Методы криптографической защиты информации

Глава 9

ИНФОРМАЦИОННО-КРИПТОГРАФИЧЕСКИЕ

ТЕХНОЛОГИИ

 

Необходимым условием эффективности электронного документооборота в правовых автоматизированных информационных системах (АИС), в том числе в ГАС РФ «Правосудие», является обеспечение требуемого уровня конфиденциальности и секретности циркулирующей привилегированной информации. В противном случае возможны раскрытие, модификация (с целью дезинформации), случайное или преднамеренное разрушение, а также несанкционированное использование информации, которое может привести к тяжелым последствиям (катастрофическому отказу АИС, принятию деструктивных или необоснованных организационно-правовых решений, нарушению принципа законности и др.).

Все принципиально возможные нарушения конфиденциальности информации можно отнести к трём категориям, таким как незаконная выдача информации, незаконная модификация информации, незаконный отказ в доступе.

Проблема обеспечения конфиденциальности информации в АИС заключается в контроле полномочий субъектов и объектов АИС (пользователей, программно-технических средств и ресурсов АИС), контроле операций по выборке информационных массивов (ИМ), т.е. массивов данных и машинных программ, и посылке данных на хранение, в установлении правил взаимодействий и разграничении доступа.

Существующие информационно-криптографические технологии защиты привилегированной информации от несанкционированного доступа (НСД) и использования (НСИ), применяемые в юридической деятельности, базируются на целесообразном комплексировании специальных формализованных методов, алгоритмов и процедур преобразования (шифрования и кодирования) привилегированной информации, обеспечивающих скрытие её смыслового содержания.

Принципы и показатели эффективности криптографической

Защиты информации

Можно условно выделить три основных исторических периода применения криптографических методов для защиты содержательной привилегированной информации:

прикладная тривиальная криптография (50 г. до н. э. – 50-е гг. XX в.);

симметричная криптография с закрытым (секретным) ключом (50-е гг. XX в. – 70-е гг. XX в.);

асимметричная криптография с открытыми (публичными) ключами (70-е гг. XX в. – н/вр.).

Начало первого периода связано с применением так называемого «шифра Цезаря[1]», суть которого состояла в том, что в зашифрованных сообщениях императора каждая буква X латинского алфавита (26 букв и пробел) заменялась на третью букву справа по формуле шифра (см. табл. 9.1):

Y = (X + 3)mod27,

где mod27 – операция нелинейного (циклического) вычитания по модулю 27 (чтобы буквы в зашифрованном сообщении тоже соответствовали латинскому алфавиту).

 

Таблица 9.1

Латинская алфавитно-цифровая матрица

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

Q

R

S

T

U

V

W

X

Y

Z

­­_

Пример. Для передачи условного сообщения с текстом: ”Game is over” в уме выполняются следующие операции побуквенного сложения и вычитания по mod27 (см. таб. 9.2):

Таблица 9.2

Шифрование сообщения по методу Цезаря

G

A

M

E

_

I

S

_

O

V

E

R

7+3

1+3

13+3

5+3

27+3mod27

9+3

19+3

27+3mod 27

15+3

22+3

5+3

18+3

J

D

P

H

C

L

V

C

R

Y

H

U

В результате получается зашифрованное сообщение, содержащее текст: ”Jdphclvcryhu”,которое расшифровывается в обратном порядке.

В настоящее время криптографическая защита привилегированной информации на основе её шифрования и кодирования исследуется по следующим направлениям [3]:

выбор рациональных (надёжных) систем и методов шифрования;

обоснование путей реализации систем шифрования;

разработка правил использования криптографических методов в процессе функционирования эргасистем;

оценка эффективности криптографической защиты.

