Самосинхронизирующийся потоковый шифр

Самосинхронизирующийся потоковый шифр (англ. Self-synchronizing stream ciphers, SSSC) — класс потоковых шифров, в которых открытый текст шифруется в зависимости от функции ключа и фиксированного числа знаков ${\displaystyle M}$ шифртекста. Поэтому, каждый зашифрованный символ может быть дешифрован, если корректно были получены предыдущие ${\displaystyle M}$ символов шифртекста, и при этом функция ключа известна. Данный подход позволяет приемной стороне расшифровывать данные в асинхронном режиме, то есть не требует синхронизации генератора ключей приемной и передающей стороны.

Структура шифра

Шифрование очередного бита открытого текста ${\displaystyle m_{i}}$  производится за счет операции двоичного сложения с соответствующим битом ключа ${\displaystyle z_{i}}$ :

${\displaystyle c_{i}=m_{i}\oplus z_{i}}$ ,

где бит ключа ${\displaystyle z_{i}}$  определяется функцией шифрования ${\displaystyle f_{s}}$ , зависящей от меняющегося по определённому правилу ключа шифрования ${\displaystyle K}$  и от предшествующих ${\displaystyle M}$  символов шифртекста, смещённых на ${\displaystyle b}$  бит:

${\displaystyle z_{i}=f_{s}[K](c_{i-b-M+1}\dots c_{i-b})}$ 

${\displaystyle M}$  называют памятью шифрования, а ${\displaystyle b}$  — задержкой функции шифрования. Необходимость задержки ${\displaystyle b}$  связана с тем, что при реализации алгоритма процессы отправления и получения зашифрованного текста, а также шифрования и расшифрования происходят параллельно. Расшифровка осуществляется следующим образом:

${\displaystyle m_{i}=c_{i}\oplus z_{i}}$ .

Для расшифровки первых ${\displaystyle M}$  бит открытого текста необходимо определить вектор инициализации:

${\displaystyle C_{init}=c_{-M+1}\dots c_{0}}$ .

Вектор инициализации должен быть отправлен получателю в первую очередь. При этом, если первые первых ${\displaystyle k}$  бит вектора инициализации на приемной стороне отличаются от первых ${\displaystyle k}$  бит передающей стороны, то вероятность того, что весь шифртекст получен корректно, равна ${\displaystyle 2^{-k}}$ .^[1]

Криптографические свойства

Криптографические свойства самосинхронизирующегося потокового шифра следуют из свойств функции шифрования. В рассматриваемой модели криптоаналитик знает память шифрования ${\displaystyle M}$  функции шифрования ${\displaystyle f_{s}}$ , а ключ ${\displaystyle K}$  ему неизвестен. Для обеспечения определённого уровня криптографической стойкости функции ${\displaystyle f_{s}}$ , необходимо подобрать величину памяти шифрования ${\displaystyle M}$  в зависимости от частоты сменяемости ключа ${\displaystyle K}$ . Если на выходе функции криптоаналитик обнаружит две повторяющиеся последовательности шифртекста длинной ${\displaystyle M}$  каждая, то он сможет узнать сумму по модулю 2 соответствующих двух бит открытого текста.

Пусть получена последовательность шифртекста функции шифрования ${\displaystyle f_{s}}$  при неменяющемся определённом ключе ${\displaystyle K}$ :

${\displaystyle [c_{1}c_{2}...c_{M}]c_{M+1}\dots [c_{L+1}c_{L+2}\dots c_{L+M}]c_{L+M+1},L>M+1}$ 

Без ограничения общности можно предположить нулевую задержку (${\displaystyle b=0}$ ).

