Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Методы и алгоритмы симметричных псевдовероятностных защитных преобразований для средств обеспечения информационной безопасности Татчина Яна Александровна

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Татчина Яна Александровна. Методы и алгоритмы симметричных псевдовероятностных защитных преобразований для средств обеспечения информационной безопасности: диссертация ... кандидата Технических наук: 05.13.19 / Татчина Яна Александровна;[Место защиты: ФГБОУ ВО Петербургский государственный университет путей сообщения Императора Александра I], 2017

Содержание к диссертации

Введение

Глава 1. Алгоритмические механизмы защиты информации в компьютерных системах 12

1.1 Шифрование как механизм защиты информации от несанкционированного доступа 12

1.2 Протоколы отрицаемого шифрования

1.2.1 История развития отрицаемого шифрования 18

1.2.2 Краткий обзор подходов к построению алгоритмов отрицаемого шифрования 19

1.3 Вероятностные блочные шифры 31

1.3.1 Метод вероятностного блочного шифрования 31

1.3.2 Вероятностное смешение данных со случайными битами.

1.4 Модель принуждающей атаки 37

1.5 Постановка задачи диссертационного исследования 41

Глава 2. Алгоритмы поточного псевдовероятностного шифрования 43

2.1 Требования к алгоритмам псевдовероятностного шифрования с разделяемым секретом 45

2.2 Преобразование хэш-функции в алгоритм псевдовероятностного защитного преобразования 2.2.1 Алгоритм вероятностного шифрования, основанный на вычислении значений хэш-функции 47

2.2.2 Алгоритм псевдовероятностного шифрования, основанный на вычислении значений хэш-функции 52

2.3 Построение алгоритма псевдовероятностного шифрования на основе блочных шифров 55

2.3.1 Метод псевдовероятностного блочного шифрования 55

2.3.2 Реализация по аналогии со случаем использования хэш-функций 61

2.4 Выводы ко второй главе 62

Глава 3. Скоростные алгоритмы псевдовероятностного шифрования на основе китайской теоремы об остатках 64

3.1 Способ псевдовероятностного шифрования с вычислением блоков шифртекста как двоичных чисел з

3.2 Способ с вычислением блоков шифртекста как двоичных многочленов 70

3.3 Сравнительная оценка производительности предложенного алгоритма псевдовероятностного преобразования 78

3.3 Выводы к третьей главе 80

Глава 4. Алгоритмы псевдовероятностного шифрования с объединением промежуточных шифртекстов путем решения систем линейных уравнений 82

4.1 Алгоритмы на основе решения систем линейных уравнений в конечных простых полях 83

4.2 Алгоритмы на основе решения систем линейных уравнений в конечных двоичных полях 88

4.3 Выводы к четвертой главе 93

Заключение 94

Обозначения и сокращения 98

Литература

Краткий обзор подходов к построению алгоритмов отрицаемого шифрования

Трудно представить себе сферу деятельности современного человека, которая не испытывала бы влияние информационных технологий. Экономика, социальная сфера, политическая деятельность – вс это требует научно-обоснованных решений в области защиты информации. На сегодняшний день сфера информационной безопасности являет собой целостный комплекс мероприятий в равной степени как технического, так и организационного характера.

Разнообразие способов взаимодействия с данными, повсеместное внедрение компьютерных систем и программных комплексов – вс это открывает множество возможностей для несанкционированного доступа к данным. Едва ли в наше время найдется организация, занимающая уверенные позиции в своей сфере, которая бы не использовала в своей деятельности достижения современной информатики. Вследствие вышесказанного, защита данных от несанкционированного доступа становится одной из важнейших задач – как для современного бизнеса, так и для государственных структур. Очевидно, что в процессе разработки системы информационной безопасности не могут быть учтены все возможные факторы риска и способы атаки. Развитие технологий – непрерывный процесс, влекущий за собой появление все новых и новых брешей в системе защиты данных. Усилия криптографической науки направленны на разработку методов и средств, обеспечивающих надежную защиту, как от известных способов атак, так и от тех, которые могут быть потенциально изобретены. В связи с этим, повышение надежности криптографических протоколов выходит на первый план среди задач прикладной криптографии.

Безопасность криптосхемы характеризуется рядом факторов: 1. Обеспечение высокого уровня стойкости; 2. Способность противостоять еще не изобретенным, но потенциально возможным способам взлома. Стойкость двухключевой криптосхемы характеризуется вычислительной сложностью наиболее оптимального из известных алгоритмов [2], а так же низкой вероятностью возможности изобретения новых подходов к решению вычислительных задач, лежащих в основе алгоритма шифрования.