Методы защитных преобразований при передаче ИМ (данных) используются уже давно, поэтому требования к ним сформировались практически, основные из них:

· применяемый метод должен быть надёжным (применяемый шифр достаточно «стойким»), т.е. попытка раскрыть исходный ИМ, имея только преобразованный ИМ (ПИМ) должна быть невыполнимой;

· объём ключа не должен затруднять его запоминание и пересылку, т.е. должен быть небольшим;

· алгоритм преобразования ИМ и ключ, используемые для зашифрования (закодирования) и расшифрования (раскодирования), не должны быть очень сложными: затраты на защитные преобразования должны быть приемлемы при заданном уровне конфиденциальности ИМ;

· ошибки в шифровании не должны вызывать потерю информации. Из-за появления ошибок передачи ПИМ по каналам связи не должна исключаться возможность его надёжной расшифровки на приёмном конце;

· длина ПИМ не должна превышать длину исходного ИМ, что обусловлено трудоёмкостью передачи ПИМ по каналам связи;

· необходимые временные и стоимостные ресурсы на шифрование и дешифрование информации определяются требуемым уровнем конфиденциальности информации.

В той или иной степени этим требованиям отвечают некоторые виды криптоалгоритмов:

· перестановки (транспозиционные);

· замены (транскрипционные), в том числе аналитических преобразований;

· гаммирования (аддитивные).

Эти криптоалгоритмы составляют основу методического обеспечения криптографической защиты информации. При этом методы перестановки и замены (подстановки) обычно характеризуются короткой длиной ключа, и их надёжность определяется сложностью алгоритмов преобразования. Для аддитивных методов характерны простые алгоритмы преобразования, а их надёжность основана на увеличении длины ключа.

Стойкость криптоалгоритма (определяемая как величина обратная показателю возможностей его вскрытия статистическим анализом ПИМ) у простых методов преобразования (простая перестановка, простая замена и др.) низка и уже при незначительном объёме ПИМ криптоалгоритм можно вскрыть статистическим путём. Сложные методы преобразования (например, гаммирование при «бесконечной» длине ключа-гаммы) являются достаточно стойкими относительно вскрытия их статистическими методами. Однако, при наличии дополнительной преобразованной информации (например, вариантов одного и того же ИМ в различные моменты времени) и сложные методы преобразования не могут обеспечить в практическом плане абсолютной защиты информации.

Стойкость криптоалгоритмов в общем случае связана с практической вычислительной сложностью их раскрытия и должна по правилу Керкхоффа[2] [5] определяться только секретностью ключа (т.е. сам алгоритм преобразования может быть известен). В качестве выражения для стойкости часто используется среднее количество работы (в единицах времени), необходимой для нахождения ключа на основе n знаков ПИМ при использовании наилучшего из известных методов анализа данного криптоалгоритма.

Можно также использовать уровень стойкости E, определяемый как характеристика усложнения (упрощения) обратных преобразований ПИМ по отношению к прямым или к так называемому порогу U производительности современных ЭВМ, равному приблизительно 10⁸ оп/с, для некоторого временного интервала Т:

E = 10 lg(L/U T) дБ , (9.1)

где L – количество элементарных арифметических операций обратных преобразований, реализующих наилучший известный метод криптоанализа.

В качестве прагматических показателей эффективности криптографической защиты информации на практике используются ожидаемое безопасное время (ОБВ) T_о и вероятность P_о определения пароля-стринга по его отображениям.

Под ОБВ понимается полупроизведение числа возможных паролей и времени, требуемого для того, чтобы опробовать каждый пароль из последовательности запросов:

T_о = R^wt₁/2 = (R^w/2)[n/V + (t_о + t_з )/f + t_п], (9.2)

где R – размер (число символов) алфавита A, из которого составляется пароль; t₁ – время одной попытки получить доступ (опробования одного пароля); t_о – время отключения ЭВМ при вводе неверного пароля; t_з – время (дополнительное) искусственной задержки отключения ЭВМ; t_п – время печати сообщения об ошибке; n = w + r – значность передаваемого сообщения (включая w символов пароля и r служебных символов) при попытке получить доступ; V – скорость передачи (телеграфирования, если A = <0, 1>) в линии связи; f – число разрешённых попыток.

Вероятность P_w того, что пароль может быть раскрыт посторонним лицом за время T (в месяцах), в течение которого непрерывно предпринимаются попытки открытия пароля с помощью ЭВМ, имеет асимптотический характер (поскольку после неудачной попытки опробованный вариант пароля вычеркивается из списка возможных) и представляется в виде:

P_w {t < T} ³ N_T /R^w, (9.3)

где N_T – число попыток за время T (месяцев); R^w – число возможных паролей.