${\displaystyle c_{M+1}=f_{s}[K](c_{1}c_{2}\dots c_{M})\oplus m_{M+1}}$ 

${\displaystyle c_{L+M+1}=f_{s}[K](c_{L+1}c_{L+2}\dots c_{L+M})\oplus m_{L+M+1}}$ 

При заданном условии ${\displaystyle [c_{1}c_{2}\dots c_{M}]=[c_{L+1}c_{L+2}\dots c_{L+M}]}$ 

${\displaystyle c_{M+1}\oplus c_{L+M+1}=m_{M+1}\oplus m_{L+M+1}}$ 

Определяется минимальное значение памяти шифра ${\displaystyle M}$ , чтобы предотвратить описанную уязвимость. Если рассмотреть поток шифртекста как последовательность случайных чисел, вероятность ${\displaystyle q(N,M)}$  того, что в случайной бинарной последовательности длины ${\displaystyle N}$  все подпоследовательности длины ${\displaystyle M}$  различны, равна:

${\displaystyle q(N,M)=\prod _{i=0}^{N-1}(1-i2^{-M})}$ 

Воспользовавшись разложением Тэйлора ${\displaystyle \ln(1-x)\approx -x}$  для малых ${\displaystyle x}$ , получается:

${\displaystyle \ln q(N,M)=\sum _{i=0}^{N-1}\ln(1-i2^{-M})\approx -2^{-M}\sum _{i=0}^{N-1}i=-N(N-1)2^{-M-1}}$ 

Зададим допустимую вероятность p повторения 2-х подпоследовательностей длины M внутри последовательности длины N. Длина последовательности N задается при определённом ключе K функции шифрования ${\displaystyle f_{s}}$ .

${\displaystyle p<1-q(N,M)\approx \ln q(N,M)}$ 

Отсюда находим, что память шифрования M должна быть выбрана:

${\displaystyle M\geqslant \log _{2}({\frac {N^{2}}{p}})}$ 

Например, для ${\displaystyle p=10^{-9}}$  и ${\displaystyle N=10^{12}}$ , оценка на память шифрования — ${\displaystyle M\geqslant 110}$ . С другой стороны, следует учесть возможность появлений ошибок при передачи данных по каналу связи. Ошибка в одном бите при передаче шифртекста распространяется на следующие M бит при расшифровке. Следовательно, память шифрования M должна быть выбрана как можно меньше. Учитывая приведенные аргументы, для конкретного примера выбрать ${\displaystyle M\in [80,128]}$  кажется разумным для удовлетворения условий безопасности и устойчивости к ошибкам.^[2]

Дифференциальный криптоанализ

Для самосинхронизирующихся шифров может быть успешно применим дифференциальный криптоанализ, дающий ограничения на вид функции шифрования ${\displaystyle f_{s}}$ . Для каждой пары входных векторов ${\displaystyle C_{1}}$  и ${\displaystyle C_{2}}$ , длинной М, отличающиеся на ${\displaystyle a'}$ , функция ${\displaystyle f_{s}}$  возвращает пару зашифрованных бит. Зафиксируем один входной вектор ${\displaystyle C_{1}}$ . Количество возможных отклонений ${\displaystyle a'}$  от этого вектора: ${\displaystyle N=2^{M}-1}$  ${\displaystyle (a\neq [00...0])}$ . Рассмотрим пары ${\displaystyle C_{1}}$  и ${\displaystyle C_{2}=C_{1}\oplus a'}$ . Определим дифференциальную вероятность ${\displaystyle DP_{f_{s}}(a',1)}$  того, что выходные биты равны : ${\displaystyle f_{s}(C_{1})=f_{s}(C_{2})}$ . В дифференциальной криптоаналитеке рассматривают отличие ${\displaystyle DP_{f}(a',1)}$  от ${\displaystyle {\frac {1}{2}}}$ . Если дифференциальную вероятность можно представить в виде:

${\displaystyle DP_{f_{s}}(a',1)={\frac {1}{2}}\pm l^{-1}}$ ,

то число входных пар векторов, необходимых для вычисления разности ${\displaystyle DP_{f_{s}}(a',1)-{\frac {1}{2}}}$  примерно равно ${\displaystyle l^{2}}$ . Отсюда следует, что функция шифрования не должна иметь дифференциальную вероятность ${\displaystyle DP_{f_{s}}(a',1)}$ , отличающихся от ${\displaystyle {\frac {1}{2}}}$  более чем на ${\displaystyle 2^{-{\frac {M}{2}}}}$ :