При оценке криптографической стойкости принято полагать наличие некого злоумышленника (атакующего). При этом полагается, что атакующий имеет представление о криптографических протоколах, алгоритмах и методах, примененных в системе, а так же в состоянии контролировать каналы передачи данных.

Атакующий может преследовать различные цели, в том числе: - несанкционированный доступ к конфиденциальной информации; - подделка электронной подписи; - компрометация данных; - изменение или уничтожение данных. Таким образом, целью злоумышленника является нарушение целостности, доступности или конфиденциальности информации. Общим названием подобных действий является термин «криптографическая атака». Легко видеть, что основным критерием стойкости любой криптографической системы является степень надежности решения той или иной криптографической задачи и зависит от прогнозируемой трудоемкости атаки на систему. Оценка этих критериев является чрезвычайно трудной задачей и выделяется в отдельный предмет исследований – криптоанализ.

Принято подразделять алгоритмы шифрования на безусловно стойкие (являющиеся стойкими в теоритическом смысле) и условно стойкие. На сегодняшний день существование безусловно стойких шифров теоретически доказано. Клодом Шенноном были сформулированы два условия безусловной стойкости [1]. Первым условием безусловной стойкости шифра является равенство длины шифруемого сообщения и длины одноразового ключа, что гарантирует независимость между ключевой строкой и строкой сообщения. В то же время теоретически доказана практическая невозможность достижения указанных ограничений. Таким образом, стойкость современных систем шифрования обуславливается теорией вычислительной сложности. При этом шифры подразумеваются лишь условно стойкими.

Исходя из положения, указанных выше, следует, что при разработке условно стойких криптосистем необходимым является решение следующих задач: 1. Уменьшение затрат на процедуры шифрования и дешифрования; 2. Обеспечение требуемого уровня сложности криптографической задачи. Уровень сложности решения криптографической задачи должен быть достаточно высок для того, чтобы обеспечить экономическую нерентабельность процесса взлома с точки зрения временных затрат. Подобные задачи называют вычислительно сложными (трудными), а их решение называют вычислительно нереализуемым. В качестве меры сложности трудно решаемой задачи принято полагать среднее количество операций, необходимых для того, чтобы найти верное решение с учетом использования наиболее оптимального алгоритма. Подобная оценка используется в качестве количественной меры сложности трудно вычислимой задачи. Задача оценки сложности таких задач тесно связано с поиском наилучшего алгоритма решения, следовательно, различным алгоритмам соответствуют различные значения сложности.

В случае с конкретной задачей подобного типа факт того, что найденный алгоритм для ее решения является математически оптимальным (обладает наименьшей трудоемкостью) является трудно доказуемым. Основанием для применения двухключевых криптосистем является предположение о том, что существуют такие задачи, которые не имеют решений с низкой трудоемкостью. Шифр или криптографический алгоритм в общем случае является математической функцией, которая может быть использована для кодирования и декодирования информации. В том случае, когда безопасность алгоритма подразумевает сохранение в тайне определение самого алгоритма, подобный алгоритм не может считаться безопасным. Решение этой проблемы основано на применении ключа – некоего случайного значения, выбранного из множества большой мощности. В ряде случаев, как для шифрования, так и для дешифрования может использоваться общий ключ. Алгоритмы такого класса принято называть алгоритмами с секретным ключом [2]. Схема алгоритма приведена на рисунке 1.1.

Алгоритм вероятностного шифрования, основанный на вычислении значений хэш-функции

После вышеописанной операции возможно выполнить кодирование входящего сообщения путем замены текущего знака U на знак шифртекста, случайным образом выбранный из элементов множества ц/fo.).

В случае если значение и = 8 бит и к = 16 бит, то у способа шифрования, описанный формулой (2.1), производительность будет на 3 десятичных порядка больше, чем у первого способа. Но второй способ использует больше оперативной памяти. В случае фиксированного значения ключа шифрования К, хэш-функция будет меняться только за счет изменения -битового значения г, т.е. существуют 2к разных значений аргумента. Исходя из формулы (2.1), возможно получить только 2й разных выходных значений. Среднее количество элементов во множестве \\i(tt) равно 2к , т.к. обычно 2к и разных значений аргумента дают такое же значение левой части первой формулы (2.1). Количество таких множеств 2м, значит во время предвычислений необходимо выполнить вычисления по (2.1) 2 и2и = 2 раз и распределить все значения гг по 2й различным множествам М/(0), м/(1), …, М/(2М). Чтобы разместить эти множества, необходимо к2к бит памяти. Вполне достаточно, чтобы и = 8 бит и к = 16 бит, что составит 217 байт. Но при этих значениях и и к , использование формулы (2.1) не позволит выполнить шифрование сообщения с большой длинной, т.к. частотные свойства источника сообщения может проявиться в зашифрованном тексте.

