Скачать презентацию ПРОСТЫЕ МЕТОДЫ ГЕНЕРАЦИИ ПСП Линейный конгруэнтный генератор где Скачать презентацию ПРОСТЫЕ МЕТОДЫ ГЕНЕРАЦИИ ПСП Линейный конгруэнтный генератор где

ПОТОКОВЫЕ ШИФРЫ 2 (Лекция 7 ТЗит).ppt

  • Количество слайдов: 32

ПРОСТЫЕ МЕТОДЫ ГЕНЕРАЦИИ ПСП Линейный конгруэнтный генератор где n Период линейной конгруэнтной последовательности будет ПРОСТЫЕ МЕТОДЫ ГЕНЕРАЦИИ ПСП Линейный конгруэнтный генератор где n Период линейной конгруэнтной последовательности будет максимальным и равен модулю m, если Ш НОД ; Ш число а -1 делится нацело на каждый простой делитель модуля; Ш число а -1 делится на 4, если модуль кратен 4. При этих условиях получаемая последовательность называется линейным генератором максимального периода. Например, дает при «зародыше» 1, 8, 11, 10, 5, 12, 15, 14, 9, 0, 3, 2, 13, 4, 7, 6, 1, 8

n Если известны последовательные члены то криптоанализ линейного конгруэнтного генератора сводится к решению системы n Если известны последовательные члены то криптоанализ линейного конгруэнтного генератора сводится к решению системы Линейная конгруэнтная последовательность не является криптографически безопасной. n

n ПРИМЕР. Найти следующий член линейной конгруэнтной последовательности 4, 2, 6, 5. РЕШЕНИЕ. (1)+(2)-(3) n ПРИМЕР. Найти следующий член линейной конгруэнтной последовательности 4, 2, 6, 5. РЕШЕНИЕ. (1)+(2)-(3) Так как 7 – простое число, то . Тогда .

РЕГИСТРЫ СДВИГА С ЛИНЕЙНОЙ ОБРАТНОЙ СВЯЗЬЮ (LFSR) РЕГИСТРЫ СДВИГА С ЛИНЕЙНОЙ ОБРАТНОЙ СВЯЗЬЮ (LFSR)

LFSR длины 4 с коэффициентами начальное состояние Генерируется последовательность 1011110001001101 LFSR длины 4 с коэффициентами начальное состояние Генерируется последовательность 1011110001001101

Выход – это линейная рекуррентная последовательность п-го порядка над полем GF(2), которые при Выход – это линейная рекуррентная последовательность п-го порядка над полем GF(2), которые при всех удовлетворяют равенству: закон ракурсии

Выход LFSR единственным образом определяется многочленом обратной связи или характеристическим многочленом и начальным состоянием Выход LFSR единственным образом определяется многочленом обратной связи или характеристическим многочленом и начальным состоянием

LFSR Два LFSR одну последовательность 1001001001 Характеристический многочлен наименьшей степени называется минимальным многочленом последовательности LFSR Два LFSR одну последовательность 1001001001 Характеристический многочлен наименьшей степени называется минимальным многочленом последовательности

Последовательности с максимально возможным периодом называют т-последова- тельностями n n n каждая т-последовательность – Последовательности с максимально возможным периодом называют т-последова- тельностями n n n каждая т-последовательность – чисто периодическая; для битовых т-последовательностей с примитивным минимальным многочленом характерна сбалансированность, т. е. появление одинакового числа 0 и 1 на периоде; на каждом периоде т-последовательности любая ненулевая подпоследовательность появится только раз (свойство де- Брюина).

Как пользоваться таблицами прими тивных многочленов ? 40 -битовый LFSR генерирует новый бит, Как пользоваться таблицами прими тивных многочленов ? 40 -битовый LFSR генерирует новый бит, складывая биты 5 ой, 4 ой, 3 ей и 0 ой ячеек. Период последовательности будет максимальным Шнайер, Б. Прикладная крипто-графия. Протоколы, алгоритмы, исходные тексты на языке Си. М. : Триумф, 2002. – 916 с.

