3 Teori för symmetriska system

More documents

Recommendations

Info

76 Teori för symmetriska system E[s] ≥ 2 H(K | C) - 1. Ur iv. ovan följer så att E[s] ≥ 2 H(K) - DN - 1. Om, slutligen, det föreligger så mycket chiffer, dvs N är så stort, att H(K) - DN = 0 blir det förväntade antalet falska nycklar = 0, varvid chiffret är forcerat (i teorin). vi. Entydighetslängd. Detta N-värde kallas entydighetslängden N u för vilken gäller att N u = H(K) / D Kommentar. Oftast används förutsättningen H(K) = log | K | (alla nycklar är lika sannolika) och uppskattningen D = 3.2 (för engelska) då denna ekvation används. 3.5.3 Sekretess i. Praktisk sekretess. Många bra chiffer kan ha liten entydighetslängd: För DES är om D = 3.2. N u ≈ H(K) / D = log 2 56 / D = 56 / D ≈ 17.5 (tecken) För denna kryptomassa, d v s tre ECB-chiffreringar med samma nyckel, låter sig nyckeln entydigt bestämmas. Men: Praktisk sekretess följer av att forceringen ändå är mycket arbetssam. Att via 'brute force' pröva 2 56 ≈ 10 17 olika nycklar tar ju 10 11 sekunder (mer än ett miljon dygn) om varje nyckel kan prövas på 1 µs. ii. Perfekt sekretess. För 'one time' pad är H(M | C) = H(M) (= 1, för binär kodning) och kanalkapaciteten noll oberoende av [hur stort] N [än väljes], vilket uttrycker det faktum att denna metod också ger perfekt sekretess, dvs N u = ∞. Allmänt kan man visa att det alltid gäller att H(K | C) ≥ H(M | C), vilket också betyder att villkoret H(K | C) = H(K) medför perfekt sekretess (dock ej omvänt). Villkoret I(C, M) = 0 ⇔ p (M | C) = p(M) är en vanlig definition på perfekt sekretess; dvs C och M är stokastiskt oberoende precis då perfekt sekretess föreligger. Visa ekvivalensen! Med hjälp av Bayes sats kan villkoret för perfekt sekrtess också skrivas p(C | M) = p(C) (för alla M och C) Observera att ett PKS har entydighetslängden 0! Här behövs ju ingen kryptomassa alls för att teoretiskt beräkna den privata nyckeln ur den publika.
77 Teori för symmetriska system iii. Ideal sekretess. Om D ≈ 0 kommer inte heller att nyckelekvivokationen gå mot 0 då N växer, så chiffret kommer inte heller då att vara forcerbart. Shannon kallade detta förhållande för 'ideal secrecy'. Detta är anledningen till att kompaktering eller randomisering kan vara bra att ta till som ett steg före krypteringen. 3.5.4 Exempel Låt följande [artificiella] alfabet och chiffer vara givna. Klartextmängd M = {α, β} med p(α) = 1/4 och p(β) = 3/4. Chiffermängd C = {1, 2, 3, 4}. Nyckelmängd K = {k 1 , k 2 , k 3 } med p(k 1 ) = 1/2, p(k 2 ) = p(k 3 ) = 1/4. Chifferfunktionen e definieras av följande tabell (chiffermatris). e α β k 1 1 2 k 2 2 3 k 3 3 4 Med dessa data kan p(c) och p(m | c) beräknas för c ∈ C och m ∈ M. (Se 3.2.2.i.) c p (c) 1 1/8 2 3/8 + 1/16 = 7/16 3 3/16 + 1/16 = 1/4 4 3/16 För att bestämma p(m | c) är det lämpligt att först bestämma p(c | m) = Σ {k: m = dk(c)} p(k). Ur siffrorna för p(k i ) erhålls följande. c p(c | α) p(c | β) 1 1/2 0 2 1/4 1/2 3 1/4 1/4 4 0 1/4 Bayes sats ger därefter följande tabell. c p(α | c) p(β | c) 1 1 0 2 1/7 6/7 3 1/4 3/4 4 0 1 Med hjälp av Bayes sats erhålls också de betingade nyckelsannolikheterna. c p(k 1 | c) p(k 2 | c) p(k 3 | c) 1 1 0 0 2 6/7 1/7 0 3 0 3/4 1/4 4 0 0 1
Page 1 and 2: 55 Teori för symmetriska system 3
Page 3 and 4: 57 Teori för symmetriska system 3.
Page 5 and 6: 59 Teori för symmetriska system En
Page 7 and 8: 61 Teori för symmetriska system Ob
Page 9 and 10: 63 Teori för symmetriska system vi
Page 11 and 12: 65 Teori för symmetriska system xi
Page 15 and 16: 69 Teori för symmetriska system Om
Page 17 and 18: 71 Teori för symmetriska system g
Page 19 and 20: 73 Teori för symmetriska system Vi
Page 21: 75 Teori för symmetriska system Vi
Page 25 and 26: 79 Teori för symmetriska system Om

3 Teori för symmetriska system

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?