Одноразовый блокнот

этой статьи В первом разделе содержится информация, которая не включена в другие разделы статьи . Если информация соответствует заголовку статьи, эту информацию также следует включить в тело статьи. ( Май 2023 г. ) ( Узнайте, как и когда удалить это сообщение )

В криптографии одноразовый блокнот ( OTP ) — это метод шифрования , который невозможно взломать , но требует использования одноразового предварительного общего ключа , размер которого больше или равен размеру отправляемого сообщения. В этом методе открытый текст сочетается со случайным секретным ключом (также называемым одноразовым блокнотом ). Затем каждый бит или символ открытого текста шифруется путем объединения его с соответствующим битом или символом из панели с помощью модульного сложения . ^[1]

Полученный зашифрованный текст будет невозможно расшифровать или взломать, если будут выполнены следующие четыре условия: ^{[2] [3]}

1. Ключ должен быть не меньше длины открытого текста.
2. Ключ должен быть действительно случайным .
3. Ключ ни в коем случае нельзя использовать повторно полностью или частично.
4. Ключ должен храниться в полной тайне передающими сторонами.

Также математически доказано, что любой шифр со свойством совершенной секретности должен использовать ключи с теми же требованиями, что и ключи OTP. ^[4] Цифровые версии одноразовых шифров блокнота использовались странами для критически важной дипломатической и военной связи , но проблемы безопасного распределения ключей делают их непрактичными для большинства приложений.

Впервые описан Фрэнком Миллером в 1882 году. ^{[5] [6]} одноразовый блокнот был заново изобретен в 1917 году. 22 июля 1919 года Гилберту Вернаму был выдан патент США № 1 310 719 на операцию XOR , используемую для шифрования одноразового блокнота. ^[7] Созданная на основе шифра Вернама , эта система представляла собой шифр, сочетавший сообщение с ключом, считываемым с перфоленты . В своей первоначальной форме система Вернама была уязвима, поскольку лента с ключами представляла собой петлю, которая использовалась повторно всякий раз, когда петля совершала полный цикл. Одноразовое использование появилось позже, когда Жозеф Моборн осознал, что если бы лента с ключами была полностью случайной, криптоанализ был бы невозможен. ^[8]

Часть названия «блокнот» происходит от ранних реализаций, где ключевой материал распространялся в виде блокнота бумаги, что позволяло оторвать и уничтожить текущий верхний лист после использования. Для сокрытия подушка иногда была настолько маленькой, что мощная лупа для ее использования требовалась . В КГБ использовали колодки такого размера, что они помещались на ладони. ^[9] или в скорлупе грецкого ореха . ^[10] Для повышения безопасности одноразовые блокноты иногда печатали на листах легковоспламеняющейся нитроцеллюлозы , чтобы их можно было легко сжечь после использования.

Существует некоторая двусмысленность в отношении термина «шифр Вернама», поскольку в некоторых источниках «шифр Вернама» и «одноразовый блокнот» используются как синонимы, в то время как другие называют любой аддитивный потоковый шифр «шифром Вернама», включая те, которые основаны на криптографически безопасном генератор псевдослучайных чисел (CSPRNG). ^[11]

История [ править ]

Фрэнк Миллер в 1882 году первым описал систему одноразового блокнота для защиты телеграфии. ^{[6] [12]}

Следующая система одноразовых блокнотов была электрической. В 1917 году Гилберт Вернам (из корпорации AT&T ) изобрел ^[13] а позже запатентовал в 1919 году ( патент США 1 310 719 ) шифр, основанный на технологии телетайпа . Каждый символ сообщения электрически сочетался с символом на перфолентном ключе. Джозеф Моборн (в то время капитан армии США , а затем начальник Корпуса связи ) признал, что последовательность символов на ключевой ленте может быть совершенно случайной, и что в этом случае криптоанализ будет более трудным. Вместе они изобрели первую систему одноразовой ленты. ^[11]

Следующей разработкой стала система бумажных блокнотов. Дипломаты долгое время использовали коды и шифры для обеспечения конфиденциальности и минимизации на телеграф затрат . Для кодов слова и фразы были преобразованы в группы чисел (обычно 4 или 5 цифр) с использованием словарной кодовой книги . Для дополнительной безопасности секретные номера можно было комбинировать (обычно модульным сложением) с каждой группой кодов перед передачей, при этом секретные номера периодически менялись (это называлось супершифрованием ). В начале 1920-х годов три немецких криптографа (Вернер Кунце, Рудольф Шауфлер и Эрих Ланглотц), занимавшиеся взломом таких систем, поняли, что их невозможно взломать, если для каждой кодовой группы использовать отдельное случайно выбранное аддитивное число. У них были дубликаты бумажных блокнотов, на которых были напечатаны строки групп случайных чисел. На каждой странице был порядковый номер и восемь строк. В каждой строке было шесть пятизначных чисел. Страница будет использоваться в качестве рабочего листа для кодирования сообщения, а затем уничтожаться. Серийный номер страницы будет отправлен вместе с закодированным сообщением. Получатель отменит процедуру, а затем уничтожит свою копию страницы. Министерство иностранных дел Германии ввело эту систему в действие к 1923 году. ^[11]

