Mod p

2 mod p.

Для того, чтобы вычислить k₁₂, первый пользователь возводит y₂ в степень x₁. То же делает и второй пользователь. Таким образом, у обоих пользователей оказывается общий ключ k₁₂, который можно использовать для шифрования информации обычными алгоритмами. В отличие от алгоритма RSA, данный алгоритм не позволяет шифровать собственно информацию.

Не зная x₁ и x₂, злоумышленник может попытаться вычислить k₁₂, зная только перехваченные y₁ и y₂. Эквивалентность этой проблемы проблеме вычисления дискретного логарифма есть главный и открытый вопрос в системах с открытым ключом. Простого решения до настоящего времени не найдено. Так, если для прямого преобразования 1000-битных простых чисел требуется 2000 операций, то для обратного преобразования (вычисления логарифма в поле Галуа) - потребуется около 10³⁰ операций.

Как видно, при всей простоте алгоритма Диффи-Хелмана, вторым его недостатком по сравнению с системой RSA является отсутствие гарантированной нижней оценки трудоемкости раскрытия ключа.

Кроме того, хотя описанный алгоритм позволяет обойти проблему скрытой передачи ключа, необходимость аутентификации остается. Без дополнительных средств, один из пользователей не может быть уверен, что он обменялся ключами именно с тем пользователем, который ему нужен. Опасность имитации в этом случае остается.

В ка­че­ст­ве обоб­ще­ния ска­зан­но­го о рас­пре­де­ле­нии клю­чей сле­ду­ет ска­зать сле­дую­щее. За­да­ча управ­ле­ния клю­ча­ми сво­дит­ся к по­ис­ку та­ко­го про­то­ко­ла рас­пре­де­ле­ния клю­чей, ко­то­рый обес­пе­чи­вал бы:

* воз­мож­ность от­ка­за от цен­тра рас­пре­де­ле­ния клю­чей;

* вза­им­ное под­твер­жде­ние под­лин­но­сти уча­ст­ни­ков се­ан­са;

* под­твер­жде­ние дос­то­вер­но­сти се­ан­са ме­ха­низ­мом за­про­са-от­ве­та, ис­поль­зо­ва­ние для это­го про­грамм­ных или ап­па­рат­ных средств;

* ис­поль­зо­ва­ние при об­ме­не клю­ча­ми ми­ни­маль­но­го чис­ла со­об­ще­ний.

Про­бле­мы и пер­спек­ти­вы крип­то­гра­фи­че­ских сис­тем Шиф­ро­ва­ние боль­ших со­об­ще­ний и по­то­ков дан­ных

Эта про­бле­ма поя­ви­лась срав­ни­тель­но не­дав­но с по­яв­ле­ни­ем средств муль­ти­ме­диа и се­тей с вы­со­кой про­пу­ск­ной спо­соб­но­стью, обес­пе­чи­ваю­щих пе­ре­да­чу муль­ти­ме­дий­ных дан­ных.

До сих пор го­во­ри­лось о за­щи­те со­об­ще­ний. При этом под ни­ми под­ра­зу­ме­ва­лась ско­рее некоторая тек­сто­вая или сим­во­ли­че­ская ин­фор­ма­ция. Од­на­ко в со­вре­мен­ных ИС и ин­фор­ма­ци­он­ных сис­те­мах на­чи­на­ют при­ме­нять­ся тех­но­ло­гии, ко­то­рые тре­бу­ют пе­ре­да­чи су­ще­ст­вен­но боль­ших объ­е­мов дан­ных. Сре­ди та­ких тех­но­ло­гий:

* фак­си­миль­ная, ви­део и ре­че­вая связь;

* го­ло­со­вая поч­та;

* сис­те­мы ви­део­кон­фе­рен­ций.

Объ­ем пе­ре­да­вае­мой ин­фор­ма­ции раз­ных ти­пов мож­но пред­ста­вить на ус­лов­ной диа­грам­ме.

Объем информации

Так как пе­ре­да­ча оциф­ро­ван­ной зву­ко­вой, гра­фи­че­ской и ви­деоин­фор­ма­ции во мно­гих слу­ча­ях тре­бу­ет кон­фи­ден­ци­аль­но­сти, то воз­ни­ка­ет про­бле­ма шиф­ро­ва­ния ог­ром­ных ин­фор­ма­ци­он­ных мас­си­вов. Для ин­те­рак­тив­ных сис­тем ти­па те­ле­кон­фе­рен­ций, ве­де­ния ау­дио или ви­деосвя­зи, та­кое шиф­ро­ва­ние долж­но осу­ще­ст­в­лять­ся в ре­аль­ном мас­шта­бе вре­ме­ни и по воз­мож­но­сти быть “про­зрач­ным” для поль­зо­ва­те­лей.

