Документ по криптографии разделён на лекции

1 files changed, 161 insertions, 0 deletions

diff --git a/cryptography/lectures/lecture4.tex b/cryptography/lectures/lecture4.tex
new file mode 100644
index 0000000..16eb0d2
--- /dev/null
+++ b/cryptography/lectures/lecture4.tex
@@ -0,0 +1,161 @@
+% Лекция 4 (26.09.22)
+\subsection{Критерий распознавания открытого текста}
+
+(а) Открытый текст представляет собой реализацию независимых испытаний случайной
+величины, значениями которой являются буквы алфавита \(A = {a_1, a_2, \dots,
+a_n}\), появляющиеся в соответствии с распределением вероятностей \(P(A) =
+(p(a_1), p(a_2), \dots, p(a_n))\).
+
+Требуется определить, является ли случайная последовательность \(c_1 c_2 \dots
+c_l\) букв алфавита \(A\) открытым текстом или нет.
+
+Пусть \(H_0\) --- гипотеза, состоящая в том, что данная последовательность ---
+открытый текст, \(H_1\) --- альтернативная гипотеза.
+
+В простейшем случае при гипотезе \(H_1\) последовательность \(c_1 c_2
+\dots c_l\) можно рассматривать как случайную и равносильную, то есть при
+расшифровании криптограммы с помощью ложного ключа получается "бессмысленная"
+последовательность знаков.
+
+В более общем случае можно считать, что при гипотезе \(H_1\) последовательность
+\(c_1 c_2 \dots c_l\) представляет собой реализацию независимых испытаний
+некоторой случайной величины, значениями которой являются буквы алфавита
+\(A = \{ a_1, \dots, a_n \}\), появляющиеся в соответствии с распределением
+вероятностей \(Q(A) = (q(a_1), \dots, q(a_n))\).
+
+При таких договорённостях можно применить, например, \emph{наиболее мощный
+критерий} различения двух простых гипотез, который даёт \emph{лемма
+Неймана-Пирсона}.
+
+В силу своего вероятностного характера такой критерий может совершать ошибки
+двух родов:
+\begin{enumerate}
+  \item
+    критерий может принять открытый текст за случайный набор знаков. Такая
+    ошибка называется \emph{ошибкой первого рода}, её вероятность равна \(\alpha
+    = p(H_1/H_0)\).
+  \item
+    Критерий может принять случайный набор знаков за открытый текст. Такая
+    ошибка называется \emph{ошибкой второго рода} и её вероятность \(\beta =
+    p(H_0/H_1)\).
+\end{enumerate}
+
+Эти ошибки определяют качество работы критерия. В криптографических
+исследованиях естественно минимизировать вероятность ошибки первого рода, чтобы
+не "пропустить" открытый текст.
+
+Лемма Неймана-Пирсона при заданной вероятности первого рода минимизирует также
+вероятность ошибки второго рода.
+
+(б) Критерии на открытый текст, использующие запретные сочетания знаков,
+например, k-граммы подряд идущих букв, называются \emph{критериями запретных
+k-грамм}.
+
+Отбирается некоторое число \(s\) редких k-грамм, которые объявляются запретными.
+
+Теперь, просматривая последовательно k-грамму за k-граммой анализируемой
+последовательности \(c_1 c_2 \dots c_l\), она объявляется случайной, как только
+в ней встретится одна из запретных k-грамм, и открытым текстом в противном
+случае.
+
+Такие критерии также могут совершить ошибки в принятии решения. В простейших
+случаях их можно рассчитать. Несмотря на свою простоту, критерии запретных
+k-грамм являются весьма эффективными.
+
+\subsection{(1.4) Математические модели шифров}
+
+\subsubsection{(1) Алгебраическая модель шифра}
+
+Введём алгебраическую модель шифра (шифрсистемы), предложенную К. Шенноном.
+
+Пусть \(X, K, Y\) --- конечные множества возможных открытых текстов, ключей и
+криптограмм соответственно; \(E_k : X \to Y\) --- правило зашифрования на ключе
+\(k \in K\).
+
+Множество \(\{ E_k : k \in K \}\) обозначим через \(E\), а множество \(\{ E_k(x)
+: x \in X \}\) --- через \(E_k(X)\).
+
+Пусть \(D_k : E_k(X) \to X\) --- правило расшифрования на ключе \(k \in K\), и
+\(D\) --- множество \(\{ D_k : k \in K \}\).
