел 15.7) с другими потоковыми шифрами или с блочными шифрами .
Ловким трюком является использование одгого алгоритма, потокового или блочного, для частого обновл е- ния ключа быстрого потокового алгоритма (которым может быть и блочный алгоритм в режиме OFB). Быстрый алгоритм может быть слабым, так как криптоаналитик никогда не получит достаточно открытого текста, з а- шифрованного одним ключом.
Существует способ разменять размер внутреннего состояния быстрого алгоритма (который может влиять на безопасность) на частоту смены ключа. Смена ключа должна быть относительно частой, не стоит использовать для этого алгоритмы с длинной процедурой установки ключа . Кроме того, смена ключа не должна зависеть от внутреннего состояния быстрого алгоритма .
17.12 Выбор потокового шифра
Если изучение потоковых шифров и дает какой-либо результат, так это появление с пугающей регулярн о- стью все новых способов вскрытия. Традиционно потоковые шифры опирались на большую математическую теорию. Эту теорию можно было использовать для доказательства положительных качеств шифра, но ее же можно было использовать для поиска новых способов вскрытия шифра . По этой причины любой потоковый шифр, основанный только на LFSR, вызывает мое беспокойство.
Я предпочитаю потоковые шифры, спроектированные подобно блочным шифрам : нелинейные преобразова- ния, большие S-блоки, и т.д. Больше всего мне нравится RC4, а затем SEAL. Мне бы очень хотелось увидеть результаты криптоанализа предложенных мной генераторов, объединяющих LFSR и FCSR. Эта область кажется весьма привлекательной для изучения возможности использования в реальных разработках . Или для получения потокового шифра можно использовать блочный шифр в режиме OFB или CFB.
В 14-й для сравнения приведены временные соотношения для некоторых алгоритмов .
Табл. 17-3.
Скорости шифрования нескольких потоковых шифров на i486SX/33 МГц
Алгоритм
Скорость шифрования (Мбайт/с)
A5 5
PIKE62
RC4 164
SEAL
381 17.13 Генерация нескольких потоков из одного генератора псевдослучайной последовательности
Если нужно зашифровать несколько каналов связи при помощи одного блока - например, мультиплексора - простым решением является использование для каждого потока своего генератора псевдослучайной последов а- тельности. При этом возникают две следующих проблемы : нужна дополнительная аппаратура, и все генераторы должны быть синхронизированы. Проще было бы использовать один генератор .
Одно из решений - тактировать генератор несколько раз . Если нужно три независимых потока, тактируйте генератор три раза и отправьте по одному биту в каждый поток . Этот метод работает, но могут быть сложности при получении большой частоты. Например, если вы можете тактировать генератор только в три раза быстрее тактирования потока данных, вы сможете создать только три потока . Другим способом является использование одной и той же последовательности для каждого канала, возможно с переменной временной задержкой . Это небезопасно.

Действительно удачная идея [1489], запатентованная NSA, показана на 6-й. Записывайте выход вашего лю- бимого генератора в простой m-битовый сдвиговый регистр. По каждому тактовому импульсу сдвигайте регистр на один бит вправо. Затем для каждого выходного потока выполните AND регистра с другим m-битовым векто- ром, рассматриваемым как уникальный идентификатор для выбранного выходного потока, затем объедините с помощью XOR все биты, получая выходной бит для этого потока . Если требуется получить параллельно не- сколько выходных потоков, для каждого выходного потока нужно использовать отдельный вектор и логический массив XOR/AND.
Побитовое
AND
Генератор
Поток n
Поток 2
Поток 1
Вектор 1
m-битовый выход
Побитовое
AND
Вектор 2
Побитовое
AND
Вектор n
Побитовое
XOR
Побитовое
XOR
Побитовое
XOR
Рис. 17-11. Генератор нескольких битов.
Существует ряд вещей, которые нужно отслеживать . Если любой из этих потоков является линейной комб и- нацией других потоков, то система может быть взломана . Но если вы достаточно аккуратны, описанный способ является простым и безопасным способом решения проблемы .
17.14 Генераторы реальных случайных последовательностей
Иногда криптографически безопасные псевдослучайные последовательности недостаточно хороши . В крип- тографии вам могут понадобиться действительно случайные числа . Первое, что приходит в голову - это генер а- ция ключей. Прекрасно можно генерировать случайные криптографические ключи, используя генератор псевд о- случайных последовательностей, но если враг добудет копию этого генератора и главный ключ, он сможет со з- дать те же ключи и взломать вашу криптосистему , независимо от надежности ваших алгоритмов . Последова- тельность, выдаваемую генератором случайных последовательностей, воспроизвести невозможно . Никто, даже вы сами, не сможет воспроизвести последовательность битов, выдаваемую этими генераторами .
Крупной философской проблемой является вопрос о том, дают ли эти методы действительно случайные биты. Я не собираюсь ввязываться в этот спор. Здесь я рассматриваю выдачу битов, которые невозможно во с- произвести, и у которых статистические свойства как у случайных битов .
Для любого генератора действительно случайных последовательностей важным вопросом является его пр о- верка. На эту тему существует множество литературы . Тесты на случайность можно найти в [863, 99]. Маурер показал, что все эти тесты можно получить из попытки сжать последовательность [1031, 1032]. Если случайная последовательность сжимается, то она не является по настоящему случайной .
