1 / 42

Математика и криптография

Математика и криптография. Защита информации. Криптография. Математика. Что такое криптография?. А) Наука о способах преобразования информации с целью ее защиты от посторонних.

eavan
Download Presentation

Математика и криптография

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Математика и криптография

  2. Защита информации Криптография Математика

  3. Что такое криптография? А) Наука о способах преобразования информации с целью ее защиты от посторонних. Б) Область научных и инженерно-технических исследований и практической деятельности, которая занимается разработкой, анализом и обоснованием стойкости криптографических средств защиты информации от угроз со стороны противника. Основные задачи криптографии – обеспечение секретности, целостности, аутентификации,невозможности отказа,неотслеживаемости

  4. Классические шифры Шифр простой замены. A={a1,…,aN} – алфавит открытого текста,B={b1,…,bN} – алфавит шифртекста. Ключ– функция (подстановка) : A  B, SN Обратное преобразование –1. Число ключей = N! Сохраняются частоты букв и структура текста: А.Конан-Дойль, Э.По Шифр Цезаря: сдвиг по алфавиту на 3 буквы: (a)=d,(b)=e,(c)=f,(d)=g,(e)=h,…

  5. Классические шифры Шифр Виженера (XVI век) Ключ – лозунгk0k1…kL–1в алфавите A={a1,…,aN} = ZN. Открытый текст M={m1m2…}, Шифртекст C = {c1c2…}: ct = mt + kt mod L, t =1,2,… Обратное преобразование - вычитание Вернам (1926): лозунг бесконечной длины

  6. Классические шифры Сложение с ключом по модулю –простая замена В шифрах Виженера и Вернама выбором этих замен (подстановок)  управляет лозунг. Дисковый шифратор – устройство, которое способом, зависящим от ключа, вырабатывает последовательность наборов подстановок (t1, t2,…, tk), t =1,2,… Текст M={m1,m2,…} шифруется произведениями t = tk tk–1…t1 : ct = t mt,t = 1,2,… Обратное преобразование – с помощью t–1 Пример: Энигма

  7. Задача анализа Известны: шифртекст, конструкция шифратора и, возможно, открытый текст. Сколько потребуется времени для того, чтобы найти ключ? Шифр простой замены на небольшом алфавите вскрывается быстро. Шифр типа Энигмы вскрыть трудно, если подстановки t выбираются нерегулярно и равновероятно. Эти свойства должны обеспечиваться конструкцией шифратора.

  8. Шифр Теоретическая схема Атаки Неизвестные свойства Теперь Практическая реализация Атаки Атаки В будущем

  9. Современные Математические методы Вычислительные алгоритмы Технические возможности Будущие Будущая Надежность конкретного метода защиты информации Современная

  10. Этапы развития криптографии 1) До II мировой войны: классические шифры 2) От II мировой войны до 70-х годов: интенсивная радиопереписка. Электронные шифраторы. Шеннон – основатель криптографии как науки 3) От 70-х годов: резкое увеличение спроса на защиту информации. Электронные сети связи. Криптография используется вне государственного сектора. Открытые конференции и публикации. Массовое привлечение профессиональных математиков

  11. CRYPTO: 1981 – … EUROCRYPT: 1982 – … ASIACRYPT: 1990 – … Fast Software Encryption: 1994 – … Selected Areas in Cryptography: 1994 – … Public Key Cryptography: 1998 – … INDOCRYPT: 2000 – … Journal of Cryptology Designs, Codes and Cryptology Internet………. Труды по дискретной математике 1997 – … МАБИТ: 2001 – ...

  12. Защищен-ный канал

  13. Теорема Шеннона о совершенном шифре P{μ = m} = Pот(m), P{θ = k} = PK(k), P{μ = m, ξ = x} = ∑k K: Tk(m)=xPот(m)PK(k), P{ξ = x} = ∑m ZотP{μ = m, ξ = x}, P{μ = m|ξ = x} = P{μ = m,ξ = x}/P{ξ = x}. Шифр совершенный, если для всех mZот и xZшт P{μ = m|ξ = x} = P{μ = m}. Теорема. а) Если шифр совершенный, то |K|≥|Zот|. б) При |K| = |Zот|существует совершенный шифр.