Отдельной идеей было использование одноразового блокнота для непосредственного кодирования открытого текста, как в примере ниже. Лео Маркс описывает изобретение такой системы для британского управления специальных операций во время Второй мировой войны , хотя в то время он подозревал, что она уже была известна в сильно разделенном мире криптографии, как, например, в Блетчли-Парке . ^[14]

Последнее открытие было сделано теоретиком информации Клодом Шенноном в 1940-х годах, который осознал и доказал теоретическую значимость системы одноразовых блокнотов. Шеннон представил свои результаты в секретном отчете в 1945 году и опубликовал их открыто в 1949 году. ^[4] В то же время советский теоретик информации Владимир Котельников независимо доказал абсолютную безопасность одноразового блокнота; его результаты были представлены в 1941 году в отчете, который, очевидно, остается засекреченным. ^[15]

Также существует квантовый аналог одноразового блокнота, который можно использовать для обмена квантовыми состояниями по одностороннему квантовому каналу с полной секретностью, который иногда используется в квантовых вычислениях. Можно показать, что для обмена квантовым состоянием n-кубитов по одностороннему квантовому каналу требуется общий секрет, состоящий как минимум из 2n классических битов (по аналогии, в результате чего для обмена n битами требуется ключ из n битов). сообщение с полной секретностью). Схема, предложенная в 2000 году, достигает этой границы. Один из способов реализовать этот квантовый одноразовый блокнот — разделить 2n битовый ключ на n пар битов. Чтобы зашифровать состояние, для каждой пары бит i в ключе нужно применить вентиль X к кубиту i состояния тогда и только тогда, когда первый бит пары равен 1, и применить вентиль Z к кубиту i состояния. состояние тогда и только тогда, когда второй бит пары равен 1. Дешифрование предполагает повторное применение этого преобразования, поскольку X и Z являются своими обратными значениями. Можно показать, что в квантовой обстановке это совершенно секретно. ^[16]

Пример [ править ]

Предположим, Алиса желает отправить сообщение helloБобу ​ . Предположим, что два блокнота бумаги, содержащие одинаковые случайные последовательности букв, каким-то образом были заранее изготовлены и надежно выданы обоим. Алиса выбирает подходящую неиспользованную страницу из блокнота. Как это сделать, обычно оговаривается заранее, например, «использовать 12-й лист 1 мая» или «использовать следующий доступный лист для следующего сообщения».

Материал на выбранном листе является ключевым для этого сообщения. Каждая буква из блокнота будет заданным образом объединена с одной буквой сообщения. (Обычно, но не обязательно, каждой букве присваивается числовое значение , например: a 0, b равно 1 и так далее.)

В этом примере техника заключается в объединении ключа и сообщения с помощью модульного сложения , мало чем отличающегося от шифра Виженера . Числовые значения соответствующего сообщения и ключевых букв складываются по модулю 26. Таким образом, если ключевой материал начинается с XMCKL и сообщение hello, то кодирование будет выполняться следующим образом:

здравствуйте, сообщение
    7 (з) 4 (д) 11 (л) 11 (л) 14 (о) сообщение
 + 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ
 = 30 16 13 21 25 сообщение + ключ
 = 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (сообщение + ключ) мод 26
       EQNVZ → зашифрованный текст
 

Если число больше 25, то остаток после вычитания 26 вычисляется по модульной арифметике. Это просто означает, что если вычисления «пройдут мимо» Z, последовательность снова начнется с A.

Таким образом, зашифрованный текст, который будет отправлен Бобу, будет EQNVZ. Боб использует соответствующую ключевую страницу и тот же процесс, но в обратном порядке, чтобы получить открытый текст . Здесь ключ вычитается из зашифрованного текста, опять же с использованием модульной арифметики:

Шифрованный текст EQNVZ
     4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст
 − 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ
 = −19 4 11 11 14 зашифрованный текст – ключ
 = 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) шифртекст – ключ (по модулю 26)
        привет → сообщение
 

Как и выше, если число отрицательное, к нему добавляется 26, чтобы сделать число равным нулю или выше.