Преобразуем правую часть (9.3) при t₁ = min:

N_T /R^w = (T´30´24´60´60 / R^wt₁) = 2,592´10⁶ TV /R^w(w+r). (9.4)

Из (9.3) и (9.4) получим модифицированную формулу Дж. Андерсона[3]:

2,592´10⁶ TV /(w+r)P_w £ R^w. (9.5)

В выражении (9.5) наибольшее влияние (превышающее один порядок) на вероятность P_w раскрытия пароля оказывает величина w. В случае, если {T, V, n = w+r, R} = const, то различная длина w пароля будет давать различную вероятность P_w правильного его отгадывания, поэтому w выбирают с учётом (9.5) при заданной вероятности P_w = P^о (обычно P^о = [0,01;...; 0,000001]) следующим образом:

w ³ [ lg(TV/n) + lg 2,592 + 6 – lg(P^о)]/lgR

или

w ³ [ lg(TV/n) + 6,44 – lg(P^о)]/lgR. (9.6)

Например, процедура ввода оператором в ЭВМ запроса длиной n = 10 смв (символов) включает ввод имени (r символов) и пароля (w символов) со скоростью V = 1 смв/с. Алфавит A, из которого составляются пароли, содержит 32 буквы русского кириллического алфавита (без й) и пробел, т.е. R = 33.

После ввода неверного пароля ЭВМ отключается, процедура отключения занимает время t_о = 3 с. Повторный ввод пароля осуществляется после того, когда будет напечатано сообщение об ошибке, время печати t_п = 4 с. После трёх попыток (f = 3) введения неправильных (ошибочных) паролей происходит отключение ЭВМ от оператора.

Необходимо выбрать рациональную длину w пароля-стринга так, чтобы вероятность P_w его непрерывного отгадывания в течение одного (T = 1) месяца была не больше 0,01. И требуется оценить степень конфиденциальности информационных массивов (ИМ), содержащихся во внутримашинной информационной базе ЭВМ.

В данном случае R = 33, P^о £ 10^–2, поэтому длину w пароля можно определить из модифицированного выражения (9.6):

w ³ 0,66 lg(TV/n) + 5,54.

Для T = 1 мес, V = 1 смв/с, n = 10 смв имеем:

w ³ (– 0,66 + 5,54) или w ³ 4,88.

Отсюда рациональная длина пароля-стринга w* = 5 смв.

Тогда ОБВ будет равно:

T = R^wt₁/2 = (R^w/2)(n/V + t_п + t_о/f) = (33⁵/2)(10/1 + 4 + 3/3) » 2,9´10⁸ c »

» 10 лет.

Если, кроме того, после каждой неудачной попытки автоматически предусматривается пятнадцатисекундная задержка (t_з = 15 c), то T_о возрастает в 1,3 раза (t_о/f = (3 + 15)/3 = 6).

С целью обеспечения защиты информации и самого пароля (при вводе в ЭВМ) увеличивают R, w, t_з и вводят блокировку терминала после нескольких (обычно f = 2 или 3) неудачных попыток доступа.

Необходимо также обеспечивать безопасность паролей при хранении и распределении. Как правило, в памяти ЭВМ хранятся эталонные пароли, полученные по алгоритмам «необратимых» (плохообратимых) преобразований [3] из исходных паролей абонентов. В данных алгоритмах можно использовать, в частности, полиномиальное «необратимое» представление на основе применения семейства полиномов :

Y(C, X) = (Xⁿ + C₁X^{n – 1} + ... + C_{n – 1}X + C_n)mod R, (9.7)

где X – исходный пароль в явной форме; C , i = 1,…,n – любые произвольные целые числа (выбираются разработчиками криптоалгоритмов, операторами, пользователями и др.); R – сравнительно большая величина (например, примерно 2⁶⁴); mod – оператор вычитания по правилу модуля (R), обеспечивающий необратимость отображения; Y – эталонный (преобразованный) пароль.

