Имитостойкость шифров. Имитация и подмена сообщения.

Помимо пассивных действий со стороны противника возможны активные действия, состоящие в попытках подмены или имитации сообщения.

Если передается шифрованное сообщение y Î Y (полученное из открытого текста x Î X на ключе k Î K), то противник может заменить его на y', отличный от y. При этом он будет рассчитывать на то, что на действующем ключе k новая криптограмма при расшифровании будет воспринята как некий осмысленный открытый текст x', отличный от x, чем больше вероятность этого события, тем успешнее будет попытка имитации.

Имитостойкость шифра определим как его способность противостоять попыткам противника по имитации или подмене. Естественной мерой имитостойкости шифра служит вероятность соответствующего события:

D_k(y') Î X - для попытки имитации сообщения;

(D_k(y') Î X) Ù (y' ¹ y) – для попытки подмены сообщения.

В соответствии с этим введем следующие обозначения:

которые назовем соответственно вероятностью имитации и вероятностью подменыю Полагая, что противник выберет ту попытку, которая с большей вероятностью приводит к успеху, вводят также вероятность навязывания формулой

Для шифров с равновероятными ключами можно получить общие оценки введенных вероятностей.

Утверждение 1. Для шифра S_B с равновероятными ключами имеет место достижимая оценка Для эндоморфного шифра с равновероятной гаммой p_им = 1.

Это неравенство поясняет широко используемый для имитозащиты способ введения избыточности в передаваемое сообщение, например, дополнительных "добавок" к передаваемому сообщению типа аутентификаторов или имитовставок.

Утверждение 2. Для шифра S_B с равновероятными ключами имеет место достижимая оценка

.

Определим совершенную имитостойкость (теоретически лучшую защиту от имитации или подмены), достижимую при данной величине |Y| множества допустимых криптограмм и при произвольном распределении P(K) на множестве ключей. Для этого вводится понятие граница Симмонса.

Обозначим через I(Y, K) взаимную информацию между Y и K, то есть величину, определяемую формулой I(Y, K) = H(Y) - H(Y / K).

Утверждение 3. Имеет место достижимая оценка

Равенство, определяемое как совершенная имитостойкость, достигается при одновременном выполнении двух условий:

1. Вероятность p(y) того, что y окажется допустимой криптограммой не зависит от y.

2. Для каждой криптограммы y Î Y вероятность p(y / k) одинакова при всех k, для которых D_k(y) Î X.

Следует отметить, что даже при совершенной имитостойкости вероятность навязывания мала лишь при большой величине I(Y, K), то есть в том случае, когда криптограмма дает значительную информацию о ключе. Информация, которую дает Y относительно K есть мера того, в какой степени ключ используется для обеспечения имитостойкости.