Таким образом, Боб восстанавливает открытый текст Алисы, сообщение hello. И Алиса, и Боб уничтожают ключевой лист сразу после использования, тем самым предотвращая повторное использование и атаку на шифр. КГБ нитроцеллюлозу часто выдавал своим агентам одноразовые блокноты, напечатанные на крошечных листах флэш-бумаги, бумаги, химически преобразованной в , которая сгорает почти мгновенно и не оставляет пепла. ^[17]

В классическом одноразовом шпионском блокноте использовались настоящие блокноты из крохотной, легко скрываемой бумаги, острый карандаш и некоторые математические арифметические действия . Теперь этот метод можно реализовать в виде программы, используя файлы данных в качестве входных (открытый текст), выходных данных (зашифрованный текст) и ключевого материала (необходимая случайная последовательность). Исключающая операция или (XOR) часто используется для объединения открытого текста и ключевых элементов и особенно привлекательна на компьютерах, поскольку обычно это собственная машинная инструкция и, следовательно, очень быстрая. Однако трудно гарантировать, что ключевой материал действительно случайен, используется только один раз, никогда не становится известен противнику и полностью уничтожается после использования. Вспомогательные части реализации программного одноразового блокнота представляют собой реальные проблемы: безопасная обработка/передача открытого текста, действительно случайные ключи и одноразовое использование ключа.

Попытка криптоанализа [ править ]

Чтобы продолжить приведенный выше пример, предположим, что Ева перехватывает зашифрованный текст Алисы: EQNVZ. Если бы Ева перепробовала все возможные ключи, она бы обнаружила, что ключ XMCKL будет генерировать открытый текст hello, но она также обнаружит, что ключ TQURI будет генерировать открытый текст later, столь же правдоподобное сообщение:

4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст
 − 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) возможный ключ
 = −15 0 −7 4 17 ключ зашифрованного текста
 = 11 (l) 0 (a) 19 (t) 4 (e) 17 (r) ключ зашифрованного текста (mod 26)
 

Фактически, из зашифрованного текста можно «расшифровать» любое сообщение с тем же количеством символов, просто используя другой ключ, и в зашифрованном тексте нет информации, которая позволила бы Еве выбирать среди различных возможных прочтений. зашифрованного текста. ^[18]

Если ключ не является действительно случайным, можно использовать статистический анализ, чтобы определить, какой из вероятных ключей является «наименее» случайным и, следовательно, с большей вероятностью будет правильным. Если ключ используется повторно, он, очевидно, будет единственным ключом, который создает разумные открытые тексты из обоих зашифрованных текстов (вероятность того, что какой-то случайный неправильный ключ также создаст два разумных открытых текста, очень мала).

Совершенная секретность [ править ]

Одноразовые блокноты являются « теоретически безопасными » в том смысле, что зашифрованное сообщение (т. е. зашифрованный текст никакой информации об исходном сообщении ) не предоставляет криптоаналитику (за исключением максимально возможной длины). ^{[примечание 1]} сообщения). Это очень строгое понятие безопасности, впервые разработанное во время Второй мировой войны Клодом Шенноном и математически подтвержденное для одноразового блокнота Шенноном примерно в то же время. Его результат был опубликован в Техническом журнале Bell System в 1949 году. ^[19] При правильном использовании одноразовые блокноты в этом смысле защищены даже от противников с бесконечной вычислительной мощностью.

Шеннон доказал, используя соображения теории информации , что одноразовый блокнот обладает свойством, которое он назвал идеальной секретностью ; то есть зашифрованный текст C не дает абсолютно никакой дополнительной информации об открытом тексте . ^{[заметка 2]} Это связано с тем, что (интуитивно) при наличии действительно равномерно случайного ключа, который используется только один раз, зашифрованный текст может быть преобразован в любой открытый текст той же длины, и все это одинаково вероятно. Таким образом, априорная вероятность открытого текстового сообщения M равна апостериорной вероятности открытого текстового сообщения M с учетом соответствующего зашифрованного текста.

Обычные алгоритмы симметричного шифрования используют сложные шаблоны подстановки и транспозиции . Для лучших из них, используемых в настоящее время, неизвестно, существует ли криптоаналитическая процедура, которая могла бы эффективно обратить (или даже частично обратить ) эти преобразования, не зная ключа, используемого во время шифрования. Алгоритмы асимметричного шифрования зависят от математических задач, которые считаются трудными для решения, таких как факторизация целых чисел или дискретный логарифм . Однако нет никаких доказательств того, что эти проблемы сложны, и математический прорыв может сделать существующие системы уязвимыми для атак. ^{[заметка 3]}

Благодаря идеальной секретности, в отличие от обычного симметричного шифрования, одноразовый блокнот невосприимчив даже к атакам грубой силы. Попытка всех ключей просто дает все открытые тексты, причем все они с одинаковой вероятностью являются реальным открытым текстом. Даже при частично известном открытом тексте нельзя использовать грубую силу, поскольку злоумышленник не может получить никакой информации о частях ключа, необходимых для расшифровки остальной части сообщения. Известные части открытого текста откроют только соответствующие им части ключа, и они соответствуют строго взаимно однозначно ; Биты равномерно случайного ключа будут независимыми .

что квантовые компьютеры и другие показали, Питер Шор намного быстрее решают некоторые проблемы, от которых зависит безопасность традиционных алгоритмов асимметричного шифрования. Криптографические алгоритмы, которые зависят от сложности этих задач, станут устаревшими с появлением достаточно мощного квантового компьютера. Однако одноразовые блокноты останутся в безопасности, поскольку абсолютная секретность не зависит от предположений о вычислительных ресурсах злоумышленника. Квантовая криптография и постквантовая криптография предполагают изучение влияния квантовых компьютеров на информационную безопасность .

