Аддитивные потоковые шифры

Введение
В 40-х годах прошлого века К. Шеннон, разрабатывая теорию криптографической стойкости, ввел понятие совершенного шифра как шифра, обеспечивающего наилучшую защиту. Определение совершенного шифра потребовало математической формализации задачи, отвечающей интуитивному представлению о том, что лучший шифр должен создавать для оппонента наиболее неблагоприятные условия для криптоанализа. Имеется в виду, что сведения об открытом тексте, которые криптоаналитик мог бы получить на основе изучения перехваченной криптограммы, не должны отличаться от общеизвестной априорной информации об открытом тексте. К. Шеннон характеризовал шифры, являющиеся совершенными по отношению к криптоатаке на основе одного шифртекста. Таковыми оказались, например, шифры гаммирования со случайной равновероятной гаммой, к числу которых относится шифр Вернама, известный также под названием одноразовый шифр-блокнот.
Стремление защитить свои интересы было присуще человеку с давних пор. Еще в древности он использовал различные варианты кодирования информации, изобретал устройства, которые бы способствовали сохранению в тайне секретной информации и при этом обеспечивали легкость ее шифрования - расшифрования.
Можно сказать, что толчком для развития теории информации в ее современном понимании стала работа Огюста Кергоффса «Военная криптография», опубликованная в 1883 г. Позднее Клод Шеннон в своей работе «Теория связи в секретных системах», опубликованной в 1949 г., сформулировал основные постулаты теоретической криптографии. Именно он определил, какими свойствами должны обладать надежные шифры, ввел в криптографию понятия перемешивания и рассеивания и предложил формировать криптографически стойкие системы на основе простых математических преобразований.
Основные понятия аддитивных потоковых шифров
Большинство средств защиты информации базируется на использовании криптографических шифров и процедур шифрования- расшифрования. В соответствии со стандартом ГОСТ 28147-89 под шифром понимают совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, задаваемых ключом и алгоритмом криптографического преобразования.
Ключ-это конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор только одного варианта из всех возможных для данного алгоритма.
Основной характеристикой шифра является криптостойкость, которая определяет его стойкость к раскрытию методами криптоанализа. Обычно эта характеристика определяется интервалом времени, необходимым для раскрытия шифра.
К шифрам, используемым для криптографической защиты информации, предъявляется ряд требований:
достаточная криптостойкость (надежность закрытия данных);
простота процедур шифрования и расшифрования;
незначительная избыточность информации за счет шифрования;
нечувствительность к небольшим ошибкам шифрования и др.
В той или иной мере этим требованиям отвечают:
шифры перестановок;
шифры замены;
шифры гаммирования;
шифры, основанные на аналитических преобразованиях шифруемых данных.
Шифрование перестановкой заключается в том. что символы шифруемого текста переставляются по определенному правилу в пределах некоторого блока этого текста. При достаточной длине блока, в пределах которого осуществляется перестановка, и сложном неповторяющемся порядке перестановки можно достигнуть приемлемой для простых практических приложений стойкости шифра.
Шифрование заменой (подстановкой) заключается в том. что символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее обусловленной схемой замены.
Шифрование гаммированием заключается в том, что символы шифруемого текста складываются с символами некоторой случайной последовательности, именуемой гаммой шифра. Стойкость шифрования определяется в основном длиной (периодом) неповторяющейся части гаммы шифра. Поскольку с помощью ЭВМ можно генерировать практически бесконечную гамму шифра, то данный способ является одним из основных для шифрования информации в автоматизированных системах.
Шифрование аналитическим преобразованием заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу (формуле).
Например, можно использовать правило умножения вектора на матрицу, причем умножаемая матрица является ключом шифрования (поэтому ее размер и содержание должны храниться в секрете), а символами умножаемого вектора последовательно служат символы шифруемого текста. Другим примером может служить использование так называемых однонаправленных функций для построения криптосистем с открытым ключом.
Процессы шифрования и расшифрования осуществляются в рамках некоторой криптосистемы. Характерной особенностью симметричной криптосистемы является применение одного и того же секретного ключа как при шифровании, так и при расшифровании сообщений.
Потоковые шифры представляют собой разновидность гаммирования и преобразуют открытый текст в шифрованный последовательно по 1 биту. Генератор ключевой последовательности, иногда называемый генератором бегущего ключа, выдает последовательность бит k1, k2, ..., ki, ... Эта ключевая последовательность складывается по модулю 2 с последовательностью бит исходного текста p1, p2, ..., pi, ... для получения шифрованного текста:
На приемной стороне шифрованный текст складывается по модулю 2 с идентичной ключевой последовательностью для получения исходного текста:
Стойкость системы целиком зависит от внутренней структуры генератора ключевой последовательности. Если генератор выдает последовательность с небольшим периодом, то стойкость системы будет невелика. Напротив, если генератор будет выдавать бесконечную последовательность истинно случайных бит, то получится одноразовый блокнот с идеальной стойкостью.
Потоковые шифры наиболее пригодны для шифрования непрерывных потоков данных, например, в сетях передачи данных.
Структуру генератора ключевой последовательности можно представить в виде конечного автомата с памятью, состоящего из трех блоков: блока памяти, хранящего информацию о состоянии генератора, выходной функции, генерирующей бит ключевой последовательности в зависимости от состояния, и функции переходов, задающей новое состояние, в которое перейдет генератор на следующем шаге

. Необходимым и достаточным условием теоретической недешифруемости является:
Т.е. вероятность возникновения криптограммы не зависит от сформированного отправителем сообщения. Произвольное сообщение обязано равновероятно отображаться повинно в произвольную криптограмму.