После успешной аутентификации субъекта необходимо также установить его полномочия по отношению к элементам данных (файлу, записи, полю и др.). При этом анализируются права субъекта и терминала на доступ, требуемые действия, сами элементы данных и их значения, порядок использования элементов данных, состояние базы данных и знаний АИС, регламент (время) их использования и др. Для обеспечения процедуры установления полномочий часто применяют так называемую матрицу установления полномочий (МУП), в которой каждый элемент d_ij определяет права доступа i-го объекта АИС к j-му ресурсу. Элементы d_ij могут представлять собой строку битов или указатели на специализированные процедуры анализа попыток доступа.

Например, строки битов могут означать (табл. 9.3):

0000 – запрет всех видов доступа;

0001 – право считывать элементы данных;

0010 – право дополнять (присоединять) элементы данных;

0011 – право считывать и дополнять элементы данных;

0100 – право исполнять (если элемент данных - процедура);

0101 – право считывать и исполнять элементы данных;

0110 – право дополнять и исполнять элементы данных;

0111 – право считывать, дополнять и исполнять;

1000 – право заменять (удалять) элементы данных;

1111 – право считывать, дополнять, исполнять и заменять.

МУП, как правило, хранится в специальной внешней памяти ЭВМ как отдельный файл в преобразованном виде.

 

Таблица 9.3

Вариант простой матрицы установления полномочий субъектов

 

Место расположения терминала	Элементы данных
Имя объекта	Учётный номер	Каталог файлов	Файлы объекта	Ключи к файлам
Отдел кадров
Бухгалтерия
Деканат ОЮФ
Деканат ЗЮФ
Деканат ФНО

 

Используются и более сложные варианты МУП, в которых учитываются категории конфиденциальности ИМ (например, основанные на иерархической классификации данных [1, 2]).

Комбинированные алгоритмы преобразования, используемые в реальных эргасистемах, как правило, унифицируют и стандартизируют с целью обеспечения необходимой степени защиты ИМ во всех возможных подсистемах и комплексах. К стандартизированным алгоритмам преобразования информации предъявляются следующие основные требования:

высокий уровень защиты ИМ от НСД и необнаруженной модификации;

простота для понимания, но наличие достаточной степени сложности, делающей его раскрытие более дорогостоящим, чем получаемый при этом выигрыш;

независимость ни от какой «конфиденциальности» алгоритма, а зависимость только от ключа преобразования;

экономичность в реализации и эффективность в действии;

приспосабливаемость для выполнения обратных преобразований;

доступность всем субъектам-операторам.

Методы криптографической защиты информации

Методы перестановки. Суть методов перестановки заключается в том, что символы преобразуемого ИМ переставляются по определённому правилу в пределах некоторого блока m, на которые делят исходный ИМ. Перестановки получаются в результате записи исходного ИМ-оригинала M_о и чтения финального – преобразованного ИМ (ПИМ) M_f по разным путям геометрической фигуры.

Простейший алгоритм перестановки состоит в следующем:

Шаг 1. Последовательная (задаваемая тайным ключом K₁) запись информационного блока m_l Î M_о, l = 1,2,... исходного ИМ по строкам матрицы T_k перестановки размера [i ´ j], i ³ 2, j > 1.

(Например, матрица T_k размера [6´4] (рис. 9.1), K₁ = < 6, 5, 3, 1, 4, 2 >,

M_о = m₁ = <АВТОМАТИЗАЦИЯ_УПРАВЛЕНИЯ>).

Шаг 2. Формирование ПИМ M_f путём последовательного (задаваемого тайным ключом K₂) считывания по столбцам содержимого матрицы T_k, осуществляя, тем самым, операцию преобразования:

F(K₁, K₂ ): M_о M_f .

(K₂ = <2, 4, 3, 1>,

M_f = <ВА_НААТТУИЦВАМЯЕЗРОИПЯИЛ>).

Шаг 3. Формирование выходного ПИМ M_g, передаваемого по линиям связи, путём разделения ПИМ M_f на g-значные группы с добавлением произвольных (*) символов на незаполненных позициях последней группы.

(g = 5,

M_g = <*ВА_Н_ААТТУ_ИЦВАМ_ЯЕЗРО_ИПЯИЛ>).

