Методы и средства защиты информации. Внимание!!! В книге могут встречаться существенные ошибки (в рисунках и формулах). Они не связаны ни со

Математика
разделения
секрета
365
Возьмем в
(18.3) в
качестве
H
произвольную
r × (n + 1)
- матрицу с
элемента
- ми из поля
K
Получаемую
СРС
, будем называть
одномерной
линейной
СРС
Она является совершенной комбинаторной
СРС
со структурой доступа
Г
, со
- стоящей из множеств
А
таких
, что вектор
h
0
представим в
виде линейной комби
- нации векторов
{h
j
: j
∈
A}
, где
h
j
— это
j
- ый столбец матрицы
H
Строками мат
- рицы
V
, соответствующей данной
СРС
, являются
, как видно из
(18.3), линейные комбинации строк матрицы
H
Перепишем
(18.3) в
следующем виде
s
j
= (f, h
j
) для j = 0, 1, …, n, где
(f, h
j
)
— скалярное произведение векторов
f
и
h
j
Если
А
∈
Г
, т
е если
h
0
= Σλ
j
h
j
, то
s
0
= (f, h
0
) =
(
)
f, Σλ
j
h
j
= Σλ
j
(f, h
j
) = Σλ
j
s
j
и
, следовательно
, значение секрета однозначно находится по его
“
проекциям
”.
Рассмотрим теперь случай
, когда вектор
h
0
не представим в
виде линейной ком
- бинации векторов
{h
j
: j
∈
A}
Нам нужно показать
, что в
этом случае для любых заданных значений координат из множества
А
число строк матрицы
V
с данным значением любой координаты не зависит от этого значения
В
этом не трудно убедится
, рассмотрев
(18.3) как систему линейных уравнений относительно не
- известных
f
i
и воспользовавшись тем
, что система совместна тогда и
только то
- гда
, когда ранг матрицы коэффициентов равен рангу расширенной матрицы
, а
число решений у
совместных систем одинаково и
равно числу решений одно
- родной системы
Указание
.
Рассмотрите две системы
: c “
нулевым
” уравнением и
без него
(
т е
со свободным членом
).
Так как вектор
h
0
не представим в
виде линейной комби
- нации векторов
{h
j
: j
∈
A}
, то ранг матрицы коэффициентов второй системы на
1 больше ранга матрицы коэффициентов первой системы
Отсюда немедленно следует
, что если первая система совместна
, то совместна и
вторая при любом
s
0
Эта конструкция подводит нас к
определению общей линейной
СРС
Пусть секрет и
его
“
проекции
” представляются как конечномерные векторы
s
i
= (s
i
1
, …,
s
i
mi
)
и генерируются по формуле
s
i
= fH
i
, где
H
i
— некоторые
r × m
i
- матрицы
Со
- поставим каждой матрице
H
i
линейное пространство
L
i
ее столбцов
(
т е
со
- стоящее из всех линейных комбинаций вектор
- столбцов матрицы
H
i
).
Неслож
- ные рассуждения
, аналогичные приведенным выше для одномерного случая
(
все
m
i
= 1
), показывают
, что данная конструкция дает совершенную
СРС
тогда и
только тогда
, когда семейство линейных подпространств
{L
0
, …, L
n
}
конечно
- мерного векторного пространства
K
r
удовлетворяет упомянутому выше свойству
“
все или ничего
”.
При этом множество
А
является разрешенным
{L
a
: a
∈
A}
со
- держит подпространство
L
0
целиком
С
другой стороны
, множество
А
является неразрешенным
(
А
∉
Г
), если и
только если линейная оболочка подпространств
{La: a
∈
A}
пересекается с
подпространством
L
0
только по вектору
0
Отметим
,

366
Глава
18.
Криптографическая
защита
что если бы для некоторого
А
пересечение
L
0
и линейной оболочки
{L
a
: a
∈
A}
было нетривиальным
, то участники
А
не могли бы восстановить секрет одно
- значно
, но получали бы некоторую информацию о
нем
, т
е схема не была бы совершенной
Пример
18.3.
Рассмотрим следующую структуру доступа для случая четырех участников
, задаваемую
Г
min
= {{1,2}, {2,3}, {3,4}}
Она известна как первый по
- строенный пример структуры доступа
, для которой не существует идеальной реализации
Более того
, было доказано
, что для любой ее совершенной реали
- зации
R(Г) ≥ 3/2
С
другой стороны
, непосредственная проверка показывает
, что выбор матриц
H
0
,
H
1
, ...,
H
4
, приведенных на рис
. 18.2, дает совершенную ли
- нейную
СРС
с
R = 3/2
, реализующую эту структуру
, которая
, следовательно
, яв
- ляется и
оптимальной
(
наиболее экономной
)
СРС
Рис
. 18.2.
Матрицы
, реализующие совершенную линейную
СРС
Идеальное
разделение
секрета
и
матроиды
Начнем с
определения идеальных
СРС
Для этого вернемся к
комбинаторно
- му определению совершенной
СРС
Следующее определение совершенной
СРС
является даже более общим
, чем вероятностное определение
1, поскольку условие
(18.2) заменено в
нем на более слабое
Для произвольного множества
В
⊆
{0, 1, …, n}
обозначим через
V
B
M × |B|
- матрицу
, полученную из матрицы
V
удалением столбцов
, номера которых не принадлежат множеству
В
Пусть
||W||
обозначает число различных строк в
мат
- рице
W
Определение
18.3
Матрица
V
задает
БД
- совершенную
СРС
, реализующую структуру доступа
Г
, если
||V
A
∪
0
|| = ||V
A
|| × ||V
0
||
δГ (А)
,
(18.4) где
δ
Г
(А) = 0
, если
А
∈
Г
, и
δ
Г
(А) = 1
в противном случае
Это определение отличается от определений
1 и
2 тем
, что на неразрешен
- ные множества
А
накладываются довольно слабое условие
, а
именно
, если множество строк
V
с данными значениями координат из множества
А
непусто
, то все возможные значения секрета встречаются в
нулевой координате этих строк
(
без требований
“
одинаково часто
” как в
комбинаторном определении
2