Это немыс­ли­мо без ис­поль­зо­ва­ния со­вре­мен­ных тех­но­ло­гий шиф­ро­ва­ния.

Наи­бо­лее рас­про­стра­нен­ным яв­ля­ет­ся по­то­ко­вое шиф­ро­ва­ние дан­ных. Ес­ли в опи­сан­ных ра­нее крип­то­си­сте­мах пред­по­ла­га­лось, что на вхо­де име­ет­ся не­ко­то­рое ко­неч­ное со­об­ще­ние, к ко­то­ро­му и при­ме­ня­ет­ся крип­то­гра­фи­че­ский ал­го­ритм, то в сис­те­мах с по­то­ко­вым шиф­ро­ва­ни­ем прин­цип дру­гой.

Сис­те­ма за­щи­ты не ждет, ко­гда за­кон­чит­ся пе­ре­да­вае­мое со­об­ще­ние, а сра­зу же осу­ще­ст­в­ля­ет его шиф­ро­ва­ние и пе­ре­да­чу.

 

Потоковое шифрование данных

Наи­бо­лее оче­вид­ным яв­ля­ет­ся по­би­то­вое сло­же­ние вхо­дя­щей по­сле­до­ва­тель­но­сти (со­об­ще­ния) с не­ко­то­рым бес­ко­неч­ным или пе­рио­ди­че­ским клю­чом, по­лу­чае­мым на­при­мер от ге­не­ра­то­ра ПСП[18]. Примером стандарта потокового шифрования является RC4, разработанный Ривестом. Однако, технические подробности этого алгоритма держатся в секрете[19].

Дру­гим, ино­гда бо­лее эф­фек­тив­ным ме­то­дом по­то­ко­во­го шиф­ро­ва­ния яв­ля­ет­ся шиф­ро­ва­ние бло­ка­ми. Т.е. на­ка­п­ли­ва­ет­ся фик­си­ро­ван­ный объ­ем ин­фор­ма­ции (блок), а за­тем пре­об­ра­зо­ван­ный не­ко­то­рым крип­то­гра­фи­че­ским ме­то­дом пе­ре­да­ет­ся в ка­нал свя­зи.

Ис­поль­зо­ва­ние “блу­ж­даю­щих клю­чей”

Как бы­ло не­од­но­крат­но от­ме­че­но, про­бле­ма рас­пре­де­ле­ния клю­чей яв­ля­ет­ся наи­бо­лее ост­рой в круп­ных ин­фор­ма­ци­он­ных сис­те­мах. От­час­ти эта про­бле­ма ре­ша­ет­ся (а точ­нее сни­ма­ет­ся) за счет ис­поль­зо­ва­ния от­кры­тых клю­чей. Но наи­бо­лее на­деж­ные крип­то­си­сте­мы с от­кры­тым клю­чом ти­па RSA дос­та­точ­но тру­до­ем­ки, а для шиф­ро­ва­ния муль­ти­ме­дий­ных дан­ных и во­все не при­год­ны.

Ори­ги­наль­ные ре­ше­ния про­бле­мы “ блу­ж­даю­щих клю­чей” ак­тив­но раз­ра­ба­ты­ва­ют­ся спе­циа­ли­ста­ми. Эти сис­те­мы яв­ля­ют­ся не­ко­то­рым ком­про­мис­сом ме­ж­ду сис­те­ма­ми с от­кры­ты­ми клю­ча­ми и обыч­ны­ми ал­го­рит­ма­ми, для ко­то­рых тре­бу­ет­ся на­ли­чие од­но­го и то­го же клю­ча у от­пра­ви­те­ля и по­лу­ча­те­ля.

Идея ме­то­да дос­та­точ­но про­ста.

По­сле то­го, как ключ ис­поль­зо­ван в од­ном се­ан­се по не­ко­то­ро­му пра­ви­лу он сме­ня­ет­ся дру­гим. Это пра­ви­ло долж­но быть из­вест­но и от­пра­ви­те­лю, и по­лу­ча­те­лю. Зная пра­ви­ло, по­сле по­лу­че­ния оче­ред­но­го со­об­ще­ния по­лу­ча­тель то­же ме­ня­ет ключ. Ес­ли пра­ви­ло сме­ны клю­чей ак­ку­рат­но со­блю­да­ет­ся и от­пра­ви­те­лем и по­лу­ча­те­лем, то в ка­ж­дый мо­мент вре­ме­ни они име­ют оди­на­ко­вый ключ. По­сто­ян­ная сме­на клю­ча за­труд­ня­ет рас­кры­тие ин­фор­ма­ции зло­умыш­лен­ни­ком.