Проблемы [ править ]

Несмотря на доказательства безопасности Шеннона, на практике одноразовый блокнот имеет серьезные недостатки, поскольку требует:

• Действительно случайные значения, в отличие от псевдослучайных одноразовых значений, что является нетривиальным требованием. Генерация случайных чисел в компьютерах часто является сложной задачей, и генераторы псевдослучайных чисел часто используются из-за их скорости и полезности для большинства приложений. Настоящие генераторы случайных чисел существуют, но обычно они медленнее и более специализированы.
• Безопасное создание и обмен значениями одноразового блокнота, длина которых должна быть не меньше длины сообщения. Это важно, поскольку безопасность одноразового блокнота зависит от безопасности обмена одноразового блокнота. Если злоумышленник сможет перехватить значение одноразового блокнота, он сможет расшифровать сообщения, отправленные с помощью одноразового блокнота. ^[18]
• Тщательное обращение, чтобы гарантировать, что значения одноразового блокнота продолжают оставаться секретными и правильно утилизируются, предотвращая любое повторное использование (частичное или полное) - следовательно, «одноразовое». Проблемы с сохранением данных могут затруднить полное стирание компьютерных носителей.

Одноразовые блокноты решают несколько текущих практических проблем в криптографии. Высококачественные шифры широко доступны, и их безопасность в настоящее время не вызывает серьезного беспокойства. ^[20] Такие шифры почти всегда легче использовать, чем одноразовые блокноты, поскольку объем ключевого материала, который должен быть правильно и безопасно сгенерирован, распределен и сохранен, намного меньше. ^[18] Кроме того, криптография с открытым ключом решает проблему распределения ключей.

Истинная случайность [ править ]

Генерировать высококачественные случайные числа сложно. Функции генерации случайных чисел в большинстве библиотек языков программирования не подходят для криптографического использования. Даже те генераторы, которые подходят для обычного криптографического использования, включая /dev/random и многие аппаратные генераторы случайных чисел , могут в некоторой степени использовать криптографические функции, безопасность которых не была доказана. Примером метода генерации чистой случайности является измерение радиоактивных выбросов . ^[21]

В частности, абсолютно необходимо одноразовое использование. Например, если ${\displaystyle p_{1}}$ и ${\displaystyle p_{2}}$ представляют собой два отдельных текстовых сообщения, каждое из которых зашифровано общим ключом. ${\displaystyle k}$, то соответствующие зашифрованные тексты имеют вид:

${\displaystyle c_{1}=p_{1}\oplus k}$

${\displaystyle c_{2}=p_{2}\oplus k}$

где ${\displaystyle \oplus }$означает XOR . Если бы злоумышленник имел оба зашифрованных текста ${\displaystyle c_{1}}$ и ${\displaystyle c_{2}}$, затем просто XOR выполнив ${\displaystyle c_{1}}$ и ${\displaystyle c_{2}}$ дает XOR двух открытых текстов ${\displaystyle p_{1}\oplus p_{2}}$. (Это потому, что выполнение XOR общего ключа ${\displaystyle k}$ сам по себе дает постоянный битовый поток нулей.) ${\displaystyle p_{1}\oplus p_{2}}$ тогда это эквивалент шифра с работающим ключом. ^{[ нужна цитата ]}

Если оба открытых текста написаны на естественном языке (например, английском или русском), каждый из них имеет очень высокую вероятность быть восстановленным с помощью эвристического криптоанализа, возможно, с некоторыми неоднозначностями. Конечно, более длинное сообщение можно разбить только на ту часть, которая перекрывает более короткое сообщение, плюс, возможно, еще немного, дополнив слово или фразу. Самый известный эксплойт этой уязвимости произошел с проектом Venona . ^[22]

Распределение ключей [ править ]

Поскольку блокнот, как и все общие секреты , необходимо передавать и хранить в безопасности, а длина блокнота должна быть не меньше длины сообщения, часто нет смысла использовать одноразовый блокнот, поскольку можно просто отправить простой блокнот. текст вместо панели (поскольку оба могут быть одинакового размера и должны быть отправлены безопасно). ^[18] Однако, как только очень длинный блокнот был безопасно отправлен (например, компьютерный диск, полный случайных данных), его можно использовать для многочисленных будущих сообщений, пока сумма размеров сообщения не сравняется с размером блокнота. Квантовое распределение ключей также предлагает решение этой проблемы, предполагая отказоустойчивые квантовые компьютеры.