${\displaystyle l^{-1}=2^{-{\frac {M}{2}}}}$ 

Число необходимых пар:

${\displaystyle l^{2}=2^{M}>N=2^{M}-1}$ 

Таким образом, чтобы узнать разность ${\displaystyle DP_{f_{s}}(a',1)-{\frac {1}{2}}}$ , дающую информацию о ключе, необходимо полностью перебрать все возможные разности a'.^[3]

Сравнение самосинхронизирующихся поточных шифров с аналогами

Сравнение с синхронными поточными шифрами

В синхронных поточных шифрах поток ключей генерируется независимо от шифртекста. Для корректной расшифровки необходимо, чтобы генератор потока ключей был синхронизирован на приемной и передающей сторонах. Как правило, это осуществляется за счет сброса генератора при появлении определённого потока бит шифртекста фиксированной длины — маркеров. При ошибки передачи маркера, генераторы перестанут работать синхронно и дальнейшая расшифровка пройдет некорректно. В то же время, при однократном приеме некорректного бита в случае самосинхронизирующегося шифрования, расшифровка продолжится правильно после M бит. С другой стороны, если в синхронном потоковом шифровании генераторы синхронизированы, то прием одного некорректного бита порождает неправильную расшифровку одного бита, в то время как в самосинхронизирующемся шифровании неправильно будут расшифрованы M бит.

Сравнение с блочным шифром

Самосинхронизирующиеся шифры могут рассматриваться как блочные шифры работающие в однобитном режиме обратной связи. Для шифрования одного бита открытого текста требуется выполнения функции шифрования целого блока, работающая значительно медленнее функции шифрования самосинронизирующегося шифра. Поэтому, самосинхронизирующийся шифр работает гораздо эффективнее чем блочный в заданном режиме. Ещё одной важной особенностью самосинхронизирующихся шифров является то, что каждый бит открытого текста влияет на весь шифртекст. Сравнивая с блочными шифрами, самосинхронизирующиеся шифры дают лучшие показатели при атаке на основе избыточности открытого текста.^[4]

Примечания

1. Matthew Robshaw, Olivier Billet. New Stream Cipher Designs - The eSTREAM Finalists. — Springer, 2008. — С. 210-213. Архивировано 17 декабря 2016 года.
2. Ueli M. Maurer. New Approaches to the Design of Self-Synchronizing Stream Ciphers (англ.) // Advances in Cryptology — EUROCRYPT ’91. — Springer, Berlin, Heidelberg, 1991-04-08. — P. 465–466. — ISBN 3540464166. — doi:10.1007/3-540-46416-6_39. Архивировано 17 ноября 2017 года.
3. Matthew Robshaw, Olivier Billet. New Stream Cipher Designs - The eSTREAM Finalists. — Springer, 2008. — С. 212-213.
4. Ueli M. Maurer. New Approaches to the Design of Self-Synchronizing Stream Ciphers (англ.) // Advances in Cryptology — EUROCRYPT ’91. — Springer, Berlin, Heidelberg, 1991-04-08. — P. 459-460. — ISBN 3540464166. — doi:10.1007/3-540-46416-6_39. Архивировано 17 ноября 2017 года.

Литература

• Matthew Robshaw, Olivier Billet. New Stream Cipher Designs - The eSTREAM Finalists. — Springer. — 1997. — С. 210-216.
• Ueli M. Maurer. New Approaches to the Design of Self-Synchronizing Stream Ciphers // Advances in Cryptology — EUROCRYPT ’91. — Springer, Berlin, Heidelberg, 1991-04-08. — С. 459-466. — ISBN 3540464166.