В любом случае, все, что мы имеем в этой области, во многом относится к черной магии . Главным момен- том является генерация последовательности битов, которую не сможет угадать ваш противник . Это гораздо бо- лее трудная задача, чем кажется. Я не могу доказать, что любой из описанных методов генерирует случайные биты. Результатом их работы являются последовательности битов, которые невозможно легко воспроизвести .
Подробности можно найти в [1375, 1376, 511].
Таблицы RAND
Давным давно, в 1955 году, когда компьютеры все еще были в новинку , Rand Corporation издала книгу, со- державшую миллион случайных цифр [1289]. Их метод описывался так:

Случайные цифры этой книги были получены при помощи рандомизации основной таблицы, сгенерированной эле к- тронной рулеткой. Вкратце, источник импульсов, выдающий их со случайной частотой в среднем около 100000 импульсов в секунду, открывался раз в секунду импульсом постоянной частоты . Цепи нормализации импульса пропускали импульсы ч е- рез 5-разрядный бинарный счетчик. По сути машина являлась колесом рулетки с 32-позициями, которое в среднем делало около 3000 оборотов за выборку и выдавало одно число в секунду. Использовался двоично-десятичный преобразователь, к о- торый преобразовывал 20 из 32 чисел (оставшиеся двенадцать отбрасываются) и оставлял только последнюю цифру двузна ч- ных чисел. Эти последние цифры попадали в компостер IBM, образуя в конце концов таблицу пробитых карточек случайных цифр.
В книге рассматривались и результаты различных проверок данных на случайность . В ней также предлагал- ся способ, как использовать эту книгу для выбора случайного числа :
Строки таблицы цифр нумеруются от 00000 до 19999. При использовании таблицы нужно сначала выбрать случайную стартовую позицию. Обычной процедурой для этого является следующее: откройте эту книгу на произвольной странице та б- лицы цифр и, закрыв глаза, выберите пятиразрядное число. Это число после замены первой цифры остатком от деления ее на
2 определяет стартовую строку. Остаток от деления двух цифр справа от первоначально выбранного пятиразрядного числа на
50 задает стартовый столбец в стартовой строке . Чтобы защититься от открытия книги все время на одной странице и естес т- венного стремления выбрать число поближе к центру страницы, каждое использованное для определения стартовой позиции пятиразрядное число должно быть помечено и не должно больше использоваться для этой ц ели.
Главным содержанием этой книги была "Таблица случайных цифр". Цифры приводились пяти разрядными группами - "10097 32533 76520 13586 . . .'' - по 50 в строке и по пятьдесят строк на странице . Таблица занимала
400 страниц и, за исключением особенно выдающейся группы на странице 283, выглядевшей как "69696", была достаточно скучным чтивом. В книгу также входила таблица 100000 нормальных отклонений .
Интересным в книге RAND являются не миллионы случайных цифр, а то, что они были созданы до компь ю- терной революции. Во многих криптографических алгоритмах используются произвольные константы - так н а- зываемые "магические числа". Выбор магических чисел из таблиц RAND гарантировал, что они не были вы- браны специально по каким-то жульническим причинам . Так, например, было сделано в Khafre.
Использование случайного шума
Лучшим способом получить большое количество случайных битов является извлечение их из естественной случайности реального мира. Часто такой метод требует специальной аппаратуры, но этот трюк можно прим е- нить и в компьютерах.
Найдите событие, которое случается регулярно, но случайно: атмосферный шум, преодолевающий какой-то порог, ребенок, падающий, учась ходить. Измерьте интервал между одним подобным событием и событием,
следующим за ним. Запишите. Измерьте временной интервал между вторым и третьим событиями . Снова за- пишите. Если первый временной интервал больше второго, выходным битом будет 1 . Если второй интервал больше первого, то выходом события будет 0 . Сделайте это снова для следующего события.
Бросьте стрелу дартс в перечень котировок Нью-Йоркской фондовой бирже в местной газете . Сравните ко- тировку акции, в которую вы попали, с котировкой акции прямо над ней . Если больше та, в которую вы попали,
выход равен 0, а если меньше - 1.
Подключите к компьютеру счетчик Гейгера , подсчитайте количество импульсов за фиксированный интервал времени и возьмите младший бит. Или измерьте время между последовательными тиками ticks. (Так как радио- активный источник распадается, среднее время между последовательными тиками непрерывно увеличивается .
Чтобы этого избежать, надо выбирать источник с достаточно длинным периодом полураспада - такой как пл у- тоний. Если вы беспокоитесь о своем здоровье, можете внести соответствующие статистические поправки .)
Дж. Б. Эгнью (G. B. Agnew) предложил генератор реально случайных битов, который можно интегрировать в СБИС [21]. Это конденсатор металл-изолятор-полупроводник (metal insulator semiconduction capacitor, MISC).
Два таких конденсатора помещаются рядом друг с другом, а случайный бит является функцией разности зар я- дов этих конденсаторов. Другой генератор случайных чисел генерирует поток случайных битов, используя н е- стабильность частоты свободно колеблющегося осциллятора [535]. Коммерческая микросхема от AT&T генери- рует случайные числа, опираясь именно на это явление [67]. М. Гьюд (M. Gude) построил генератор случайных чисел, собирающий случайные биты из физических явлений, например, радиоактивного распада [668, 669].