Распространение очень длинных одноразовых ключей неудобно и обычно представляет значительный риск для безопасности. ^[2] Блокнот, по сути, является ключом шифрования, но в отличие от ключей современных шифров он должен быть очень длинным, и людям слишком сложно его запомнить. Носители данных, такие как флэш-накопители , DVD-R или персональные цифровые аудиоплееры, можно использовать для переноски очень большого одноразового планшета с места на место не вызывающим подозрений способом, но необходимость физической транспортировки планшета является обузой. по сравнению с протоколами согласования ключей современной криптосистемы с открытым ключом. Такие носители невозможно надежно и безопасно удалить любым способом, кроме физического уничтожения (например, сжигания). DVD-R емкостью 4,7 ГБ, полный данных одноразового блокнота, измельченных на частицы размером 1 мм. ² (0,0016 кв. дюйма) оставляет более 4 мегабит данных о каждой частице. ^{[ нужна цитата ]} Кроме того, риск компрометации во время транспортировки (например, считывание карманником , копирование и замена планшета), вероятно, на практике будет намного выше, чем вероятность компрометации для такого шифра, как AES . Наконец, усилия, необходимые для управления материалом одноразовых ключей, очень плохо масштабируются для больших сетей коммуникаторов — количество требуемых блокнотов возрастает пропорционально квадрату числа пользователей, свободно обменивающихся сообщениями. Для связи между двумя людьми или в топологии сети «звезда» это не представляет проблемы.

Ключевой материал должен быть надежно утилизирован после использования, чтобы гарантировать, что ключевой материал никогда не будет использоваться повторно, и защитить отправленные сообщения. ^[2] Поскольку материал ключа должен транспортироваться от одной конечной точки к другой и сохраняться до тех пор, пока сообщение не будет отправлено или получено, он может быть более уязвим для судебно-медицинской экспертизы , чем временный открытый текст, который он защищает (из-за возможной остаточной информации).

Аутентификация [ править ]

Традиционно используемые одноразовые блокноты не обеспечивают аутентификацию сообщений , отсутствие которой может представлять угрозу безопасности в реальных системах. Например, злоумышленник, который знает, что сообщение содержит фразу «встречаемся со мной и Джейн завтра в три тридцать вечера», может получить соответствующие коды клавиатуры непосредственно из двух известных элементов (зашифрованного текста и известного открытого текста). Затем злоумышленник может заменить этот текст любым другим текстом точно такой же длины, например «в три тридцать встреча отменена, оставайтесь дома». Знания злоумышленника об одноразовом блокноте ограничены этой длиной в байтах, которая должна сохраняться, чтобы любое другое содержимое сообщения оставалось действительным. Это отличается от пластичности ^[23] где открытый текст не обязательно известен. Не зная сообщения, злоумышленник также может перевернуть биты в сообщении, отправленном с помощью одноразового блокнота, при этом получатель не сможет его обнаружить. Из-за своего сходства атаки на одноразовые блокноты аналогичны атакам на поточные шифры . ^[24]

Стандартные методы предотвращения этого, такие как использование кода аутентификации сообщения, могут использоваться вместе с системой одноразового ввода для предотвращения таких атак, как и классические методы, такие как заполнение переменной длины и русское совокупление , но всем им не хватает совершенства. безопасность, которую имеет сам OTP. Универсальное хеширование обеспечивает способ аутентификации сообщений до произвольной границы безопасности (т. е. для любого p > 0 достаточно большой хэш гарантирует, что даже для вычислительно неограниченного злоумышленника вероятность успешной подделки меньше, чем p ), но при этом используются дополнительные случайные данные. с планшета, а некоторые из этих приемов исключают возможность реализации системы без компьютера.

Распространенные ошибки реализации [ править ]

Благодаря относительной простоте реализации и обещанию полной секретности одноразовый блокнот пользуется большой популярностью среди студентов, изучающих криптографию, особенно потому, что часто это первый алгоритм, который будет представлен и реализован в ходе курса. Такие «первые» реализации часто нарушают требования к теоретической безопасности информации одним или несколькими способами:

• Блокнот генерируется с помощью некоторого алгоритма, который преобразует одно или несколько небольших значений в более длинный «одноразовый блокнот». Это в равной степени относится ко всем алгоритмам: от небезопасных базовых математических операций, таких как десятичное разложение квадратного корня, до сложных, криптографически безопасных генераторов псевдослучайных чисел (CSPRNG). Ни одна из этих реализаций не является одноразовым блокнотом, а является потоковым шифрованием по определению. Все одноразовые блокноты должны генерироваться неалгоритмическим процессом, например, с помощью аппаратного генератора случайных чисел .
• Обмен блокнота осуществляется с использованием теоретически безопасных методов, не являющихся информационными. Если одноразовый блокнот зашифрован с помощью неинформационного теоретически безопасного алгоритма доставки, безопасность криптосистемы будет такой же безопасной, как и небезопасный механизм доставки. Распространенным ошибочным механизмом доставки одноразового блокнота является стандартная гибридная криптосистема , которая использует криптографию с симметричным ключом для шифрования блокнота и асимметричную криптографию для доставки симметричного ключа. Распространенными безопасными методами одноразовой доставки блокнота являются квантовое распределение ключей , скиннернет или курьерская служба, а также тайник .
• Реализация не имеет безусловно безопасного механизма аутентификации, такого как одноразовый MAC .
• Площадка используется повторно (эксплуатировалась во время проекта Venona ). , например, ^[25]
• Прокладка не уничтожается сразу после использования.