Ос­нов­ная за­да­ча в реа­ли­за­ции это­го ме­то­да - вы­бор эф­фек­тив­но­го пра­ви­ла сме­ны клю­чей. Наи­бо­лее про­стой путь - ге­не­ра­ция слу­чай­но­го спи­ска клю­чей. Сме­на клю­чей осу­ще­ст­в­ля­ет­ся в по­ряд­ке спи­ска. Од­на­ко, оче­вид­но спи­сок при­дет­ся ка­ким-то об­ра­зом пе­ре­да­вать.

Дру­гой ва­ри­ант - ис­поль­зо­ва­ние ма­те­ма­ти­че­ских ал­го­рит­мов, ос­но­ван­ных на так на­зы­вае­мых пе­ре­би­раю­щих по­сле­до­ва­тель­но­стях. На мно­же­ст­ве клю­чей пу­тем од­ной и той же опе­ра­ции над эле­мен­том по­лу­ча­ет­ся дру­гой эле­мент. По­сле­до­ва­тель­ность этих опе­ра­ций по­зво­ля­ет пе­ре­хо­дить от од­но­го эле­мен­та к дру­го­му, по­ка не бу­дет пе­ре­бра­но все мно­же­ст­во.

Наи­бо­лее дос­туп­ным яв­ля­ет­ся ис­поль­зо­ва­ние по­лей Га­луа. За счет воз­ве­де­ния в сте­пень по­ро­ж­даю­ще­го эле­мен­та мож­но по­сле­до­ва­тель­но пе­ре­хо­дить от од­но­го чис­ла к дру­го­му. Эти чис­ла при­ни­ма­ют­ся в ка­че­ст­ве клю­чей.

Клю­че­вой ин­фор­ма­ци­ей в дан­ном слу­чае яв­ля­ет­ся ис­ход­ный эле­мент, ко­то­рый пе­ред на­ча­лом свя­зи дол­жен быть из­вес­тен и от­пра­ви­те­лю и по­лу­ча­те­лю.

На­деж­ность та­ких ме­то­дов долж­на быть обес­пе­че­на с уче­том из­вест­нос­ти зло­умыш­лен­ни­ку ис­поль­зуе­мо­го пра­ви­ла сме­ны клю­чей.

Ин­те­рес­ной и пер­спек­тив­ной за­да­чей яв­ля­ет­ся реа­ли­за­ция ме­то­да “блу­ж­даю­щих клю­чей” не для двух або­нен­тов, а для дос­та­точ­но боль­шой се­ти, ко­гда со­об­ще­ния пересылаются ме­ж­ду все­ми уча­ст­ни­ка­ми.

Шиф­ро­ва­ние, ко­ди­ро­ва­ние и сжа­тие ин­фор­ма­ции

Эти три ви­да пре­об­ра­зо­ва­ния ин­фор­ма­ции ис­поль­зу­ют­ся в раз­ных це­лях, что мож­но пред­ста­вить в таб­ли­це.

Вид преобразования	Цель	Изменение объема информации после преобразования.
Шифрование	·    пе­ре­да­ча кон­фи­ден­ци­аль­ной ин­фор­ма­ции; ·    обес­пе­че­ние ау­тен­ти­фи­ка­ции и за­щи­ты от пред­на­ме­рен­ных из­ме­не­ний;	обыч­но не из­ме­ня­ет­ся, уве­ли­чи­ва­ет­ся лишь в циф­ро­вых сиг­на­ту­рах и под­пи­сях
По­ме­хо­устой­чи­вое ко­ди­ро­ва­ние	·    за­щи­та от ис­ка­же­ния по­ме­ха­ми в ка­на­лах свя­зи	уве­ли­чи­ва­ет­ся
Сжа­тие (ком­прес­сия)	·    со­кра­ще­ние объ­е­ма передаваемых или хра­ни­мых дан­ных	умень­ша­ет­ся

Как видно эти три вида преобразования информации отчасти дополняют друг друга и их комплексное использование поможет эф­фек­тив­но ис­поль­зо­вать ка­на­лы свя­зи для на­деж­ной за­щи­ты пре­да­вае­мой ин­фор­ма­ции.