+
+Если ключ \(k \in K\) представляется в виде \(k = (k_o, k_p)\), где \(k_o\)
+--- ключ зашифрования, а \(k_p\) --- ключ расшифрования (причём \(k_o \neq
+k_p\)), то \(E_k\) понимается как функция \(E_{k_p}\), а \(D_k\) --- как функция
+\(D_{k_p}\).
+
+\emph{Шифром (шифрсистемой)} называется совокупность $$\sum_A = (X, K, Y, E,
+D)$$ введённых множеств, для которых выполняются следующие свойства:
+\begin{enumerate}
+  \item Для любых \(x \in X\) и \(k \in K\) выполняется равенство \(D_k(E_k(x)) = x\);
+  \item \(Y = \cup_{k \in K} E_k(X)\).
+\end{enumerate}
+
+Неформально, шифр --- это совокупность множеств возможных открытых текстов (то,
+что шифруется), возможных ключей (то, с помощью чего шифруется), возможных
+шифртекстов (то, во что шифруется), правил зашифрования и правил расшифрования.
+
+Условие (1) отвечает требованию однозначности расшифрования. Из условия (1)
+следует свойство инъективности функции \(E_k\): если \(x_1, x_2 \in X\), причём
+\(x_1 \neq x_2\), то при любых \(k \in K\) выполняется неравенство \(E_k(x_1)
+\neq E_k(x_2)\).
+
+Условие (2) означает, что любой элемент \(y \in Y\) может быть представлен в
+виде \(E_k(x)\) для подходящих элементов \(x \in X\) и \(k \in K\).
+
+В общем случае утверждение "для любых \(k \in K\) и \(y \in E_k(X)\) выполняется
+равенство \(E_k(D_k(y)) = y\)" является неверным.
+
+Реальный шифр отождествляется с его математической моделью \(\sum_A\), которая
+называется \emph{алгебраической моделью шифра}.
+
+\subsubsection{(2) Вероятностная модель шифра}
+
+Следуя К. Шеннону, введём априорные распределения вероятностей \(P(X)\) и
+\(P(K)\) на множестве \(X\) и \(K\) соответственно.
+
+Для любого \(x \in X\) определена вероятность \(p_X(x) \in P(X)\) и для любого
+\(k \in K\) --- вероятность \(p_K(k) \in P(K)\), причём выполняются равенства
+$$\sum_{x \in X} p_X(x) = 1 \text{ и } \sum_{k \in K} p_K(k) = 1$$
+
+В тех случаях, когда требуется знание распределений \(P(X)\) и \(P(K)\),
+используется вероятностная модель \(\Sigma_B\), состоящая из пяти множеств,
+связанных условиями (1) и (2) определения шифра и двух вероятностных
+распределений:
+
+$$\Sigma_B = (X, K, Y, E, D, P(X), P(K))$$
+
+Вероятностные характеристики шифров используются только в криптоанализе.
+
+В большинстве случаев множества \(X\) и \(Y\) представляют собой объединения
+декартовых степеней некоторых множеств \(A\) и \(B\) соответственно, так что для
+некоторых натуральных \(L\) и \(L_1\): $$X = \cup_{L = 1}^L A^l \text{ и } Y =
+\cup_{L = 1}^{L_1} B^l$$
+
+Множества \(A\) и \(B\) называются соответственно \emph{алфавитом открытого
+текста} и \emph{алфавитом шифрованного текста}.
+
+\subsubsection{(3) Основные требования к шифрам}
+
+Для современны криптографических систем защиты информации сформулированы
+следующие общепринятые требования:
+\begin{enumerate}
+  \item зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
+  \item
+    число операция, необходимых для определения использованного ключа шифрования
+    по фрагменту шифрованного сообщения и соответствующего ему открытого текста,
+    должно быть не меньше общего числа возможных ключей;
+  \item
+    число операция, необходимых для расшифровывания информации путём перебора
+    всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы
+    возможностей современных компьютеров (с учётом возможности использования
+    сетевых вычислений);
+  \item знание алгоритма шифрования не должно влиять на надёжность защиты;
+  \item
+    незначительное изменение ключа (сообщения?) должно приводить к существенному
+    изменению вида зашифрованного сообщения даже при использовании одного и того
+    же ключа;
+  \item структурные элементы алгоритма шифрования должны быть неизменными;
+  \item дополнительные биты \dots{}
+\end{enumerate}
+
+\emph{\emph{ДОПИСАТЬ!!!}}