Использует [ править ]

Применимость [ править ]

Несмотря на свои проблемы, одноразовый блокнот сохраняет некоторый практический интерес. В некоторых гипотетических ситуациях шпионажа одноразовый блокнот может быть полезен, поскольку шифрование и дешифрование можно выполнить вручную, используя только карандаш и бумагу. Почти все другие высококачественные шифры совершенно непрактичны без компьютеров. Однако в современном мире компьютеры (например, встроенные в мобильные телефоны ) настолько распространены, что наличие компьютера, подходящего для выполнения обычного шифрования (например, телефона, на котором можно использовать скрытое криптографическое программное обеспечение), обычно не вызывает подозрений.

• Одноразовый блокнот — оптимальная криптосистема с теоретически совершенной секретностью. ^[19]
• Одноразовый блокнот — один из наиболее практичных методов шифрования, при котором одна или обе стороны должны выполнять всю работу вручную, без помощи компьютера. Это сделало его важным в докомпьютерную эпоху, и, возможно, он все еще может быть полезен в ситуациях, когда владение компьютером является незаконным или компрометирующим или когда надежные компьютеры недоступны.
• Одноразовые блокноты практичны в ситуациях, когда две стороны в безопасной среде должны иметь возможность отделиться друг от друга и общаться из двух отдельных защищенных сред с полной секретностью.
• Одноразовый блокнот можно использовать в супершифровании . ^[26]
• Алгоритм, чаще всего связанный с квантовым распределением ключей, — это одноразовый блокнот. ^[27]
• Одноразовый блокнот имитируется потоковыми шифрами . ^[24]
• Цифровые станции часто отправляют сообщения, зашифрованные с помощью одноразового блокнота. ^[2]

Квантовая и постквантовая криптография [ править ]

Обычное использование одноразового блокнота в квантовой криптографии используется в сочетании с квантовым распределением ключей (QKD). QKD обычно ассоциируется с одноразовым блокнотом, поскольку он обеспечивает способ безопасного и эффективного распространения длинного общего секретного ключа (при условии существования практичного оборудования для квантовых сетей ). Алгоритм QKD использует свойства квантово-механических систем, чтобы позволить двум сторонам договориться об общей равномерно случайной строке. Алгоритмы QKD, такие как BB84 , также способны определять, пыталась ли противоборствующая сторона перехватить ключевой материал, и позволяют согласовать общий секретный ключ с относительно небольшим обменом сообщениями и относительно низкими вычислительными затратами. На высоком уровне схемы работают, используя деструктивный способ измерения квантовых состояний для обмена секретами и обнаружения взлома. В оригинальной статье BB84 было доказано, что одноразовый блокнот с ключами, распространяемыми через QKD, представляет собой совершенно безопасную схему шифрования. ^[27] Однако этот результат зависит от корректной реализации схемы КРК на практике. Атаки на реальные системы QKD существуют. Например, многие системы не отправляют ни одного фотона (или другого объекта в желаемом квантовом состоянии) на бит ключа из-за практических ограничений, и злоумышленник может перехватить и измерить некоторые фотоны, связанные с сообщением, получив информацию о ключа (т.е. утечка информации о блокноте), пропуская при этом неизмеренные фотоны, соответствующие одному и тому же биту ключа. ^[28] Объединение QKD с одноразовым блокнотом также может ослабить требования к повторному использованию ключей. В 1982 году Беннетт и Брассард показали, что если протокол QKD не обнаруживает, что злоумышленник пытается перехватить обмененный ключ, то ключ можно безопасно использовать повторно, сохраняя при этом полную секретность. ^[29]

Одноразовый блокнот является примером постквантовой криптографии, поскольку идеальная секретность — это определение безопасности, которое не зависит от вычислительных ресурсов противника. Следовательно, противник с квантовым компьютером по-прежнему не сможет получить больше информации о сообщении, зашифрованном с помощью одноразового блокнота, чем противник с классическим компьютером.

Историческое использование ​ ​

Одноразовые прокладки использовались в особых случаях с начала 1900-х годов. В 1923 году они были наняты немецким дипломатическим ведомством для дипломатической связи. ^[30] начала Дипломатическая служба Веймарской республики использовать этот метод примерно в 1920 году. Взлом плохой советской криптографии британцами ), по-видимому , , когда сообщения были обнародованы по политическим причинам в двух случаях в 1920-х годах ( дело ARCOS заставило Советский Союз принять одноразовые блокноты для некоторых целей примерно к 1930 году. Известно также, что шпионы КГБ в последнее время использовали карандашные и бумажные одноразовые блокноты. Примеры включают полковника Рудольфа Абеля , который был арестован и осужден в Нью-Йорке в 1950-х годах, и «Крогеров» (то есть Морриса и Лону Коэн ), которые были арестованы и осуждены за шпионаж в Соединенном Королевстве в начале 1960-х годов. У обоих были обнаружены одноразовые блокноты.