Математика
разделения
секрета
367
или же
“
с априорной вероятностью
” как в
вероятностном определении
1).
Легко видеть
, что матрица любой совершенной вероятностной
СРС
задает
БД
- совершенную
СРС
, но обратное неверно
Для произвольной комбинаторной
СРС
, задаваемой матрицей
V
, определим на множествах
А
⊆
{0, 1, …, n}
функцию
h(A) = log
q
||V
A
||, где q = |S
0
|
Легко проверить
, что
max{h(A), h(B)}
≤
h(A
∪
B)
≤
h(A) + h(B)
для любых множеств
А
и
В
, а
условие
(184) может быть переписано в
виде
h
q
(V
A
∪
0
) = h
q
(V
A
) + δ
Г
(А) h
q
(V
0
)
Лемма
Для любой
БД
- совершенной
СРС
если
А
∉
Г
и
{A
∪
i}
∈
Г
, то
h(i)
≥
h(0)
.
Доказательство
По условиям леммы
h(A
∪
0) = h(A) + h(0) и h(A
∪
i
∪
0) = h(A
∪
і)
Следовательно
,
h(A) + h(i)
≥
h (A
∪
і) = h (A
∪
і
∪
0)
≥
h(A
∪
0) = h(A) + h(0)
Так мы предполагаем
, что все точки
і
∈
{1, …, n}
существенные
, т
е для лю
- бого
і
найдется подмножество
А
такое
, что
А
∉
Г
и
{A
∪
і}
∈
Г
, то из леммы вы
- текает
Следствие
.
Для любой
БД
- совершенной
СРС
|S
i
|
≥
|S
0
|
для всех
і = 1, ..., n
Следствие означает
, как отмечалось выше
, что для совершенных
СРС
“
раз
- мер
” проекции не может быть меньше
“
размера
” секрета
Поэтому
БД
- совершенная
СРС
называется идеальной
, если
|S
i
| = |S
0
|
для всех
і = 1, ..., n
Замечание
Неравенство
|S
i
|
≥
|S
0
|
справедливо и
для совершенных вероятно
- стных
СРС
, поскольку их матрицы задают
БД
- совершенные
СРС
Естественный вопрос состоит в
том
, для каких структур доступа
Г
сущест
- вуют реализующие их идеальные
(
вероятностные или комбинаторные
)
СРС
Как уже отмечалось
, наилучший на сегодняшний день ответ использует слово
матроид
Напомним определение матроидов и
некоторые их основные свой
- ства
Матроидом
называется конечное множество
Х
и семейство
I
его подмно
- жеств
, называемых
независимыми
(
остальные множества называются зависи
- мыми
), если выполнены следующие свойства
:
∅
∈
I;
(18.5.1)
Если A
∈
I и B
⊂
A, то B
∈
I; (18.5.2)
Если A, B
∈
I и |A| = |B| + 1, то существует a
∈
A\B такое, что a
∪
B
∈
I. (18.5.3)