Этот недостаток устраняется в случае использования формулы (2.2), т.к. множество знаков замены для текущего знака U в пределах одного сообщения меняется на каждом шаге, т.к. это множество зависит от номера изменяемого знака входного сообщения. Формула (2.2) обеспечивает стойкое шифрование сообщения большого размера. Но если необходимо зашифровать большое количество небольших сообщений, то возникает ситуация, при которой используется одно и то же множество знаков шифртекста для замены большого числа знаков входного сообщения. Для такой ситуации частотный криптоанализ представляет из себя трудную задачу, но в случае атаки на основе большого количества известных текстов, он может быть применен на практике. Таким образом, использование формул (2.1) и (2.2) не обеспечивает достаточную стойкость. Они имеют учебное значение. Для того чтобы получить необходимую стойкость шифрования, можно использовать общую схему шифрование, но вместо (2.2) использовать соотношение: FH(K, V, і, rt) mod T = tu (2.3) где V - случайный 64-битовый вектор инициализации, который передается отправителем сообщения в открытом виде. Во время шифрования нового сообщения, каждый раз генерируется новый вектор инициализации, поэтому для каждого шифруемого сообщения состав всех множеств знаков замены (множеств i/(0), V/(l), …, 11/(2"),) является уникальным.

Использование формулы (2.3) обеспечивает стойкое шифрование и может быть применено на практике. Оценим производительность алгоритма шифрования, основанного на использовании формулы (2.3) для случая 128-битового секретного ключа К, 64-битового вектора инициализации, 48-битового номера / и 16-битового знака гг в случае применения алгоритма, вычисляющего хэш-функцию со скоростью 109 бит/с (скорость хэширования входного текста). Аргумент хэш-функции имеет размер 256 бит, поэтому вычисление значения хэш-функции будет выполнено за время «10"6/4 с. В среднем при шифровании одного знака входного текста требуется выполнить 256 вычислений по формуле (2.3), т.е. зашифрование одного «-битового входного знака выполняется за 64-10 6 с. Последнее соответствует скорости зашифрования входного сообщения, равной 106и/64 бит/с. Расшифрование выполняется по аналогичной схеме, но для восстановления одного знака исходного текста выполняется вычисление значения хэш-функции только один раз, поэтому скорость расшифровывания в 256 раз больше скорости шифрования и составляет 4-106и бит/с.

Построение детерминистического алгоритма шифрования на основе использования хэш-функций позволяет получить существенно более высокую скорость зашифрования. В этом случае шифр строится следующим образом. По значениям секретного ключа, вектора инициализации и порядкового номера текущего знака исходного текста (при шифровании) или номера знака шифртекста вычисляется знак ключевой гаммы, которая накладывается с помощью операции поразрядного суммирования по модулю два на текущий преобразуемый знак.

Зашифрование текущего /-го знака входного текста выполняется с помощью следующих двух шагов: 1. Вычислить значение хэш-функции: FH(K, V, i) mod 2M = y,. (2.4) 2. Вычислить текущий знак шифртекста с,- по формуле с,- = h Є у7, где знак шифртекста Cj, знак входного текста tt и знак ключевой гаммы у7 имеют одинаковый размер, равный и бит. Расшифрование текущего /-го знака шифртекста выполняется с помощью аналогичных шагов: 1. Вычислить значение хэш-функции F K, V, і) mod Г = у,-. 2. Вычислить текущий знак исходного текста t{ по формуле tt = с,- Є у7. Скорость зашифрования равна скорости расшифровывания. Если производительность алгоритма хэширования равна «109 бит/с, то скорость зашифрования равна 4-106и бит/с. Алгоритм, основанный на вычислениях значений хэш-функции по формуле (2.3) может быть использован в качестве алгоритма файлового шифрования.