Осо­бен­но ин­те­рес­ным пред­став­ля­ет­ся воз­мож­ность объ­е­ди­не­ния ме­то­дов ко­ди­ро­ва­ния и шиф­ро­ва­ния. Мож­но ут­вер­ждать, что по су­ти ко­ди­ро­ва­ние - это эле­мен­тар­ное шиф­ро­ва­ние, а шиф­ро­ва­ние - это эле­мен­тар­ное по­ме­хо­устой­чи­вое ко­ди­ро­ва­ние.

Другая возможность - комбинирование алгоритмов шифрования и сжатия информации. Задача сжатия состоит в том, чтобы преобразовать сообщение в пределах одного и того же алфавита таким образом, чтобы его длина (количество букв алфавита) стала меньше, но при этом сообщение можно было восстановить без использования какой-то дополнительной информации. Наиболее популярные алгоритмы сжатия - RLE, коды Хаффмана, алгоритм Лемпеля-Зива. Для сжатия графической и видеоинформации используются алгоритмы JPEG и MPEG.

Главное достоинство алгоритмов сжатия с точки зрения криптографии состоит в том, что они изменяют статистику входного текста в сторону ее выравнивания[20]. Так, в обычном тексте, сжатом с помощью эффективного алгоритма все символы имеют одинаковые частотные характеристики и даже использование простых системы шифрования сделают текст недоступным для криптоанализа.

Раз­ра­бот­ка и реа­ли­за­ция та­ких уни­вер­саль­ных ме­то­дов - пер­спек­ти­ва со­вре­мен­ных информационных сис­тем[21].

Реализация криптографических методов

Про­бле­ма реа­ли­за­ции ме­то­дов за­щи­ты ин­фор­ма­ции име­ет два ас­пек­та:

* раз­ра­бот­ку средств, реа­ли­зую­щих крип­то­гра­фи­че­ские ал­го­рит­мы,

* ме­то­ди­ку использования этих средств.

Ка­ж­дый из рас­смот­рен­ных крип­то­гра­фи­че­ских ме­то­дов могут быть реализованы ли­бо про­грамм­ным, ли­бо ап­па­рат­ным спо­со­бом.

Воз­мож­ность про­грамм­ной реа­ли­за­ции обу­слав­ли­ва­ет­ся тем, что все ме­то­ды крип­то­гра­фи­че­ско­го преобразования фор­маль­ны и мо­гут быть пред­став­ле­ны в виде ко­неч­ной алгоритмической про­це­ду­ры.

При ап­па­рат­ной реа­ли­за­ции все про­це­ду­ры шиф­ро­ва­ния и де­шиф­ро­ва­ния вы­пол­ня­ют­ся спе­ци­аль­ны­ми элек­трон­ны­ми схе­ма­ми. Наи­боль­шее распространение по­лу­чи­ли мо­ду­ли, реа­ли­зую­щие ком­би­ни­ро­ван­ные ме­то­ды.

 При этом не­пре­мен­ным ком­по­нен­тов всех ап­па­рат­но реализуемых ме­то­дов яв­ля­ет­ся гам­ми­ро­ва­ние. Это объ­яс­ня­ет­ся тем, что ме­тод гам­ми­ро­ва­ния удач­но со­че­та­ет в се­бе вы­со­кую криптостойкость и про­сто­ту реа­ли­за­ции.

Наи­бо­лее час­то в ка­че­ст­ве ге­не­ра­то­ра ис­поль­зу­ет­ся ши­ро­ко известный ре­гистр сдви­га с об­рат­ны­ми свя­зя­ми (ли­ней­ны­ми или не­ли­ней­ны­ми). Ми­ни­маль­ный пе­ри­од по­ро­ж­дае­мой по­сле­до­ва­тель­но­сти ра­вен 2^N-1 бит. Для по­вы­ше­ния ка­че­ст­ва ге­не­ри­руе­мой по­сле­до­ва­тель­но­сти мож­но пре­ду­смот­реть спе­ци­аль­ный блок управ­ле­ния ра­бо­той ре­ги­ст­ра сдви­га. Та­кое управ­ле­ние мо­жет за­клю­чать­ся, на­при­мер, в том, что по­сле шифрования оп­ре­де­лен­но­го объ­е­ма ин­фор­ма­ции со­дер­жи­мое ре­ги­ст­ра сдви­га цик­ли­че­ски из­ме­ня­ет­ся.