  14. Пример совершенного по Шеннону шифра Пусть Zот = K = {0,1,…,N–1}, PК(θ) = 1/N, θ K, ξ =Tθ(m) = m + θ (mod N). Тогда P{μ = m, ξ =x} = Pот(m)PК(x–m) =1/N Pот(m), P{ξ = x} = ∑m1/NPот(m) = 1/Nи поэтому P{μ = m|ξ = x} = Pот(m), т.е. шифр совершенный. Если A = {0,1,…,N–1}– алфавит, M={m1,m2,…,mL} – текст, θ1,θ2,...,θL – независимые случайные величины, равномерно распределенные на A, то ξ1,ξ2,...,ξL, где ξj = mj + θj (mod N), j = 1,…,L, – реализация совершенного шифра. Ключ {θ1,θ2,...,θL} имеет ту же длину, что текст M.

  15. Математические модели и реальность (Ω,F,P): Ω – множество элементарных событий F – σ-алгебра измеримых подмножеств (событий) P – вероятностная мера на F Случайная величина – измеримая функция ξ:ΩR Утверждения описывают свойства мер событий. а) Конкретный набор чисел – не объект теории вероятностей. Свойства набора чисел и набора функций не могут полностью совпадать. б) С вероятностной точки зрения все реализации набора независимых величин, равномерно распределенных на A = {0,…,N–1},равноправны.

  16. Псевдослучайные числа Датчик псевдослучайных чисел: устройство, преобразующее короткое начальное значение (ключ) в последовательность большой длины. Применения: статистическое моделирование, метод Монте-Карло, криптография Желательные свойства датчика: а) большая длина периода, б) неотличимость отрезков псевдослучайных чисел от отрезков реализаций независимых случайных величин, имеющих равномерное распределение.

  17. Псевдослучайные числа – 2 Примеры. а) Линейный конгруэнтный датчик xn+1 = axn + b (mod N); yn = xn/N [0,1). б) Линейная рекуррентная последовательностьнад конечным полемF(например, над ZN, GF(2m)) xn+k = a0xn+a1xn+1+…+ak–1xn+k–1. Характеристический многочлен f(u) = uk – ak–1uk–1 –...– a1u – a0 F [u]. в) Регистр сдвига с переносом yn = xn mod 2, где xn+1 ≡ 2xn (mod N), n = 0,1,... {xn} – знаки 2-адического числа M/N

  18. Псевдослучайные числа – 3 Теоретико-числовые датчики г) xn+1=a(xn)–1+bGF(pr), p– простое,yn=xnp–r[0,1], xn=(xn,1,xn,2,…,xn,r ), zn=xn,1p–1+xn,2p–2+…+xn,r p–r[0,1] д)xn+1  (xn)e (mod pr ), p – простое, НОД(e,(pr ))=1 Рассеяние(discrepancy) последовательностей: {xn[0,1]}  {Xn=(xdn+1,xdn+2,…,xdn+n)[0,1]d}, M(N;b1,…,bd) = |{n[1,…,N]: Xn[0,b1]… [0,bd]}|, DN=max{|1/N M(N;b1,…,bd) – b1…bd|: 0<b1,…,bd<1}. Niederreiter, Shparlinskii

  19. Псевдослучайные числа - 4 Условия максимальности периода а) xn+1 = axn + b (mod N) имеет период N   (b,N)=1, p|N  p|a–1, 4|N  4|a–1. б) xn+k = a0xn+a1xn+1+…+ak–1xn+k–1mod pимеет период pk–1  многочленf(u)Zp[u] примитивен min{d: ud–1 делится на f(u)} = pk–1  f(u) порождает группу поля GF(pk)*. Условия примитивности многочлена = ? в) Регистр сдвига с переносом имеет период N–1, если N – простое и 2 – первообразный корень по модулю N.