Рассмотренный детерминистический алгоритм шифрования является более производительным по сравнению с вероятностным алгоритмом шифрования, основанным на вычислении значений некоторой стойкой хэш-функции. При этом размер шифртекста равен размеру исходного текста, что также является важным преимуществом. Рассмотренный в этом разделе алгоритм вероятностного шифрования дает возможность построения по аналогии алгоритма отрицаемого шифрования, удовлетворяющего требования, заявленным при постановке задач исследования. Это оправдывает внимание, уделенное рассмотренному способу вероятностного шифрования.

Способ с вычислением блоков шифртекста как двоичных многочленов

В случае практического применения алгоритмов отрицаемого шифрования в компьютерных системах для защиты информации от несанкционированного доступа, предпочтительным является выбор размера входного блока функции блочного шифрования, равного п = 32, 64, 128 или 256 бит, и размера блоков формируемой криптограммы, равной сумме размеров секретного Т и фиктивного М сообщений. Реализация алгоритма отрицаемого шифрования удовлетворяющего этому требованию может быть выполнена, используя способ построения, описанный в предыдущем разделе 3.1, и заменяя систему линейных сравнений, записанных по числовым модулям, на систему сравнений, в которых в качестве модуля задаются двоичные многочлены. В соответствии с такой заменой выходные блоки Ст и См функции блочного шифрования Е трактуются как двоичные многочлены, степень которых не превышает значения п - 1 и которые записаны в виде последовательности коэффициентов при всех степенях переменной, т.е. при хп-\ хп"2, …, х\ х, х. Например, битовая строка (00101…101) трактуется как многочлен хп ъ + хп 5 + … + х2 + 1. Кроме устранения недостатка связанного с увеличением размера криптограммы по сравнению с суммарным размером совместно шифруемых сообщений Т и М при аппаратной реализации переход к операциям, выполняемым над двоичными многочленами, позволяет получить более высокую скорость шифрования.

Разделяемый отправителем и получателем секретного сообщения ключ представляет собой две пары параметров (Ки ф)) и (К2, Цх)), где ф) и Х(х) -взаимно простые двоичные многочлены степени п. В протоколе отрицаемого шифрования пара (Хь ф)) рассматривается как секретный ключ, а пара (К2, Х(х)) - как фиктивный ключ. Последняя пара также держится в секрете до тех пор, пока одна их сторон протокола или обе стороны не подвергнутся принуждающей атаке. Совместное шифрование секретного сообщения Т и фиктивного сообщения М выполняется следующим образом: 1. Разбить сообщения ГиМна«-битовые блоки Tt иМ{. Т= (ТЬТ2, …, TU …, TZ); М= (МЬМ2, …,А4 …, MZ) 2. Каждый /-тый блок Г,- и каждый г-тый (/ = 1, 2, …, z) блок Mt зашифровать, выполнив следующие два шага: 2.1. Зашифровать блок данных Т{ по ключу Кх Ст. = EKl(Tt). 2.2. Зашифровать блок данных М{ по ключу К2 См. = EKl{Mt). 3. Для каждого значения / = 1, 2, …, z сформировать блок криптограммы Q в виде битовой строки, представляющей двоичный многочлен, являющийся решением следующей системы линейных сравнений: ГС=CT. modu(x) \Сi=CMi mod Х(xУ ( } где \х(х), Х(х) - взаимно простые двоичные многочлены степени п; блоки промежуточных шифртекстов Ст. и СМ( рассматриваются как двоичные многочлены. 4. Объединить блоки шифртекста С,- (/ = 1, 2, …, z) в единую криптограмму С = (Си С2, …,Q, …, CZ).

Блоки шифртекста Q формируются в результате вычисления в конечных кольцах двоичных многочленов. Как следует из китайской теоремы об остатках, решение системы 3.3 представляется в виде двоичного многочлена степени 2п, вычисляемого по следующей формуле: Q = {CTX(x)[l-\x) mod ф)] + Сщ\фсЖ\х) mod Цх)]} mod ф)Цх).

Для повышения производительности рассматриваемого алгоритма имеет смысл заранее вычислять многочлены A,-1(JC) mod ф) и уГ\х) mod Цх) на этапе генерации секретного ключа. Операция деления на многочлен, получаемый из произведения ф)Х(х) вносит основной вклад в вычислительную сложность шага 3. При этом увеличить производительность алгоритма, выбрав в качестве модулей \х(х) и Х(Х) некоторые многочлены с небольшим числом ненулевых коэффициентов, не представляется возможным, ввиду того что данные многочлены входят в состав разделяемого секрета.

