3. Аспекты практического применения метода.

В процессе общения абоненты регулярно проводят процедуру генерации нового общего секретного ключа и заменяют им старый (действующий) ключ. При этом поток необходимой для генерации служебной информации добавляется к потоку полезной шифрованной информации, либо путем регулярного прерывания этого потока на время передачи служебной информации (разделение потоков во времени), либо за счет выделения служебного подканала на логическом или физическом уровне. Таким образом, секретный ключ регулярно обновляется, что создает предпосылки для приближения криптосистемы к совершенно секретной.

Но служебная информация создает дополнительную нагрузку канала связи и требует временного или логического разделения с полезной информацией. Поэтому ее следует организовать оптимальным образом. В этом отношении обмен короткими L1 битными сообщениями не оптимален, так как требует много коротких посылок. Учитывая пакетный принцип передачи информации в цифровых каналах связи, целесообразно применить этот принцип и для служебной информации. Из описания протокола генерации общего секретного ключа ясно, что все элементарные L1 битные ключи абоненты могут генерировать одновременно на одном t-ом шаге процедуры. Тогда на каждом t-ом шаге NK сообщений, относящихся ко всем элементам общего ключа, группируются в одно сообщение длиной NK*L1=L. При этом абоненты должны будут обменяться только T такими L-битными сообщениями. Эти сообщения можно присоединить к пакетам полезной информации. Тогда, при разбивке потока полезной информации на достаточно малые пакеты, можно обеспечить хорошее приближение криптосистемы к совершенно секретной.

В связи с этим целесообразно оценить соотношение объемов служебной и полезной информации. При этом следует учитывать, что фактический объем переданной служебной информации превышает расчетный объем вследствие того, что не все серии сообщений оказываются успешными. Успешной является серия, в которой отобраны все NK элементарных ключей и, кроме того, совпали все групповые контрольные функционалы.

Для генерации L-битного общего секретного ключа абонентам необходимо обменяться служебной информацией объема 2*T*L бит. Это – расчетный объем информации V. Фактический же объем V^fact можно найти через вероятность успешности серии Psuc. По аксиоматическому определению любой вероятности Psuc=V/V^fact. Отсюда имеем:

(4.1)…..V^fact=V/Psuc=2*T*L /Psuc .

Оказывается, что при достаточно большой длине серии T эта вероятность так же достаточно велика. В приведенном выше примере она равна 0,9. Поэтому для грубой оценки можно принять V^fact≈V=2*T*L. Такой объем служебной информации приходится на L бит открытого текста, если он шифруется непосредственно секретным ключом. Следовательно, удельный объем служебной информации на один бит текста при таком шифровании будет приблизительно 2*T. Но если, как принято при потоковом шифровании, из секретного ключа сначала генерируется ключевая последовательность (криптографически сильным генератором) длиной 2^^L-1, то длина зашифрованного открытого текста может быть увеличена до 2^^L-1 бит. В этом случае объем служебной информации на 1 бит текста составит приблизительно 2*T*L /2^^L.

Рассмотрим возможные виды внешней угрозы криптосистеме. От злоумышленника может исходить угроза двух видов. Во-первых, он может перехватить передаваемую информацию и попытаться расшифровать ее и/или взломать общий секретный ключ абонентов. Во-вторых, он может попытаться подменить одного из абонентов. В этом случае у него появляется возможность не только расшифровать, но и фальсифицировать информацию для другого абонента. Конечно, максимально надежную защиту от подмены дает двух ключевое шифрование. Но и в рассматриваемой одно-ключевой криптосистеме возможна защита от подмены. Если абоненты устанавливают связь впервые, то в первом сеансе они могут выработать секретные личные пароли и обменяться ими в зашифрованном виде (после генерации общего секретного ключа). Эти пароли обеспечивают защиту в последующих сеансах связи. Остается угроза подмены одного из абонентов в первом сеансе. Реальной является угроза подмены абонента – инициатора связи. Защитой от этого является только общепринятый в современном обществе прием – второй абонент не реагирует на полученную информацию, могущую, по его мнению, нанести ему вред. Для подмены же второго законного абонента злоумышленник должен физически отрезать его от канала связи. В противном случае первый абонент будет получать ответные сообщения из двух источников и подмена сразу обнаружится. Если канал связи коллективный как, например, в сфере мобильной связи, то отрезать абонента от этого канала можно только криминальным путем (скажем, взять его в плен или уничтожить). Можно сказать, что защита от подмены в предлагаемом способе шифрованной связи обеспечивается диалоговым характером обмена информацией между абонентами в зашифрованном виде.