«Вихрь Марсенна» Период Т= 219937. n Характеристический многочлен насчитывает более 100 членов n «Вихрь Марсенна» Период Т= 219937. n Характеристический многочлен насчитывает более 100 членов n

АТАКИ НА LFSR n n Атаки при известной структуре LFSR, когда криптоаналитик, перехватив отрезок АТАКИ НА LFSR n n Атаки при известной структуре LFSR, когда криптоаналитик, перехватив отрезок п-битового шифротекста; Атаки на основе выбранного открытого текста длиной 2 п-битов, когда структура LFSR неизвестна. Цель атаки – узнать отводы регистра в законе рекурсии

Атака при неизвестной структуре LFSR n n Начальное заполнение регистра Атака при неизвестной структуре LFSR n n Начальное заполнение регистра

Пример. По последовательности битов 1011101010, созданной 5 -битовым LFSR, найти точки съемки регистра. n Пример. По последовательности битов 1011101010, созданной 5 -битовым LFSR, найти точки съемки регистра. n На основе закона рекурсии и данных битов имеем

n или n или

Какими же статистическими свойствами должна обладать периодическая последовательность, чтобы ее можно было считать псевдослучайной? Какими же статистическими свойствами должна обладать периодическая последовательность, чтобы ее можно было считать псевдослучайной?

ПОСТУЛАТЫ ГОЛОМБА n. Соломон Вольф Голомб (англ. Голомб Solomon Wolf Golomb, родился в 1932 ПОСТУЛАТЫ ГОЛОМБА n. Соломон Вольф Голомб (англ. Голомб Solomon Wolf Golomb, родился в 1932 г. ) – математик, инженер, профессор электротехники в университете Южной Калифорнии. Специализируется на задачах комбинаторного анализа, теории кодирования, обнаружил особенности псевдослучайных последовательностей максимальной длины, раз- работал энтропийное кодирование (кодирование Голомба). Был одним из первых профессоров, кто прошел высший IQ-тест Хофлика, показав уровень IQ в 176 баллов. Если сравнить этот показатель с результатами других ученых, то коэффициент уникальности Голомба составил 1/1000000.

ПОСТУЛАТЫ ГОЛОМБА Это необходимые, но не достаточные условия, позволяющие принять псевдослучайную последовательность за истинно ПОСТУЛАТЫ ГОЛОМБА Это необходимые, но не достаточные условия, позволяющие принять псевдослучайную последовательность за истинно случайную На периоде должны выполняться: І ПОСТУЛАТ: |число « 1» – число « 0» | < 1; ІІ ПОСТУЛАТ: половина отрезков может иметь длину 1, четверть отрезков – длину 2; восьмая часть отрезков – длину 4 и т. д. На периоде должна быть одинаковое количество блоков и лакун Типы отрезков длины s: блок и лакуна ІІІ ПОСТУЛАТ: функция автокорреляции должна быть бути двузначной

ФУНКЦИЯ АВТОКОРРЕЛЯЦИИ ПОСЛЕДОВАТЕЛЬНОСТИ – результат «XORвания» исходной последовательности и ее копии, сдвину-той на величину ФУНКЦИЯ АВТОКОРРЕЛЯЦИИ ПОСЛЕДОВАТЕЛЬНОСТИ – результат «XORвания» исходной последовательности и ее копии, сдвину-той на величину d ; и – число блоков и лакун в последовательности ; – функция автокорреляции последовательности. ВЫХОДНЫЕ ПОСЛЕДОВАТЕЛЬНОСТИ LFSR УДОВЛЕТВОРЯЮТ ПОСТУЛАТАМ ГОЛОМБА

ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Гистограмма распределения элементов последовательности ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Гистограмма распределения элементов последовательности

ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ Распределение на плоскости n Поле размером ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ Распределение на плоскости n Поле размером , где – разрядность чисел последовательности, строят точки с координатами