  20. Псевдослучайные числа - 5 Необходимые статистические и другие свойства а) Исследование условий, при которых свойства псевдослучайных последовательностей могут заметно отличаться от свойств «настоящих» случайных последовательностей б) Отсев «плохих» наборов параметров датчиков с помощью стандартных и специальных статистических критериев (наборы тестов Д.Кнута, NIST, Diehard, Testu0-1 и др.) в) Исследование возможности восстановления начального состояния датчика по частично наблюдаемым выходным значениям

  21. Псевдослучайные числа – 6 Нетривиальное свойство G.Marsaglia Random numbers fall mainly in the planes. – Proc.Nat.Acad.Sci.USA, 1968 xn+1axn (mod N)  xn+k  akxn (mod N). Если существуют такие целые числа c0,…,ck, что c0+c1a+… +ck–1ak–1+ckak 0 (mod N), то c0xn+c1xn+1+… +ck–1xn+k–1+ckxn+k 0 (mod N), т.е. векторы (xn,xn+1,…,xn+k)  {0,1,…,N–1}k+1 Rk+1лежат на |c0|+|c1|+… +|ck–1|+|ck| гиперплоскостях c0xn+c1xn+1+… +ck–1xn+k–1+ckxn+k = mN, m =1,2,… Как правило, от xnпереходят к yn=g(xn,xn+1,…,xn+r)

  22. Формализации понятия случайности Мизес, Черч, Колмогоров, Мартин-Лёф,... A – конечный алфавит, A* – множество всех конечных слов над A, f: A*  A* – вычислимое отображение. Слово yA*–описание слова xA*, если f(y)=x. СложностьLf(x) слова x относительно f – минимальная длина описанияx. Отображение f:A*A*не хужеg: A*A*, еслисуществует такое C=Cf,g<,что Lf(x)<Lg(x)+C для любого xA* Теорема (Колмогоров). Существует оптимальное отображение z (которое не хуже всех других). Определение. Последовательность {xn} над Aхаотична, если supn{n – Lz(x1,…,xn)} < .

  23. Формализации понятия случайности – 2 Криптографический подход к псевдослучайности Датчик псевдослучайных чисел с качеством S(n) – семейство {Fn } конечных автоматов. Автомат Fn по случайному наборуXn={x1,…,xn }{0,1}nстроит набор Yn={y1,…,yk(n)}  {0,1}n. Zn={ζ1,…,ζk(n)} – независимые случайные величины, P{ζm=0}= P{ζm=1}=1/2, m=1,2,…, и Wn: {0,1}k(n)  {0,1} –любая статистика. Если Tn – сложность вычисления Wn и |P{Wn(Zn)=1} – P{Wn(Yn)=1}| = n, то Tn /n > S(n), где S(n) – заданная функция.

  24. Формальная модель датчика Датчик псевдослучайных чисел – конечный автономный автоматF = (S,Y,f,g): S – множество состояний, Y – выходной алфавит, f : S S– функция переходов, g : S  S – функция выхода, sn+1 = f(sn), yn = g(sn), n = 0,1,… Выходные последовательности конечных автоматов можно назвать детерминированными. Они всегда периодичны  знаки =3,1415926... – не детерминированная последовательность! Число функций f : S S равно |S||S|. Как правило, функция порождает период порядка |S|1/2. g  gK – модель поточного шифратора

  25. Однонаправленные функции Семейство функций fn: XnYn– однонаправленное (one-way), если для любогоxXn сложность вычисления fn(x) с ростом n растет медленно, а минимальная по yYn сложность решения уравнения fn(x)=y растет быстро. Гипотеза: fp(x)=x(mod p) и f(p,q)=pq– однонаправ-ленные функции (задачи дискретного логарифми-рования и факторизации вычислительно сложны). Теорема. Если существует однонаправленная функция, то с ее помощью можно построить хороший датчик псевдослучайных чисел.