Для небольших матриц T_k, например, размера [8´8] (длина блока m = 64 смв) возможно более (8! ´ 8!) » 1,6´10⁹ ключей, что позволяет на современных ЭВМ путём простого перебора расшифровать заданный ИМ в пределах одного часа. Для матриц T_k размера [16´16] (длина блока m = 256 смв) имеется (16! ´ 16!) » 1,4´10²⁶ ключей и перебор их с помощью современных вычислительных средств практически неосуществим. Выбирая длину блока и усложняя порядок перестановки можно достигнуть достаточной для реальных АИС стойкости преобразования.

M_о M_о

T_k [6´4] T_k^{– 1}[6´4]

А

В

Т

О

Р

А

В

Л

М

А

Т

И

З

А

Ц

И

Я

_

У

П

Е

Н

И

Я

Е

Н

И

Я

Я

_

У

П

З

А

Ц

И

М

А

Т

И

Р

А

В

Л

А

В

Т

О

K₁ K₁^’

4

K2’

3

K₂

M_f M_g M_f

Перехват

Рис. 9.1. Прямые и обратные криптопреобразования информации

методом перестановки информационных символов

Известный алгоритм усложнённой перестановки использует перестановки по «маршрутам Гамильтона[4]» Y-элементной таблицы-схемы T_k и состоит в следующем:

Шаг 1. Последовательная запись исходного M_о в таблицу T_k перестановки согласно нумерации её элементов. Если длина шифруемого ИМ M_о не кратна числу элементов T_k, то при последнем заполнении в свободные элементы заносится произвольный символ (знак).

( Например, Y = 8 (рис. 9.2, табл. 9.4),

M_о = <АВТОМАТИЗАЦИЯ_УПРАВЛЕНИЯ>,

1-я запись m₁ = <ЯИНЕЛВАР>,

2-я запись m₂ = <ПУ_ЯИЦАЗ>,

3-я запись m₃ = <ИТАМОТВА>).

5 6

1 2

3 4

7 8

Рис. 9.2. Пример 8-элементной таблицы Гамильтона

(обозначен маршрут № 1)

 

Таблица 9.4

Маршруты в таблице Гамильтона

 

Номер	Последовательность вершин таблицы

Шаг 2. Формирование ПИМ M_f путём выборки из таблицы T_k (после каждого её заполнения) символов шифруемого ИМ M_о по своему маршруту, при этом очерёдность маршрутов задаётся тайным ключом K*.

(K* = <4, 3, 5, 6, 2, 7, 8, 1, 14, 13, 15, 9, 16, 11, 12, 18, 17, 10>,

1-я выборка m₁ = <ЯНЕИВРАЛ >,

2-я выборка m₂ = <ПУЦИАЗЯ_>,

3-я выборка m₃ = <ИОВАМТТА>,

M_f = <ИОВАМТТАПУЦИАЗЯ_ЯНЕИВРАЛ>).

Шаг 3. Формирование выходного ПИМ M_g, передаваемого по линиям связи, путём разделения ПИМ M_f на g-значные группы с добавлением произвольных (*) символов на незаполненных позициях последней группы.

( g = 5, M_g = <*ИОВА_МТТАП_УЦИАЗ_Я_ЯНЕ_ИВРАЛ>).

Достоинства алгоритмов перестановки в простоте и возможности программной реализации.

Недостатками являются:

- низкая стойкость (при большой длине исходного ИМ в ПИМ M_f проявляются статистические закономерности ключа, что позволяет его легко раскрыть);

- низкая защищённость от тестирования (если длина блока в исходном ИМ равна N символам, то для раскрытия ключа достаточно пропустить через матрицу перестановки (N – 1) блоков специального тестового ИМ, в которых все символы, кроме одного, одинаковы).

Методы замены (подстановки) основаны на том, что символы исходного ИМ (блока), записанные в одном алфавите, заменяются на символы другого алфавита в соответствии с принятым ключом K преобразования:

K: S_oi S_fi , i = 1,…,I ; S_оi Î M_о(A_о), S_fi Î M_f(A_f). (9.8)

Различают прямую (моноалфавитную, монофоническую и др.) и рассчитываемую аналитически (полиалфавитную, многоконтурную и др.) подстановки.