368
Глава
18.
Криптографическая
защита
Пример
18.4.
Множество
Х
— это множество векторов в
некотором линейном векторном пространстве
, а
независимые подмножества
— это линейно незави
- симые подмножества векторов
Собственно с
этого примера и
началась теория матроидов
, вначале как по
- пытка дать аксиоматическое определение линейной независимости векторов че
- рез
“
внутренние свойства
”, т
е не апеллируя к
понятию вектора
К
счастью
, по
- пытка не удалась
, так как нашлись матроиды
, не представимые как линейные
(
т е
как системы векторов
), а
сама теория матроидов разрослась далеко за пре
- делы линейной алгебры
Пример
18.5. (
матроид
Вамоса
).
Рассмотрим следующее множество
:
Х =
{1, 2, 3, 4, 5, 6, 7, 8}
и положим
a = {1, 2}, b = {3, 4}, c = {5, 6}
и
d = {7, 8}
Матро
- ид
Вамоса определяется как матроид
, в
котором множества
a
∪
c, a
∪
d, b
∪
c, b
∪
d, c
∪
d
, а
также все подмножества из пяти или более элементов являются зависимыми
Известно
, что этот матроид не является линейным
Матроид также можно определить через так называемую ранговую функцию
r(A)
матроида
, определяемую как максимальная мощность независимого подмножества
В
⊆
А
Очевидно
, что независимые множества
(
и только они
) задаются условием
r(A) = |A|
Ранговая функция матроида обладает свойствами
r(A)
∈
Z; r(
∅
) = 0;
(18.6.1)
r(A)
≤
r(A
∪
b)
≤
r(A) + 1;
(18.6.2)
Если r(A
∪
b) = r (A
∪
c) = r(A), то r (A
∪
b
∪
c) = r(A). (18.6.3)
Обратно
, пусть некоторая функция
r(A)
обладает свойствами
(18.6).
Назовем независимыми те множества
А
, для которых
r(A) = |A|
Тогда эти множества за
- дают матроид
, а
функция
r
является его ранговой функцией
Возможно также определить матроид через минимальные зависимые множества
, называемые циклами
Матроид называется
связным
, если для любых двух его точек сущест
- вует содержащий их цикл
Теперь мы можем сформулировать основной результат
Теорема
Для любой
БД
- совершенной идеальной
СРС
, реализующей струк
- туру доступа
Г
, независимые множества
, определяемые условием
log|
S0
| ||V
A
|| = |A|
, задают связный матроид на множестве
{0, 1,…, n}
Все циклы этого матроида
, содержащие точку
0
, имеют вид
0
∪
А
, где
А
∈
Г
min
Доказательство теоремы приведено в
соответствующей литературе и
выхо
- дит за рамки данной книги
Главным в
доказательстве теоремы является
“
про
- верка
” целочисленности функции
h(A)
В
самом деле
,
h(A)
очевидно обладает остальными свойствами
(6) и
, следовательно
, при условии целочисленности яв
- ляется ранговой функцией и
задает матроид
Отметим
, что из второй части утверждения теоремы следует
, что разным идеальным
СРС
, реализующим данную структуру доступа
Г
, всегда соответст
- вует один и
тот же матроид
, поскольку матроид однозначно определяется всеми

Секретность
и
имитостойкость
369
циклами
, проходящими через фиксированную точку
Тем самым
, каждой иде
- альной реализуемой структуре доступа соответствует однозначно определенный матроид
В
связи с
теоремой возникает несколько естественных вопросов
Прежде все
- го
, не порождают ли идеальные
СРС
все матроиды
?
Нет
, например
, матроид
Вамоса не может быть получен как матроид идеальной
СРС
С
другой стороны линейные матроиды есть ни что иное
, как рассмотренные идеальные одномер
- ные линейные
СРС
В
связи с
этим возникает вопрос о
существовании структуры доступа
Г
, которую невозможно реализовать в
виде идеальной одномерной ли
- нейной
СРС
, но можно в
виде идеальной многомерной линейной
СРС
Такие примеры имеются
, и
, значит
, мы можем говорить о
многомерных линейных мат
- роидах как классе матроидов более общем
, чем линейные
Итак
, идеальных
СРС
больше
, чем линейных матроидов
, но меньше
, чем всех матроидов
Уточнить
, насколько больше
, представляется довольно слож
- ной задачей
В
частности
, существует ли идеально реализуемая структура дос
- тупа
Г
, которую невозможно реализовать как идеальную линейную многомерную
СРС
?
Секретность
и
имитостойкость
Криптографические преобразования обеспечивают решение двух главных проблем
ЗИ
:
проблемы
секретности
(
лишение противника возможности из
- влечь информацию из канала связи
) и
проблемы
имитостойкости
(
лишение противника возможности ввести ложную информацию в
канал связи или изме
- нить сообщение так
, чтобы изменился его смысл
).
В
случае телефонной связи главной является
проблема
имитостойкости
, поскольку вызванная сторона не может часто определить
, кто звонит
Подслу
- шивание
, требующее подключения к
проводам
, технически более сложно и
юри
- дически более опасно
, чем вызов корреспондента и
выдача себя за кого
- то дру
- гого
В
случае радиосвязи ситуация прямо противоположная
Перехват здесь является пассивным и
сопряжен с
незначительной юридической опасностью
, то
- гда как введение информации связано с
риском обнаружения незаконного пере
- датчика и
юридического преследования
Проблема
секретности
Проблемы секретности и
имитостойкости между собой тесно связаны
, поэто
- му методы решения одной из них часто применимы для решения другой
Из двух названных проблем проблема секретности обычно рассматривается первой
, как более старая и
шире известная
Рассмотрим схему прохождения потока инфор
- мации в
криптографической системе
, обеспечивающей секретность
(
рис
. 18.3).

370