Ряд стран использовали системы одноразовых блокнотов для конфиденциального трафика. Лео Маркс Великобритании сообщает, что во время Второй мировой войны Управление специальных операций использовало одноразовые блокноты для кодирования трафика между своими офисами. Одноразовые блокноты для использования зарубежными агентами появились в конце войны. ^[14] Несколько британских одноразовых ленточных шифровальных машин включают Rockex и Noreen . Немецкая машина Штази Спрах также могла использовать одноразовую ленту, которую Восточная Германия, Россия и даже Куба использовали для отправки зашифрованных сообщений своим агентам. ^[31]

времен Второй мировой войны голоса Скремблер SIGSALY также был разновидностью одноразовой системы. Он добавлял шум к сигналу на одном конце и удалял его на другом конце. Шум распределялся по концам каналов в виде больших шеллаковых пластинок, изготовленных уникальными парами. Возникли проблемы как с начальной синхронизацией, так и с долгосрочным дрейфом фазы, которые необходимо было решить, прежде чем систему можно было использовать. ^[32]

Горячая линия между Москвой и Вашингтоном , созданная в 1963 году после кубинского ракетного кризиса 1962 года , использовала телетайпы, защищенные коммерческой системой одноразовой ленты. Каждая страна подготовила кодирующие ленты, используемые для кодирования своих сообщений, и доставила их через свое посольство в другой стране. Уникальным преимуществом OTP в этом случае было то, что ни одна страна не должна была раскрывать другой более чувствительные методы шифрования. ^[33]

Спецназ армии США использовал одноразовые блокноты во Вьетнаме. Используя азбуку Морзе с одноразовыми блокнотами и непрерывную радиопередачу (носитель азбуки Морзе), они добились одновременно секретности и надежности связи. ^[34]

Начиная с 1988 года, Африканский национальный конгресс (АНК) использовал одноразовые блокноты на диске как часть защищенной системы связи между лидерами АНК за пределами Южной Африки и боевиками внутри страны в рамках операции «Вула». ^[35] успешная попытка создать сеть сопротивления внутри Южной Африки. Случайные числа на диске после использования стирались. Бортпроводник из Бельгии выступил в качестве курьера, который доставил диски для планшетов. Требовалось регулярное пополнение запасов новых дисков, поскольку они изнашивались довольно быстро. Одна из проблем с системой заключалась в том, что ее нельзя было использовать для безопасного хранения данных. Позже Вула добавила поточный шифр, основанный на книжных кодах, чтобы решить эту проблему. ^[36]

Связанное с этим понятие — одноразовый код — сигнал, используемый только один раз; например, «Альфа» для «миссия завершена», «Браво» для «миссия провалена» или даже «Факел» для « Вторжение союзников во Французскую Северную Африку ». ^[37] не может быть «расшифровано» в каком-либо разумном смысле этого слова. Для понимания сообщения потребуется дополнительная информация, часто «глубина» повторения или некоторый анализ трафика . Однако такие стратегии (хотя часто используемые настоящими оперативниками и тренерами по бейсболу ) ^[38] не являются криптографическим одноразовым блокнотом в каком-либо существенном смысле.

АНБ [ править ]

По крайней мере, в 1970-е годы Агентство национальной безопасности США (АНБ) производило различные ручные одноразовые блокноты, как общего назначения, так и специализированные: в 1972 финансовом году было произведено 86 000 одноразовых блокнотов. АНБ назвало системы «проформы», в которых «базовая структура, форма или формат каждого текста сообщения идентичны или почти идентичны; один и тот же вид информации, сообщение за сообщением, должен быть представлен в одном и том же порядке, и только определенные значения». , как и числа, меняются с каждым сообщением». Примеры включают сообщения о ядерных запусках и отчеты радиопеленгации (COMUS). ^{[39] : стр. 16–18.}

Блокноты общего назначения выпускались в нескольких форматах: простой список случайных букв (ДИАНА) или просто цифр (КАЛИПСО), крошечные блокноты для тайных агентов (МИККИ МАУС) и блокноты, предназначенные для более быстрого кодирования коротких сообщений за счет меньшая плотность. Один пример, ORION, имел 50 рядов алфавитов открытого текста на одной стороне и соответствующие буквы случайного зашифрованного текста на другой стороне. Поместив лист поверх листа копировальной бумаги копировальной стороной вверх, можно было обвести одну букву в каждом ряду с одной стороны, а соответствующая буква на другой стороне будет обведена копировальной бумагой. Таким образом, один лист ОРИОН мог быстро закодировать или декодировать сообщение длиной до 50 символов. Производство планшетов ORION требовало печати обеих сторон с точным совмещением, а это сложный процесс, поэтому АНБ перешло на другой формат планшетов, MEDEA, с 25 рядами парных алфавитов и случайными символами. ( см . в разделе Commons:Category: одноразовые блокноты АНБ Иллюстрации .)

