3 Teori för symmetriska system
3 Teori för symmetriska system
3 Teori för symmetriska system
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
76<br />
<strong>Teori</strong> <strong>för</strong> <strong>symmetriska</strong> <strong>system</strong><br />
E[s] ≥ 2 H(K | C) - 1.<br />
Ur iv. ovan följer så att E[s] ≥ 2 H(K) - DN - 1.<br />
Om, slutligen, det <strong>för</strong>eligger så mycket chiffer, dvs N är så stort, att H(K) - DN = 0 blir det<br />
<strong>för</strong>väntade antalet falska nycklar = 0, varvid chiffret är forcerat (i teorin).<br />
vi. Entydighetslängd. Detta N-värde kallas entydighetslängden N u <strong>för</strong> vilken gäller att<br />
N u = H(K) / D<br />
Kommentar. Oftast används <strong>för</strong>utsättningen H(K) = log | K | (alla nycklar är lika sannolika)<br />
och uppskattningen D = 3.2 (<strong>för</strong> engelska) då denna ekvation används.<br />
3.5.3 Sekretess<br />
i. Praktisk sekretess. Många bra chiffer kan ha liten entydighetslängd: För DES är<br />
om D = 3.2.<br />
N u ≈ H(K) / D = log 2 56 / D = 56 / D ≈ 17.5 (tecken)<br />
För denna kryptomassa, d v s tre ECB-chiffreringar med samma nyckel, låter sig nyckeln<br />
entydigt bestämmas.<br />
Men: Praktisk sekretess följer av att forceringen ändå är mycket arbetssam. Att via 'brute<br />
force' pröva 2 56 ≈ 10 17 olika nycklar tar ju 10 11 sekunder (mer än ett miljon dygn) om<br />
varje nyckel kan prövas på 1 µs.<br />
ii. Perfekt sekretess. För 'one time' pad är<br />
H(M | C) = H(M)<br />
(= 1, <strong>för</strong> binär kodning)<br />
och kanalkapaciteten noll oberoende av [hur stort] N [än väljes], vilket uttrycker det faktum<br />
att denna metod också ger perfekt sekretess, dvs N u = ∞.<br />
Allmänt kan man visa att det alltid gäller att<br />
H(K | C) ≥ H(M | C),<br />
vilket också betyder att villkoret H(K | C) = H(K) med<strong>för</strong> perfekt sekretess (dock ej omvänt).<br />
Villkoret<br />
I(C, M) = 0 ⇔ p (M | C) = p(M)<br />
är en vanlig definition på perfekt sekretess; dvs C och M är stokastiskt oberoende precis då<br />
perfekt sekretess <strong>för</strong>eligger. Visa ekvivalensen!<br />
Med hjälp av Bayes sats kan villkoret <strong>för</strong> perfekt sekrtess också skrivas<br />
p(C | M) = p(C) (<strong>för</strong> alla M och C)<br />
Observera att ett PKS har entydighetslängden 0! Här behövs ju ingen kryptomassa alls <strong>för</strong> att<br />
teoretiskt beräkna den privata nyckeln ur den publika.