Другая воз­мож­ность улуч­ше­ния ка­че­ст­ва гам­ми­ро­ва­ния за­клю­ча­ет­ся в использовании не­ли­ней­ных об­рат­ных свя­зей. При этом улуч­ше­ние дос­ти­га­ет­ся не за счет уве­ли­че­ния дли­ны гам­мы, а за счет ус­лож­не­ния закона ее фор­ми­ро­ва­ния, что су­ще­ст­вен­но ус­лож­ня­ет крип­тоа­на­лиз.

Боль­шин­ст­во за­ру­беж­ных се­рий­ных средств шиф­ро­ва­ния ос­но­ва­но на аме­ри­кан­ском стан­дар­те DES. Оте­че­ст­вен­ные же раз­ра­бот­ки, та­кие как, на­при­мер, уст­рой­ст­во КРИП­ТОН, ис­поль­зу­ет оте­че­ст­вен­ный стан­дарт шиф­ро­ва­ния.

Ос­нов­ным дос­то­ин­ст­вом про­грамм­ных ме­то­дов реа­ли­за­ции за­щи­ты яв­ля­ет­ся их гиб­кость, т.е. воз­мож­ность бы­ст­ро­го из­ме­не­ния ал­го­рит­мов шиф­ро­ва­ния.

Ос­нов­ным же не­дос­тат­ком про­грамм­ной реа­ли­за­ции яв­ля­ет­ся су­ще­ст­вен­но мень­шее бы­ст­ро­дей­ст­вие по срав­не­нию с ап­па­рат­ны­ми сред­ст­ва­ми (при­мер­но в 10 раз).

В по­след­нее вре­мя ста­ли по­яв­лять­ся ком­би­ни­ро­ван­ные сред­ст­ва шифрования, так на­зы­вае­мые про­грамм­но-ап­па­рат­ные сред­ст­ва. В этом слу­чае в ком­пь­ю­те­ре ис­поль­зу­ет­ся свое­об­раз­ный “крип­то­гра­фи­че­ский со­про­цес­сор”[22] - вы­чис­ли­тель­ное уст­рой­ст­во, ори­ен­ти­ро­ван­ное на вы­пол­не­ние крип­то­гра­фи­че­ских опе­ра­ций (сло­же­ние по мо­ду­лю, сдвиг и т.д.). Ме­няя про­грамм­ное обес­пе­че­ния для та­ко­го уст­рой­ст­ва, мож­но вы­би­рать тот или иной ме­тод шиф­ро­ва­ния. Та­кой ме­тод объ­е­ди­ня­ет в се­бе дос­то­ин­ст­ва про­грамм­ных и ап­па­рат­ных ме­то­дов.

Та­ким об­ра­зом, вы­бор ти­па реа­ли­за­ции крип­то­за­щи­ты для кон­крет­ной ИС в су­ще­ст­вен­ной ме­ре за­ви­сит от ее осо­бен­но­стей и дол­жен опи­рать­ся на все­сто­рон­ний ана­лиз тре­бо­ва­ний, предъ­яв­ляе­мых к сис­те­ме за­щи­ты ин­фор­ма­ции.

За­клю­че­ние

В книге сде­лан об­зор наи­бо­лее рас­про­стра­нен­ных в на­стоя­щее вре­мя ме­то­дов крип­то­гра­фи­че­ской за­щи­ты ин­фор­ма­ции.

 Выбор для кон­крет­ных ИС дол­жен быть ос­но­ван на глу­бо­ком ана­ли­зе сла­бых и силь­ных сто­рон тех или иных ме­то­дов за­щи­ты. Обос­но­ван­ный вы­бор той или иной сис­те­мы за­щи­ты в об­щем-то дол­жен опи­рать­ся на ка­кие-то кри­те­рии эф­фек­тив­но­сти. К со­жа­ле­нию, до сих пор не раз­ра­бо­та­ны под­хо­дя­щие ме­то­ди­ки оцен­ки эф­фек­тив­но­сти крип­то­гра­фи­че­ских сис­тем.

Наи­бо­лее про­стой кри­те­рий та­кой эф­фек­тив­но­сти - ве­ро­ят­ность рас­кры­тия клю­ча или мощ­ность мно­же­ст­ва клю­чей (М). По сути это то же самое, что и криптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей.