АНБ также создало автоматизированные системы для «централизованных штабов ЦРУ и подразделений специального назначения, чтобы они могли эффективно обрабатывать множество отдельных одноразовых сообщений с планшетов, поступающих и исходящих от отдельных держателей планшетов на местах». ^{[39] : стр. 21–26.}

Во время Второй мировой войны и в 1950-е годы США широко использовали одноразовые магнитофонные системы. Помимо обеспечения конфиденциальности, каналы, защищенные одноразовой лентой, работали непрерывно, даже при отсутствии трафика, защищая таким образом от анализа трафика . В 1955 году АНБ произвело около 1 660 000 рулонов одноразовой ленты. Каждый рулон имел диаметр 8 дюймов, содержал 100 000 символов, длился 166 минут и стоил 4,55 доллара за производство. К 1972 году было выпущено всего 55 000 рулонов, поскольку одноразовые ленты были заменены роторными машинами типа SIGTOT, а позже и электронными устройствами на основе сдвиговых регистров . ^{[39] : стр. 39–44.} АНБ описывает системы одноразовой ленты, такие как 5-UCO и SIGTOT, как используемые для передачи разведывательных данных до появления электронного шифрования на основе KW-26 в 1957 году. ^[40]

Эксплойты [ править ]

Хотя одноразовые блокноты обеспечивают идеальную секретность, если они созданы и используются правильно, небольшие ошибки могут привести к успешному криптоанализу:

• В 1944–1945 годах США армии Служба радиоразведки смогла взломать систему одноразового блокнота, используемую министерством иностранных дел Германии для трафика высокого уровня под кодовым названием GEE. ^[41] GEE был небезопасен, потому что контактные площадки не были достаточно случайными — машина, используемая для создания контактных площадок, выдавала предсказуемый результат.
• В 1945 году США обнаружили, что сообщения Канберра - Москва сначала шифровались с помощью кодовой книги, а затем с помощью одноразового блокнота. Однако использовался тот же одноразовый блокнот, который Москва использовала для сообщений Вашингтон -Москва. В сочетании с тем фактом, что некоторые сообщения Канберра-Москва включали известные документы британского правительства, это позволило взломать некоторые из зашифрованных сообщений. ^{[ нужна цитата ]}
• Одноразовые блокноты использовались советскими шпионскими агентствами для тайной связи с агентами и контролерами агентов. Анализ показал, что эти блокноты были созданы машинистками, использующими настоящие пишущие машинки. Этот метод не является по-настоящему случайным, поскольку он повышает вероятность того, что пэды будут чаще содержать определенные удобные последовательности клавиш. В целом это оказалось эффективным, поскольку подушечки все еще были несколько непредсказуемыми, поскольку машинистки не соблюдали правила, а разные машинистки создавали разные рисунки подушечек. Без копий использованного ключевого материала только некоторые дефекты в методе генерации или повторном использовании ключей давали большие надежды на криптоанализ. Начиная с конца 1940-х годов спецслужбы США и Великобритании смогли прервать часть советских одноразовых блокнотов, направлявшихся в Москву во время Второй мировой войны, из-за ошибок, допущенных при создании и распространении ключевых материалов. Одно из предположений состоит в том, что сотрудники Московского центра были несколько сбиты с толку присутствием немецких войск недалеко от Москвы в конце 1941 и начале 1942 года, и за этот период они произвели более одной копии одного и того же ключевого материала. Это десятилетнее усилие наконец получило кодовое название ВЕНОНА (раннее имя — НЕВЕСТА); он дал значительный объем информации. Несмотря на это, лишь небольшой процент перехваченных сообщений был полностью или частично расшифрован (несколько тысяч из нескольких сотен тысяч). ^[25]
• В системах одноразовой ленты, используемых в США, использовались электромеханические микшеры для объединения битов сообщения и одноразовой ленты. Эти смесители излучали значительную электромагнитную энергию, которую мог уловить противник, находящийся на некотором расстоянии от шифровального оборудования. Этот эффект, впервые замеченный Bell Labs во время Второй мировой войны, может позволить перехватывать и восстанавливать открытый текст передаваемых сообщений — уязвимость под кодовым названием Tempest . ^{[39] : стр. 89 и далее.}

См. также [ править ]

Примечания [ править ]

Ссылки [ править ]

Дальнейшее чтение [ править ]

Внешние ссылки [ править ]

• Подробное описание и история одноразового блокнота с примерами и изображениями шифровальных машин и криптологии.
• FreeS /WAN Запись в глоссарии с обсуждением слабых сторон OTP.