Рассмотрим теперь возможные атаки на криптосистему с целью расшифровки информации и/или взлома ключа. Будем считать, что криптоаналитик не лимитирован вычислительными ресурсами и может осуществлять полный перебор всего множества значений общего секретного ключа. Попытка взлома ключа по перехваченной служебной информации в принципе безуспешна, если вероятность угадывания ключа криптоаналитиком достаточно мала. Так же бесперспективен взлом ключа по передаваемой полезной информации при известном или выбранном открытом тексте, так как общий секретный ключ регулярно обновляется. Единственное, что остается злоумышленнику – это расшифровать перехваченный полезный шифротекст по принципу осмысленности искомого открытого текста. Для оценки возможности такого вскрытия шифротекста используем понятия энтропии множества осмысленных слов Hs и избыточности языка общения D. Под осмысленным словом понимается слово минимальной длины, составленное из букв алфавита данного языка и имеющее смысловое значение на этом языке. Предполагается, что криптоаналитик имеет полный словарь осмысленных слов. Допустим, он пытается расшифровать один фрагмент шифротекста длиной в одно осмысленное слово. При полном переборе всех возможных значений ключа он получит большое множество осмысленных слов, вплоть до всего словаря. Но если он проделает эту процедуру для нескольких таких фрагментов, зашифрованных одним и тем же ключом, то с большой степенью достоверности только одно значение ключа даст осмысленные слова открытого текста во всех фрагментах. Это и будет истинный ключ. Этот факт обусловлен тем, что множество осмысленных слов составляет очень малое подмножество множества всех возможных слов такой же длины, составленных из алфавита данного языка. Для расшифровки всей перехваченной полезной информации криптоаналитик должен проделать указанную процедуру для всех последовательных фрагментов шифротекста (каждый длиной приблизительно в одно осмысленное слово), объединенных одним общим ключом. Отсюда и следует, почему для обеспечения совершенной секретности ключ должен обновляться на длине текста менее длины двух осмысленных слов.

В случае общения письменным текстом типичное осмысленное слово составляет около 8 букв алфавита (включая цифры), чему при цифровом кодировании соответствует длина текста Lw около 50 бит. Эта величина – есть энтропия множества всех возможных 8-ми буквенных слов из алфавита данного языка. Энтропия же множества осмысленных слов Hs определяется через нее с помощью параметра избыточности D, определенного Шенноном и приблизительно равного 3,5: Hs=Lw/D≈50/3,5≈14 бит. Численные значения Lw, Hs и D приблизительно одинаковы для любого письменного языка. Расшифровка по принципу осмысленности предполагает, что у криптоаналитика имеется словарь осмысленных слов, мощность которого 2^^Hs=2^¹⁴≈16000 слов.

Для предотвращения возможности вскрытия шифротекста по принципу осмысленности открытого текста, общий секретный ключ должен обновляться за время передачи по каналу связи не более одного слова, т. е. 50 бит полезной информации. За это время абоненты должны обменяться служебными сообщениями 2*T раз. В приведенном выше примере эта величина около 20, т. е. одно служебное сообщение приходится на каждые два – три бита полезной информации. Такая перегрузка канала связи вряд ли приемлема. Поэтому в случае, когда полезной информацией является письменный текст, приходится отступить от идеала совершенной секретности криптосистемы.