Сравнительный анализ блоковых и потоковых шифров
Поточные (потоковые) шифры, в отличие от блочных, осуществляют поэлементное шифрование потока данных без задержки в криптосистеме. В общем случае каждый символ открытого текста шифруется, передается и дешифруется независимо от других символов. Иными словами, шифрующее преобразование элемента открытого текста меняется от одного элемента к другому, в то время как для блочных шифров шифрующее преобразование каждого блока остается неизменным. В некоторых случаях символ открытого текста может шифроваться с учетом ограниченного числа предшествующих ему символов.
Важным достоинством поточного шифрования является высокая скорость преобразования данных, соизмеримая со скоростью поступления открытого текста, что обеспечивает шифрование и расшифрование передаваемой информации больших объемов практически в реальном масштабе времени. Поточные шифры, как правило, более производительны, чем блочные и используются для шифрования речи, сетевого трафика и иных данных с заранее неизвестной длиной. При достаточно частой смене ключа для выработки гаммы, поточные шифры обеспечивают достаточную стойкость.
 Системы поточного шифрования обладают высокой криптостойкостью, так как вскрытие такой системы предполагает точное определение структуры генератора ключевой последовательности (ГКП) и его начальной фазы. Перечисленные положительные качества поточного шифрования в совокупности с простой и низкой по стоимости технической реализацией поставили его в ряд наиболее перспективных систем шифрования.
Поточные (потоковые) шифры основываются на использовании ключевой последовательности с заданными свойствами случайности и двоичном (цифровом) представлении информационных сообщений. Шифрование и расшифрование осуществляется, как правило, с использованием операции сложения по модулю 2 элементов открытого текста и псевдослучайной ключевой последовательности. Последние состоят из сгенерированных определенным образом последовательностей символов с заданными свойствами непредсказуемости (случайности) появления очередного символа.
Современные симметричные алгоритмы шифрования разделяются на блочные и поточные. Для блочных алгоритмов шифрование информации производится небольшими порциями – блоками; как правило, размер блока кратен 32 битам и составляет 64, 128, 192 или 256 битов. К современным алгоритмам симметричного шифрования относятся такие шифры, как DES, AES , RC5, ГОСТ 28147- 89, и многие другие. Подробное описание многих современных симметричных алгоритмов шифрования можно найти в монографии авторов настоящей статьи «Современные алгоритмы шифрования и методы их анализа». Кроме того, в 2009 г. вышла книга С. Панасенко «Алгоритмы шифрования», представляющая собой довольно подробный справочник по симметричным системам шифрования, в котором описано более 50 алгоритмов шифрования. Поточные шифры обычно шифруют информацию в режиме реального времени, как правило, побитно (реже побайтно) и используют для шифрования специально вырабатываемую псевдослучайную последовательность. К поточным шифрам, например, относится широко известный шифр А5/1, который используется для шифрования связи GSM. В настоящее время имеется достаточно большое число различных поточных шифров. Только в книге «Поточные шифры», вышедшей в 2003 г., описано более 20 шифров.
В настоящий момент выделяют два основных способа построения симметричных алгоритмов шифрования: схему Фейстеля и сеть на основе подстановок и перестановок (SPN – Substitution-Permutation Network). По схеме Фейстеля построены алгоритмы DES, RC5, ГОСТ 28147-89 и др. Самым ярким представителем использования сети SPN является стандарт AES. Ключевой задачей защиты информации является создание стойких алгоритмов шифрования. Любой конструируемый алгоритм подвергается тщательному анализу с целью выявления его слабых мест и возможности взлома. Алгоритм является относительно стойким до тех пор, пока не будут обнаружены методы и пути его анализа, позволяющие получить секретный ключ шифрования значительно быстрее, чем это можно сделать с использованием метода «грубой силы» или «полного перебора». Рассмотрим основные известные на сегодняшний день методы анализа симметричных систем.
Примечательная особенность современного общества – переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы. Сегодня ценной становится та информация, обладание которой позволит ее владельцу получить определенную выгоду: материальную, политическую и т. д. Ущерб от утраты ценной информации в коммерческих и государственных структурах может нанести многомиллионный вред своим владельцам, поэтому от того, насколько эффективна ее защита, зависит успешность бизнеса. Кроме того, это показатель конкурентоспособности фирмы. Шифрование позволяет надежно скрыть данные от посторонних лиц, даже если их удастся перехватить. Однако шифрование – трудоемкий процесс, который может замедлить процессы передачи конфиденциальной информации, а также он требователен к вычислительным ресурсам системы. Для минимизации потерь производительности в настоящее время используют поточные шифры. Характерная особенность поточного шифрования – высокая производительность, благодаря чему оно применяется при шифровании информации в каналах связи. Актуальность применения методов поточного шифрования в коммерческих приложениях и открытых системах обусловлена, в первую очередь, существенным ростом объемов трафика передачи данных в сетях связи. Лишь поточные шифры обеспечивают приемлемую скорость шифрования на канальном, сетевом и транспортных уровнях, что обеспечивает их применимость в стандартах GSM, GPRS, UMTS и т