Если модуль \х(х)Х(х) является двоичным многочленом степени 2п + 2, то любые возможные остатки от деления на этот модуль будут представлять собой двоичные многочлены. При этом степень этих многочленов будет меньше или равна значению 2п - 1, т.е. все возможные остатки представляют собой множество битовых строк длины 2п.

Таким образом, рассмотренный алгоритм отрицаемого шифрования генерирует криптограмму, размер которой в точности равен сумме размеров шифруемых сообщений.

В качестве используемого блочного шифра можно применить как известные блочные шифры [12], так и разрабатываемые специально для реализации протоколов отрицаемого шифрования. Алгоритм отрицаемого шифрования с использованием решения системы двух линейных сравнений по взаимно простым модулям \х(х) и Х{х) можно отнести к алгоритмам блочного совместного шифрования пары сообщений. Действительно, любой случайный (2и)-битовый блок шифртекста однозначно расшифровывается по разделяемому ключу, т.е. между множеством (2и)-битовых блоков и множеством пар «-битовых блоков процедура совместного шифрования двух «-битовых блоков данных устанавливает взаимно однозначное соответствие (при заданном фиксированном ключе).

При шифровании последовательностей произвольной длины с помощью рассмотренного в этом разделе алгоритма исходные сообщения разбиваются на блоки, которые могут шифроваться в режиме электронной кодовой книги (независимое шифрование пар входных блоков данных), в режиме сцепления блоков шифра или в других известных и применяемых для блочных шифров режимах [40-42]. При этом все эти режимы могут быть подвергнуты соответствующей адаптации согласно особенностям отрицаемого шифрования.

При применении рассмотренного способа одновременного кодирования двух последовательностей М и Т, возможно разбить эти последовательности на отдельные блоки данных М1, М2, …, М, …, Mz и Т1, Т2, …, Т, …, Т2 длинной пик бит соответственно. Предположим также, что в качестве взаимно простых секретных модулей выбраны многочлены \х(х) и Х(х), имеющие степени пик. Тогда получаемые выходные блоки Q криптограммы С будут нести полную информацию о парах объединяемых блоков шифртекстов Ст. и См. (промежуточные шифртексты) и, как следствие, будут также содержать всю информацию заложенную в парах блоков Tt и Mt.

Легко видеть, что размер блоков Q равен сумме п и к, а значит и сумме размеров блоков Tt и Mt. При разбиении последовательностей Ти Мна блоки различной длины, очевидно, требуется использовать два различных блочных шифра Е и Е , таких, что разрядность их входа соответственно равно пик. Алгоритм вероятностного шифрования для случая разбиения входных последовательностей ГиМна блоки длиной пик можно описать так:

Алгоритмы на основе решения систем линейных уравнений в конечных двоичных полях

Описанные в разделе 3.1 способы отрицаемого шифрования представляют практический интерес ввиду достаточно высокой скорости шифрования, которая ими обеспечивается. Также важным является возможность обеспечить размер криптограммы равный сумме размеров двух одновременно шифруемых текстов. В основе этих способов лежит идея предварительного зашифрования блоков шифруемых сообщений (получение промежуточных шифртекстов) и объединение соответствующих друг другу пар блоков промежуточных шифртекстов в единый блок криптограммы, такой, что каждый бит последнего зависит от каждого бита промежуточных шифртекстов. В качестве механизма объединения использованы системы линейных сравнений, в которых модули являются элементом секретного ключа. Указанный единый блок криптограммы вычисляется как решение системы сравнений. Основной вклад в вычислительную трудоемкость данного механизма объединения вносит операция деления на значение, равное произведению модулей, используемых в системе сравнений.

Данную идею можно положить в основу алгоритмов отрицаемого шифрования, использующих другой механизм объединения блоков промежуточных шифртекстов – решение системы линейных уравнений, заданных над конечным полем. В этой системе в качестве коэффициентов используются ключевые элементы. Нужное для нахождения решения системы линейных уравнений обратное значение главного определителя может быть вычислено заранее, поскольку главный определитель не изменяется, если не изменяется ключ шифрования. При наличии предвычисленного обратного значения главного определителя нахождение решения каждой из систем уравнений, возникающих в ходе процесса отрицаемого шифрования, не будет требовать осуществления операции обращения в конечном поле. Потребуется только выполнение нескольких операций умножения и сложения по модулю простого числа или по модулю неприводимого двоичного многочлена (в зависимости от того, выбрано простое конечное поле или двоичное конечное поле). Поскольку модуль не является секретным элементом, то можно использовать модули специального вида, который позволяет выполнить операцию модульного умножения без выполнения операции деления на модуль.