Совсем иная ситуация возникает при передаче устной речи или видео информации, т. е. в области телефонной или видеофонной связи. При передаче устной речи одно осмысленное слово произносится приблизительно за 0,5 секунды и кодируется 3 - 5 килобитами цифровой информации. За это время абоненты должны обменяться таким же количеством служебной информации, что и при передаче одного осмысленного письменного слова (2*T*log₂Lw≈20*log₂4000=240 бит), но эта информация теперь приходится не на десятки, а на тысячи бит полезной информации. Здесь налицо огромная избыточность передаваемой полезной информации относительно ее секретного смысла. Аналогично, при передаче видео изображения один осмысленный, т. е. узнаваемый, видеокадр занимает приблизительно 1/50 секунды и кодируется 100 - 300 килобитами цифровой информации. В этом случае так же налицо огромная избыточность передаваемой полезной информации. Такая избыточность обусловлена необходимостью передачи не столько смысла сказанного или увиденного, сколько тембра и интонации голоса или оттенков и художественных штрихов изображения. Это – естественная дань особенностям слухового и зрительного восприятия человека. Ясно, что в такой объем полезной информации не составляет труда вклинить необходимую служебную информацию практически без перегрузки канала связи. Таким образом, легко обеспечивается совершенная секретность криптосистемы для телефонной или видеофонной связи. Следует так же отметить, что составление достаточно полного аудио или видео словаря и машинное сопоставление с ним фрагментов расшифрованного аудио или видео текста представляет самостоятельную трудность. Но, как уже указывалось, криптоаналитику доступен только такой способ расшифровки перехваченной информации.

Промежуточное положение занимает передача файлов в компьютерных сетях. Здесь так же имеет место большая смысловая избыточность (за исключением Word файлов), так как смысл в числовых или графических фрагментах файлов проявляется только при достаточно большом объеме этих фрагментов.

Резюмируя, можно сказать, что наиболее трудно засекретить письменный осмысленный текст, так как его смысловая избыточность минимальна. В этом случае для приближения криптосистемы к совершенно секретной требуется существенное увеличение потока передаваемой информации. Засекречивание же аудио или видео информации в телефонной или видеофонной связи, а так же засекречивание файлов в компьютерных сетях, не требуют заметной перегрузки канала связи и позволяют наделить криптосистему свойством совершенной секретности.

Алгоритм генерации общего секретного ключа достаточно прост и требует минимальных вычислительных ресурсов, много меньше, чем в случае двух ключевого шифрования. С целью унификации шифрование полезной информации можно производить по такому же алгоритму (2.2) с ключом в виде временной задержки шифротекста. Такая криптосистема может быть реализована, например, в стандартном мобильном телефоне. При этом в качестве генератора случайных ключей целесообразно использовать физический генератор белого шума, например, фазу генератора импульсов процессора.

5. Заключение.

Предложены протокол и алгоритм генерации общего секретного ключа двух абонентов путем обмена специальными (служебными) сообщениями по открытому каналу связи. Этот ключ применяется абонентами при шифровании полезной информации в криптосистемах с симметричным ключом. Общий секретный ключ регулярно обновляется путем чередования передачи служебной и полезной информации. Криптостойкость такого ключа обеспечивается не недостатком у криптоаналитика вычислительных ресурсов, а принципиальной нехваткой всей служебной информации для достоверного взлома ключа, и не зависит от метода криптоанализа. При этом криптостойкость определяется вероятностью угадывания ключа криптоаналитиком и может быть оценена количественно. Это позволяет избежать основной трудности при тестировании новых криптосистем – дорогостоящей и длительной экспериментальной проверки или не менее трудного математического доказательства криптостойкости авторитетными криптоаналитиками. Такой ключ не нуждается в долговременном хранилище, так как время его жизни очень ограничено. В результате его нельзя не только взломать путем криптоанализа перехваченной информации, но и выкрасть у абонентов любым другим способом (чего нельзя сказать о многоразовых ключах) или подменить. Такое шифрование приближается к шифрованию одноразовым ключом, а соответствующая криптосистема приближается по своим свойствам к совершенно секретной.

Литература.

1. Schneier, Bruce, “Applied Cryptography (Second Edition)”, John Wiley & Sons, Inc., 1996. ISBN 0-471-11709-9.

2. Жиль Брассар, “Современная криптология (руководство)”, М., Издательско-полиграфическая фирма ПОЛИМЕД, 1999. ISBN 5-8832-010-2.

3. Ю. А. Розанов, “Случайные процессы (краткий курс)”, М., изд-во “Наука”, 1971. УДК 519.2.