В моноалфавитных подстановках устанавливается взаимооднозначное соответствие между каждым символом (знаком) S_fi алфавита сообщений (кортежа замен) A_f и соответствующим символом (знаком) S_оi ИМ, представленным в исходном алфавите A_о (табл. 9.5).

Все алгоритмы прямой моноалфавитной замены содержат числовые преобразования символов и знаков исходного ИМ, рассматриваемых как числа, и заключаются в следующем:

Шаг 1. Формирование числового кортежа M_oh, F: M_о M_oh путём замены каждого символа (знака) S_оi Î M_о , i = 1,…,I , представленного в исходном алфавите A_о размера [1´R_о], на соответствующее число h(S_оi).

( Например, R = 33,

A_о = <АБВГДЕёЖЗИКЛМНОПРСТУФХЦЧШЩЬЫЪЭЮЯ_>,

M_o = <АВТОМАТИЗАЦИЯ_УПРАВЛЕНИЯ>,

M_oh = <1, 3, 19, 15, 13, 1, 19, 10, 7, 1, 23, 10, 32, 33, 20, 16, 17, 1, 3, 12, 6, 14, 10, 32 >).

Шаг 2. Формирование эквивалентного числового кортежа M_fh путём последовательной замены каждого числа h_oi кортежа M_oh на эквивалентное число h_fi, i = 1,…,I кортежа M_fh по уравнению:

h_fi = [ k₁ h_оi(S_оi) + k₂ ] mod R_o , (9.9)

где k₁ – десятичный коэффициент; k₂ – коэффициент сдвига; mod – оператор вычитания по правилу модуля (R_o).

(k₁ = 5, k₂ = 10,

M_fh = <15, 25, 6, 19, 9, 15, 6, 27, 22, 15, 26, 27, 5, 10, 11, 24, 29, 15, 25, 4, 7, 14, 27, 5>).

Таблица 9.5

Вариант сопоставления двух алфавитов (таблица замены)

 

Ао	Аf
А			О
Б			У
В			Ш
Г			Э
Д			Б
Е			Ё
Ё			Л
Ж			Р
З			Х
И			Ь
К			Я
Л			Г
М			З
Н			Н
О			Т
П			Ч
Р			Ъ
С			А
Т			Е
У			К
Ф			П
Х			Ф
Ц			Щ
Ч			Ю
Ш			В
Щ			Ж
Ь			М
Ы			С
Ъ			Ц
Э			Ы
Ю			(пробел)
Я			Д
(пробел)			И

 

Шаг 3. Формирование ПИМ M_f, путём замены каждого числа h_fi(S_fi) кортежа M_fh соответствующим символом S_fi Î M_f, i = 1,…,I, алфавита сообщений (шифровального алфавита или кортежа замен) A_f размера [1´R_f], R_f = R_o.

(A_f = <ОУЩЭБЗЛРХЬЯГёНТУЪАЖКПФШЮВЕМСЦЫ_ДИ>,

M_f = <ОЩЖТёОЖЬХОШЬДИКЧЪОЩГЗНЬД>).

Шаг 4. Формирование выходного ПИМ M_g путём разделения ПИМ M_f на g-значные группы с добавлением произвольных (*) символов S_fjÎ A_f, j = 1,…,J на незаполненных позициях последней группы.

(g = 5,

M_g = <ОЩЖТЁ_ОЖЬХО_ШЬДИК_ЧЪОЩГ_ЗНЬД*>).

Таким образом, при преобразовании производится замена исходных символов ИМ M_о на их эквивалент из кортежа замен A_f, смещённый от начала исходного алфавита A_о на величину k = k(k₁, k₂ ). При k₁ = 1, k₂ = 3 и R = 27 (латинский алфавит с пробелом) уравнение (9.9) превращается в известное уравнение алгоритма моноалфавитной подстановки Юлия Цезаря («шифр Цезаря»).

При обратном преобразовании поиск производится в кортеже замен A_f, а эквивалент выбирается из A_o . Однако, ПИМ имеет сравнительно низкий уровень защиты, так как исходный и преобразованный ИМ имеют одинаковые статистические характеристики, что позволяет осуществить (с помощью ЭВМ) частотный анализ встречаемости букв и их сочетаний (пар букв и др.).