  26. Развитие шифра простой замены Текст – двоичная последовательность – разбивается на блоки длины n (n= 64, 128,…); блоки – буквы алфавита, состоящего из 2n букв. Устройство, реализующее (зависящие от ключа θ) подстановки fθ на таком алфавите, называется блочным шифратором. Сложность решения систем уравнений {fθ(mk) = ck} относительно θдолжна быть высокой, т.е. f должна быть близка по свойствам к однонаправленной функции. Обоснованием – нижние оценки сложности, но их либо нет, либо они «теоретические».

  27. Блочный шифратор AES (с 2002 г.) Блок=128 бит (16 байтов по 8 бит) A=||aik||i,k=1,…,4. Проводится 10 циклов преобразования по 4 этапа а) aik (aik)–1в поле GF(28), к полученной матрице применяется аффинное преобразование; б) элементы i-й строки сдвигаются на i позиций вправо, i = 1,2,3,4; в) (a1k,a2k,a3k,a4k)T  a4kx3+a3kx2+a2kx+a1k  GF(28)[x] умножается на 03x3+01x2+01x+02 по модулю x4+1 и образует новый k-й столбец; г) матрица складывается с матрицей, которая зависит от ключа из 128 бит и от номера цикла.

  28. Криптография с открытым ключом Противник M M B e(PA) d(SA) A =e(PA,M) SA PA K d(SA,e(PA,M)) = M = e(PA,d(SA,M)) а) Функции e и d просто вычисляются б) Решение уравнения e(P,M) = c относительно M и нахождение S по P – вычислительно трудные задачи в) Пары (P,S) строить легко

  29. Криптография с открытым ключом - 2 Применения: обмен ключами, цифровая подпись, аутентификация и др. RSA (Rivest, Shamir, Adleman).Построение: p, q – простые большие секретные числа, n=pq; (n)=(p–1)(q–1)– функция Эйлера, d – большое целое число, НОД(d, (n))=1, ed1 (mod (n)). Ключи:PA = (n,e), SA = d, e(P,M) = Me (mod n), d(S,x) = xd (mod n) Med  Mk(n)+1  M (mod n) Обоснование: сложность задачи факторизации

  30. Криптография с открытым ключом - 3 Схема El-Gamal.Построение: p – большое простое число,  - первообразный корень по модулю p. Ключи: SA = x  {2,…,p–2}, PA = y = x (mod p). Шифрование сообщения M: выбрать случайно большое число r{2,…,p–2}, вычислить kyr(mod p) M  (C1,C2) = (r (mod p), kM (mod p)). Расшифрование: k  yr  (x)r  (r)x  (C1)x (mod p), M  C2k–1 (mod p). Обоснование: сложность задачи дискретного лога-рифмирования – решения сравнения x  y (mod p)

  31. Криптография с открытым ключом – 4 Сложность факторизации: простой алгоритм – O(n1/2), современный асимптотически наилучший – O(exp(C(ln n)1/3 (ln ln n)2/3) Алгоритмы с такими же оценками построены для задачи дискретного логарифмирования.

  32. Криптография Математика Методы: алгебры, теории чисел, теории вероятностей, теории сложности алгоритмов Разделы: конечные алгебраические структуры (группы, поля, кольца), вычислительная теория чисел, вычислительная алгебра, дискретные вероятностно-статистические задачи, логика (в том числе сложность алгоритмов)

  33. Математика на конференциях по криптографии Алгебра (Конечные группы, поля, эллиптические кривые) Булевы функции и отображения конечных пространств Сложность алгоритмов Алгоритмическая теория чисел(дискретные логарифмы, факторизация) Псевдослучайные числа Труды по дискретной математике Линейные рекуррентные последовательности и обобщения Вероятностные задачи (системы случайных уравнений, распределения на конечных группах,конечные вероятностные автоматы, случайные размещения, вероятностная комбинаторика, свойства случайных последовательностей,перестановок, многочленов), Математическая статистика (полиномиальные испытания, цепи Маркова, статистики типа2)

  34. Из ТДМ: Группы перестановок А.Ю.Зубов (ТДМ-2, 1998).ПустьSN– группа перестановок на {0,1,…,N–1}, g = (0,1,…,N–1) – циклическая перестановка, h = (0,1)SN – транспозиция, D – диаметргруппыSNотносительно порождающей системы {g,h}. Тогда D  [(N–1)/2] ([N/2] + N – 1) + 2N – 1, D  3N2/4 – 2N, Nчетно, D  3[N/2]2 – N + 3, Nнечетно.