Например, при совместном шифровании двух сообщений решаются системы из двух уравнений и для решения каждой из них нужно выполнить 6 умножений и 2 сложения (вычитания). Ввиду отсутствия необходимости многократного выполнения операции обращения в конечном поле, механизм объединения блоков промежуточных шифртекстов, основанный на решении систем линейных уравнений, имеет существенно меньшую вычислительную сложность по сравнению с механизмом объединения, основанным на решении систем сравнений. Это позволяет получить более высокую производительность отрицаемого шифрования.

Рассмотрим построение скоростных алгоритмов отрицаемого шифрования с использованием основ объединения двух независимых блоков промежуточных шифртекстов, полученных с помощью блочного шифрования на разных ключах, путем решения систем линейных уравнений. Такой способ объединения также обеспечивает выполнимость требования вычислительной неотличимости отрицаемого шифрования от вероятностного шифрования. Шифрование двух исходных сообщений предполагается выполнять на различных ключах, причем объединение двух шифртекстов должно выполняться также с использованием секретных ключей, в качестве которых могут использоваться независимые значения или ключи блочного шифрования.

Пусть промежуточное шифрование выполняется с помощью блочной функции E с размером входного блока n = 64 бит и 128-битовым ключом K, представленным в виде пары 64-битовых подключей K1 и K2: K = (K1, K2). Блочное шифрование сообщений T = (T1, T2, …, Ti, …, Tz) и M = (M1, M2, …, Mi, …, Mz), где ТІ и Mf- 64-битовые блоки данных, будем выполнять по ключам K = (KUK2) и Q = (Qu Qi), соответственно. Соответствующие друг другу блоки промежуточных шифртекстов Ст. = Е Т,) и См. = EQ(Mt) будем объединять в единый блок путем решения системы из двух линейных уравнений в поле GF(p), где ;?= 147573952589676412909 - простое 67-битовое число, в которой коэффициентами при неизвестных являются подключи KuK2, Qi и Q2. В двоичном представлении число р имеет вид р = 267 - 24 - 2 - 1, т.е. операция умножения в поле GF(p) - умножение по модулю р - можно выполнить без выполнения операции деления на модуль. При генерации подключей К\, К2, Q\ и Q2 следует обеспечить условие существования решения для системы двух линейных уравнений, т.е. выполнимость условия KXQ2 - K2QX Ф 0 mod;?. Алгоритм совместного шифрования сообщений Т и М можно выполнить следующим путем: 1. Разбить сообщения ГиМна 64-битовые блоки Tt и Mf. T = (Tl, T2, …, Ti, …, Tz); M = (MuM2, …, Mh …, MZ). 2. Каждый /-тый блок Tt и каждый z-тый (г = 1, 2, …, z) блок Mt зашифровать, выполнив следующие два шага: 2.1. Зашифровать блок данных Tt по ключу К: Ст-,. = Eg(T,). 2.2 . Зашифровать блок данных М{ по ключу Q: См. = EQ(Mt). 3. Для каждого значения /= 1, 2, …, z сформировать 134-битовый блок криптограммы Q в виде конкатенации двух 67-битовых значений С\ и С"Ї. Q = (Сі С% являющихся решением следующей системы линейных уравнений с неизвестными С\ и С \\ К1С\ + К2С1 = СТ. mod р Q1 С\ + Q2С=CM. modp . (41) Ассоциируемый алгоритм вероятностного шифрования описывается следующим образом: 1. Разбить сообщение Мна 64-битовые блоки М: M = (M1, M2, …, Mz). Вычислить /-тый блок криптограммы Q как решение следующей системы сравнений JQ1 С+ Q2С=CM. modр { С + rС = Rmodp . ( . ) При фиксированном ключе Q каждый /-тый блок Q криптограммы в общем случае может быть получен с помощью ассоциированного алгоритма вероятностного шифрования при различных парах значений R и r. Действительно, выбор произвольного числа г однозначно определяет значение R, при котором второе уравнение в (4.2) будет выполняться. Вместо (4.2) в ассоциируемом алгоритме вероятностного шифрования можно задать следующую систему линейных уравнений, в которой второе уравнение имеет более простой вид: {Q1 С+ Q2С-=CM. modр у С І = rСi mod/?