Большинство искусственных и все естественные языки имеют характерное частотное распределение букв и других знаков [4]. Например, для русского языка наиболее часто «встречаются» буквы (в порядке убывания) о, е(ё), а, и, н; наименее часто – ф, щ, э; для английского языка – е, t, o, a, n и z, q, j, соответственно.

ИМ, зашифрованные методами перестановки или одноалфавитной подстановки, сохраняют характерное частотное распределение, а это даёт криптоаналитику путь к раскрытию шифра, на основе использования так называемого коэффициента соответствия b в качестве оценки суммы (S_i p_i², i = 1,…,R) квадратов вероятностей каждой буквы:

b = [1/N(N – 1)] S_i f_i(f_i– 1), i = 1,…,R (9.10)

где f_i – общее число встречаемости i-й буквы в ПИМ; N – количество букв в ПИМ-криптограмме (шифрограмме).

Например, для английского языка теоретически ожидаемое значение b определяется следующим выражением [4]:

b = [1/l(N – 1)] [0,066(N – l) + 0,038(l – 1)N ], (9.11)

где l – число алфавитов.

Тогда с учётом (9.11) при перехвате ПИМ значительного объёма (N >> R) уже по значению b можно предположить, что если:

- b > 0,066 – использовалась одноалфавитная подстановка;

- 0,052 < b < 0,066 – использовалась двухалфавитная подстановка (и т.д. до b = 1/26 = 0,038);

- b < 0,038 – использовалась полиалфавитная подстановка с l ³ 10.

Простая полиалфавитная подстановка (на основе матрицы T_v Вижинера[5]) последовательно и циклически меняет используемые алфавиты. При N-алфавитной подстановке символ (знак) S_o1 из исходного алфавита A_о заменяется символом (знаком) S_f1 из алфавита A_f1 , S_o2 – соответствующим S_f2 из алфавита A_f2 ,..., S_oN – S_fN из A_fN , S_o(N+1) – снова S_f1 из алфавита A_f1 и т.д. При этом обеспечивается маскировка естественной частотной статистики исходного языка A_о, так как конкретный символ (знак) S_oi Î A_o может быть преобразован в несколько различных символов (знаков) шифровальных алфавитов A_fj, j = 1,…,N .

С другой стороны, различные символы (знаки) исходного алфавита могут быть заменены одинаковыми символами (знаками) шифровальных алфавитов. Степень обеспечиваемой защиты теоретически пропорциональна длине периода (N) в последовательности используемых алфавитов.

Алгоритм N-алфавитной замены (подстановки) реализуется следующим образом:

Шаг 1. Формирование матрицы T_v Вижинера размера [R´R] циклическим сдвигом строк на одну позицию влево, начиная со строки алфавита A_o.

(Например, R = 33,

A_o =<АБВГД ... ЭЮЯ_>,

 

A	Б	В	…	Ю	Я	_
Б	В	Г	…	Я	_	А
В	Г	Д	…	_	А	Б
…	…	…	…	…	…	…
…	…	…	…	…	…	…
…	…	…	…	…	…	…
_	A	Б	…	Э	Ю	Я

 

T_v[33´33] =

 

 

Шаг 2. Формирование матрицы T_k = KT_v замены размера [(N+1)´R], где K – индикаторная матрица-ключ размера [(N+1)´R], соответствующая символьному (буквенному) ключу K = <S_rn>, r Î R, n = 1,…,N и содержащая в каждой строке единицу на позиции с номером, равным номеру r-го символа ключа K в алфавите A_o, а также в дополнительной строке.

(K = <АСУ>, r =(1, 18, 20), N = 3, R =33,

 

		…				…
		…				…
		…				…
		…				…

 

K_[4´33] =

 

 

A	Б	В	…	Ю	Я	_
C	Т	У	…	О	П	Р
У	Ф	Ц	…	Р	С	Т
_	A	Б	…	Э	Ю	Я

T_k[4´33] = KT_v =

Шаг 3. Попарное последовательное объединение символов исходного M_o ИМ с символами, повторяющими ключ K требуемое число раз с последующим преобразованием: символы M_o заменяются по T_k символами, расположенными на пересечении линий, соединяющих символы дополнительной (у нас последней) строки матрицы T_k и символы