1. Цели шифрования
  2. Зашифрование и расшифрование
    1. Криптостойкость шифра
      1. Абсолютно стойкие системы
      2. Достаточно стойкие системы
  3. Методы шифрования
    1. Симметричное шифрование
    2. Асимметричное шифрование
      (с открытым ключом)
  4. Управление ключами
    1. Цели управления ключами
  5. Правовые нормы
  6. Литература
  7. Ссылки
  8. О себе

Криптографическая стойкость — способность криптографического шифра противостоять криптоанализу. То есть анализу направленному на изучение шифра, с целью его дешифрования. С целью изучения криптоустойчивости различных алгоритмов была создана специальная теория, изучающая типы шифров и их ключи, а также их стойкость. Основателем этой теории является Клод Шеннон. Криптостойкость шифра является его важнейшей характеристикой, которая отражает насколько успешно алгоритм решает задачу шифрования.

Любая система шифрования, кроме абсолютно криптостойких, может быть взломана простым перебором всех возможных в данном случае ключей. Но перебирать придется до тех пор, пока не отыщется тот единственный ключ, который и поможет расшифровать шифротекст. Выбор этого единственного ключа основан на способности отличить правильно расшифрованое сообщение. Зачастую, эта особенность является камнем преткновения при подборе ключа, так как, перебирая вручную, криптоаналитику, зачастую, достаточно просто отличить правильно расшифрованный текст, однако ручной перебор очень медленен. Если же, программа выполняет перебор, то это происходит быстрее, однако, ей сложно выделить правильный текст. Невозможность взлома полным перебором абсолютно криптостойкого шифра, так же, основана на способности отличить в расшифрованном сообщении именно то, которое было зашифровано в криптограмме. Перебирая все возможные ключи и применяя их к абсолютно стойкой системе, криптоаналитик получит множество всех возможных сообщений, которые можно было зашифровать(в нем могут содержаться и осмысленные сообщения). Кроме того, процесс полного перебора длительный и трудоемкий. О сложностях метода прямого перебора можно судить исходя из приведенной ниже таблицы.

Оценки среднего времени для аппаратного вскрытия перебором в 1995 году.
Стоимость Длина ключа (бит)
40 56 64 80 112 128
$100 K 2 секунды 35 часов 1 год 70000 лет 1014 лет 1019 лет
$1 M 0,2 секунды 3,5 часа 37 дней 7000 лет 1013 лет 1018 лет
$10 M 0,02 секунды 21 минута 4 дня 700 лет 1012 лет 1017 лет
$100 М 2 миллисекунды 2 минуты 9 часов 70 лет 1011 лет 1016 лет
$1 Г 0,2 миллисекунды 13 секунд 1 час 7 лет 1010 лет 1015 лет
$10 Г 0,02 миллисекунды 1 секунда 5,4 минуты 245 дней 109 лет 1014 лет
$100 Г 2 микросекунды 0,1 секунды 32 секунды 24 дня 108 лет 1013 лет
$1 Т 0,2 микросекунды 0,01 секунды 3 секунды 2,4 дня 107 лет 1012лет
$10 Т 0,02 микросекунды 1 миллисекунда 0,3 секунды 6 часов 106 лет 1011лет

Другой метод дешифровки основывается на анализе перехваченных сообщений. Этот метод имеет большое значение, так как перехват сообщений доступен злоумышленнику, если он обладает специальным оборудованием, а в отличие от достаточно мощного и дорогостоящего оборудования для решения задачи полного перебора, оборудование для перехвата сообщений более доступно. Например, перехват ван Эйка для ЭЛТ монитора осуществим с помощью обычной телевизионной антенны. Кроме того, существуют программы для перехвата сетевого трафика(снифферы), которые доступны и в бесплатных версиях.

При анализе передаваемых сообщений криптоустойчивость шифра оценивается из возможности получения дополнительной информации об исходном сообщении из перехваченного. Возможность получения этой информации является крайне важной характеристикой шифра, ведь эта информация, в конечном итоге, может позволить злоумышленнику дешифровать сообщение. В соответствии с этим, шифры делятся на абсолютно стойкие и достаточно стойкие.

Клод Шеннон впервые оценил количество подобной информации в зашифрованных сообщениях следующим образом

Пусть возможна отправка любого из сообщений m1,m2,…,mn. То есть любого подмножества множества M. Эти сообщения могут быть отправлены с вероятностями p1,p2,…,pn соответственно. Тогда мерой неопределенности сообщения может служить величина информационной энтропии:

  • H(M)=-Σpilog2pi

Пусть отправлено сообщение mk, тогда его шифротекст ck. После перехвата зашифрованного ck эта величина становится условной неопределенностью — условием здесь является перехваченное шифрованное сообщение ck. Необходимая условная энтропия задается следующей формулой:

  • H(M)=-Σp(mi|ck)log2p(mi|ck)

Через p(mi|ck) здесь обозначена вероятность того, что исходное сообщение есть mi при условии, что результат его зашифрования есть ck .

Это позволяет ввести такую характеристику шифрующей функции(алгоритма)E, как количество информации об исходном тексте, которое злоумышленник может извлечь из перехваченного шифротекста. Необходиая характеристика является разностью между обычной и условной информационной неопределенностью:

  • I=H(M)-H(M|ck)

Эта величина всегда неотрицательна. Главным является то, насколько она положительна. Показателем здесь является то, насколько уменьшится неопределенность при получении соответствующего шифротекста, и не станет ли она таковой, что перехватив некоторое количество шифротекстов станет возможным расшифровка исходного сообщения.

    На титульный лист