Од­на­ко, этот кри­те­рий не учи­ты­ва­ет других важных требований к криптосистемам:

* невоз­мож­ность рас­кры­тия или ос­мыс­лен­ной мо­ди­фи­ка­ции ин­фор­ма­ции на ос­но­ве ана­ли­за ее струк­ту­ры,

* со­вер­шен­ст­во ис­поль­зуе­мых про­то­ко­лов за­щи­ты,

* минимальный объ­ем ис­поль­зуе­мой клю­че­вой ин­фор­ма­ции,

* минимальная слож­ность реа­ли­за­ции (в ко­ли­че­ст­ве ма­шин­ных опе­ра­ций), ее стои­мость,

* высокая опе­ра­тив­ность.

Же­ла­тель­но ко­неч­но ис­поль­зо­ва­ние не­ко­то­рых ин­те­граль­ных по­ка­за­те­лей, учи­ты­ваю­щих ука­зан­ные фак­то­ры.

Для уче­та стои­мо­сти, тру­до­ем­ко­сти и объ­е­ма клю­че­вой ин­фор­ма­ции мож­но ис­поль­зо­вать удель­ные по­ка­за­те­ли - от­но­ше­ние ука­зан­ных па­ра­мет­ров к мощ­но­сти мно­же­ст­ва клю­чей шиф­ра.

Час­то бо­лее эф­фек­тив­ным при вы­бо­ре и оцен­ке крип­то­гра­фи­че­ской сис­те­мы яв­ля­ет­ся ис­поль­зо­ва­ние экс­перт­ных оце­нок и ими­та­ци­он­ное мо­де­ли­ро­ва­ние.

 ëþ­áîì ñëó­÷àå âû­áðàí­íûé êîì­ïëåêñ êðèï­òî­ãðà­ôè­÷å­ñêèõ ìå­òî­äîâ äîë­æåí ñî­÷å­òàòü êàê óäîá­ñò­âî, ãèá­êîñòü è îïå­ðà­òèâ­íîñòü èñ­ïîëü­çî­âà­íèÿ, òàê è íà­äåæ­íóþ çà­ùè­òó îò çëî­óìûø­ëåí­íè­êîâ öèð­êó­ëè­ðóþ­ùåé â ÈÑ èí­ôîð­ìà­öèè.

[1] IMHO

[2] Здесь и далее m - объем используемого алфавита.

[3] n-граммой называется последовательность из n символов алфавита.

[4] К вопросу о том, существует ил не существует абсолютно надежная криптосистема.

[5] Материал предоставлен Ю. Г. Писаревым

[6] ГОСТ 28147-89 закрыт грифом ДСП поэтому дальнейшее изложение сделано по изданию Спесивцев А.В. и др. «Защита информации в персональных ЭВМ», М., Радио и связь, 1992.

[7] В настоящее время он возглавляет компанию RSA Data Security

[8] Например, в нашумевшей программе PGP

[9] В браузерах Интернет от Microsoft и Netscape

[10] В теории чисел показано, что вероятность того, что число порядка n будет простым составляет 1/ln n

[11] Данные оценки сделаны с учетом развития вычислительной техники вплоть до 2004 года.

[12] Однако общего мнения по поводу предпочтительности того или иного метода нет.

[13] В РФ принятые стандарты цифровой подписи Р38 и Р39, также как и ГОСТ 28147-89 имеют гриф ДСП

[14] При этом разделяют слабую и сильную однозначность. При слабой однозначности для заданного значения T практически невозможно отыскать другой текст Т’, для которого H(k, T) = H(k, T’). При сильной однозначности для любого текста T невозможно найти другой подходящий текст, имеющий то же значение хэш-функции.

[15] Факт теории вероятностей: в группе из 23 человек с вероятностью больше 0.5 два и более человека родились в одно и то же число.

[16] В отличие от хэш-функции - этот класс преобразований предполагает вычисление для аргументов фиксированной длины также фиксированных по длине значений.

[17] Государственная программа США, предполагающая централизованное хранение всех ключей, используемых организациями а частными лицами.

[18] Отчасти это метод похож на гаммирование и информацию о способах генерации ПСП можно почерпнуть из соответствующей главы. Но важным отличием потокового шифрования является то, что шифрованию подвергаются не символы сообщения, а отдельные биты.

[19] Данный алгоритм является собственностью RSA Data Security, и на его экспорт правительством США наложены серьезные ограничения.

[20] Принципиально важно с точки зрения криптостойкости, чтобы сначала осуществлялось сжатие информации а потом шифрование, но не наоборот.

[21] Так, в криптографическом пакете PGP перед шифрованием информации происходит ее сжатие по алгоритму, лицензированному у PKWARE.

[22] А то и просто специализированный шифровальный микропроцессор как, например, Clipper/