  35. Из ТДМ: классические шифры ПустьA– конечный алфавит, An– множество всех слов длины nнад алфавитомA. В 1956 году А.А.Марковдоказал, что все взаимно однозначные отображения AnAn, не распространяющие ошибок типа замены букв,являются суперпозицией шифров простой замены и перестановки. М.М.Глухов (ТДМ-4, 2001)обобщил эту теорему на отображения, не размножающие ошибки из более широкого класса: замен, удалений и вставок.

  36. Из ТДМ: линейные рекуррентные последовательности А.С.Кузьмин, В.Л.Куракин, А.А.Нечаев (ТДМ-1,...,5)изучали свойствалинейных и полилинейныхрекуррентных последовательностей над квазифробенисовыми модулями и кольцами Галуа. В частности, рассматривались: – условия максимальности периода, – ранги координатных последовательностей, – распределения элементов циклов, – представления последовательностей.

  37. Из ТДМ: теория чисел М.И.Анохин (ТДМ-3, 2000)показал, что если вероятностный алгоритм A решает задачу дискретного логарифмирования для множества N модулей с вероятностьюp , то существуетвероятностный алгоритмB, который находит некоторые делители чисел изNс вероятностьюk, 0 < k < 1. ЕслиAимеет полиномиальную сложность, тоBтоже имеет полиномиальную сложность.

  38. Из ТДМ: теория чисел В.Е.Тараканов (ТДМ-3,4, 2000 – 2001)рассматривалэллиптические кривыеy2=x3+Ax+Bнад полемZp, p > 3, 4A3+27B20. Для отображения (x) = x3+Ax+Bнайдены числа элементов сk = 0, 1, 2, 3 прообразами,описаны множества элементов группы эллиптической кривой, имеющих порядки 3, 4. Найдено условие, необходимое и достаточное для того, чтобы по-рядок точки эллиптической кривой был равен 2.

  39. Из ТДМ: вероятностные автоматы С.Ю.Мельников (ТДМ-7,2004)показал, что для конечного неавтономного автомата множество возможных совместных распределений слов из заданного множества во входных и выходных периодических последовательностях образует выпуклый многогранник. В.А.Иванов (ТДМ-2,3)получил формулы для вероятности изменения символа на выходе конечного неавтономного автоматав результате искажения символа входной последовательности.

  40. Из ТДМ: теория вероятностей Г.И.Ивченко, Ю.И.Медведев (ТДМ-2,...,8) применили методы теории разделимых статистик к задачам случайных размещений частиц, случайным многочленам, случайным перестановкам, обобщенным урнам Пойа. Б.А.Севастьянов (ТДМ-3, 2000)нашел предельные распределения перманентов случайных mn-матриц над конечным полем GF(p).

  41. Из ТДМ: теория вероятностей В.Г.Михайлов, А.М.Шойтов (ТДМ-3,7,8).Пусть 1,…,n– последовательностьнезависимых одинаково распределенных случайных величин. Доказаны предельные теоремы для числа таких пар (i,j), чтоs-цепочки (i+1,i+2,…,i+s) и (j,…,j+s) «похожи», например, различаются только перестановкой элементов. А.М.Зубков (ТДМ-5,2002)предложил эффективный метод точного вычисления распределений сумм зависимых случайных величин, основанный на использовании цепей Маркова.

  42. Из ТДМ: математическая статистика Цикл работ М.И.Тихомировой и В.П.Чистякова (ТДМ-1,...,8)посвящен исследованиям статистических критериев (обобщениям критерия Пирсона) для проверки статистических гипотез о структуре дискретных случайных последовательностей; критерии основаны на частотах цепочек, образованных элементами последовательности.

More Related