Выходная последовательност ь генератора Фибоначчи Выходная n n n последовательность генератора Галуа Выходная последовательност ь генератора Фибоначчи Выходная n n n последовательность генератора Галуа

ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n. Графическая проверка серий Цель – ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n. Графическая проверка серий Цель – определение равномерности распределения символов. Анализ частоты появления 0 и 1, и разных s-грамм (без перекрытия). (в последовательности подсчитывают число 0, 1, биграмм (00, 01, 10, 11), триграмм (000, 001, 010, 011, 100, 101, 110, 111) и т. д. ). Тест пройден Тест не пройден

ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n. Графическая проверка монотонности оценки равномерности ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n. Графическая проверка монотонности оценки равномерности распределения символов сравнением длин отрезков невозростания и неубывания членов.

ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n. Автокорреляционная функция для корреляции между ГРАФИЧЕСКИЕ ТЕСТЫ ДЛЯ СТАТИСТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n. Автокорреляционная функция для корреляции между сдвинутыми копиями последовательности. Тест 5 не пройден Тест 5 пройден обнаружения исследуемой

ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n В пакете 16 специальных тестов: ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n В пакете 16 специальных тестов: Частотный тест устанавливает, какая часть битов составляют 0 и 1. n Блоковый тест на частоту проверяет равномерность появления 0 и 1 в подпоследовательностях. n Тест на «дырки» определяет равномерность распределения 0 и 1, анализируя цепочки из одних 0 или 1 ( «дырок» ). n Тест на максимальный размер серии из единиц.

ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Проверка рангов матриц оценивается равномерность ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Проверка рангов матриц оценивается равномерность распределения 0 и 1, для чего из членов последовательности образуются матрицы и ищутся их ранги; n Спектральный тест исследует периодические свойства последовательности по высотам пиков дискретного преобразования Фурьє.

ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Проверка повторения непересекающихся шаблонов. Последовательность ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Проверка повторения непересекающихся шаблонов. Последовательность разрезают на п-граммы, впритык другу, которые затем сравнивают с шаблонами. n n n Проверка повторения пересекающихся шаблонов (похоже на предыдущие тест). Универсальный тест Маурэра определяет возможную степень сжатия последовательности на основе вычисления логарифма расстояния между двумя одинаковыми обнаруженными шаблонами, Если последовательность можно сжать без потери информации, то она – неслучайна. Проверка сжатия с помощью алгоритма Лемпела – Зива выявляет возможность чрезмерного сжатия – это серьезный дефект.

ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n n Проверка линейной сложности Серийный ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n n Проверка линейной сложности Серийный тест анализирует неравномерность распре- m-битовых слов. К последовательности присоединяют m-1 первых ее битов и в полученном ряде считают частоты повторения пересекающихся m -грамм, (m-1)-грамм, (m-2)-грамм и т. д. n Проверка аппроксимированной энтропии проверяет неравномерность распределения m -битовых деления слов, сравнивая частоты перекрытия двух последовательных серий в заданной и истинно случайной последовательностях.

ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Проверка кумулятивных сумм выявляет чрезмерное ПАКЕТ NIST СТАТИСТИЧЕСКИХ ТЕСТОВ ДЛЯ ОЦЕНКИ ПСЕВДОСЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ n Проверка кумулятивных сумм выявляет чрезмерное количество 0 и 1 вначале последовательности. И др. Генератор должен пройти все тесты пакета NIST !!! ПРИМЕР: линейный конгруэнтный генератор RANDU, используемый в 60 -е г. ХХ ст. , закон рекурсии которого В 1977 г. выяснили, что nв пакете прикладных программ IBM 360. генератор не проходит спектральный тест (тройки его последовательных значений ложатся на 15 параллельных плоскостей). – корреляция между членами.

Распределение в пространстве выходной последовательности генератора RANDU Распределение в пространстве выходной последовательности генератора RANDU