Расстояние единственности: различия между версиями

Расстояние единственности (в криптологии) — число символов шифртекста, при которых условная информационная энтропия ключа (а, следовательно, и открытого текста) равна нулю, а сам ключ определяется однозначно.

Достижение расстояния единственности ещё не означает, что ключ (или открытый текст) можно найти на практике, так как определение не учитывает практическую вычислимость ключа, но лишь постулирует, что его можно найти, например, с помощью полного перебора.

Определим функцию надёжности ключа через условную информационную энтропию ключа ${\displaystyle Z}$ и символов шифротекста ${\displaystyle y_{1},y_{2},\dots ,y_{n}}$, которые перехватывает криптоаналитик:

${\displaystyle f_{0}=H\left(Z\right)}$

${\displaystyle f_{1}=H\left(Z|y_{1}\right)}$

${\displaystyle f_{2}=H\left(Z|y_{1}y_{2}\right)}$

${\displaystyle \dots }$ 

${\displaystyle f_{n}=H\left(Z|y_{1}y_{2}\dots y_{n}\right)}$

${\displaystyle f_{n}\leq f_{n-1}\leq \dots \leq f_{1}\leq f_{0}}$

Такое число перехваченых символов ${\displaystyle u}$, при котором ${\displaystyle f_{u}=0}$ и называется расстоянием единственности.

Выведение формулы расстояния единственности возможно для некоторой «хорошей» криптосистемы, у которой информационная энтропия шифротекста обладает определёнными свойствами «линейности»:

${\displaystyle H\left(Y\right)=N\log L}$

где ${\displaystyle N}$ — общее число символов шифротекста сообщения, ${\displaystyle L}$ — алфавит шифротекста, для простоты принимаемый равным в том числе и для открытого текста, и для ключа шифрования

${\displaystyle H\left(y_{1}\dots y_{n}\right)\approx n\log L}$

${\displaystyle H\left(y_{1}\dots y_{n}|Z\right)\approx {n \over N}H\left(X\right)}$

последнее выражение является «линеаризацией» выражения ${\displaystyle H\left(Y|Z\right)=H\left(X\right)}$

Тогда из выражений для совместной информационной энтропии:

${\displaystyle H\left(y_{1}\dots y_{n};Z\right)=H\left(y_{1}\dots y_{n}\right)+H\left(Z|y_{1}\dots y_{n}\right)\approx n\log L+f_{n}}$

${\displaystyle H\left(y_{1}\dots y_{n};Z\right)=H\left(Z\right)+H\left(y_{1}\dots y_{n}|Z\right)\approx H\left(Z\right)+{n \over N}H\left(X\right)}$

${\displaystyle n\log L+f_{n}\approx H\left(Z\right)+{n \over N}H\left(X\right)}$

${\displaystyle n\approx {{H\left(Z\right)-f_{n}} \over {\log L-H\left(X\right)/N}}={{H\left(Z\right)-f_{n}} \over {\log L\cdot \left({1-{{H\left(X\right)} \over {N\log L}}}\right)}}}$

Тогда согласно определению расстояния единственности как ${\displaystyle u:f_{u}=0}$:

${\displaystyle u\approx {H\left(Z\right) \over {\log L-H\left(X\right)/N}}={H\left(Z\right) \over {\log L\cdot \left({1-{{H\left(X\right)} \over {N\log L}}}\right)}}}$

Выражение ${\displaystyle \rho =1-{{H\left(X\right)} \over {N\log L}}}$ называют избыточностью источника. Если избыточность источника равна нулю, то есть по открытому тексту невозможно определить, является ли корректным или нет (в нём нет контрольных проверочных сумм или сигнатур), тогда расстояние единственности становится равным бесконечности, а криптосистема — абсолютно надёжной.

Для русского языка избыточность равна 3,5 бита на символ. Если используется моноалфавитный шифр, то число возможных ключей в нём равно ${\displaystyle 33!\approx 8,68\cdot 10^{36}}$, а энтропия ключа (при равновероятном выборе) ${\displaystyle H\left(Z\right)=\log _{2}33!\approx 122,7}$ бита.

Тогда расстояние единственности для русского текста, зашифрованного шифром простой замены, равно:

${\displaystyle u={{H\left(Z\right)} \over {\rho }}\approx 35,1}$

То есть, если криптоаналитик перехватит более 35 символов шифротекста, это с большой степенью вероятности позволит (например, полным перебором) восстановить исходный открытый текст. Если же будет перехвачено меньшее количество символов, то восстановление текста будет неоднозначным (могут быть несколько разных вариантов открытого текста).

• Габидулин Э. М., Кшевецкий А. С., Колыбельников А. И. Расстояние единственности // Защита информации: учебное пособие — М.: МФТИ, 2011. — 225 с. — ISBN 978-5-7417-0377-9
• Г. В. Басалова Расстояние единственности // Основы криптографии (рус.)

• Брюс Шнайер: How to Recognize Plaintext (Crypto-Gram Newsletter December 15, 1998) (англ.)
• Unicity Distance computed for common ciphers (англ.)