Одноразовый блокнот

Формат одноразового блокнота, используемый Агентством национальной безопасности США , кодовое название DIANA. Таблица справа предназначена для преобразования между открытым текстом и зашифрованным текстом с использованием символов слева в качестве ключа.

В криптографии , то одноразовый блокнот ( OTP ) является шифрование метод , который не может быть взломан , но требует использования одноразового в предварительно общем ключе тот же размер, или больше , чем, посылаемое сообщение. В этом методе открытый текст сочетается со случайным секретным ключом (также называемым одноразовым блокнотом ). Затем каждый бит или символ открытого текста шифруется путем объединения его с соответствующим битом или символом из блокнота с использованием модульного сложения .

Полученный зашифрованный текст будет невозможно расшифровать или взломать, если выполняются следующие четыре условия: ^{[1] [2]}

1. Ключ должен быть действительно случайным .
2. Ключ должен быть не меньше длины открытого текста.
3. Ключ нельзя использовать повторно полностью или частично.
4. Ключ должен храниться в полном секрете .

Также было доказано, что любой шифр со свойством совершенной секретности должен использовать ключи с теми же требованиями, что и ключи OTP. ^[3] Цифровые версии шифров одноразового блокнота использовались странами для критически важной дипломатической и военной связи , но проблемы безопасного распределения ключей сделали их непрактичными для большинства приложений.

Впервые описанный Фрэнком Миллером в 1882 году ^{[4] [5],} одноразовый блокнот был изобретен заново в 1917 году. 22 июля 1919 года Гилберту Вернаму был выдан патент США 1310719 на операцию XOR, используемую для шифрования одноразовый блокнот. ^[6] Созданная на основе его шифра Вернама , система представляла собой шифр, который объединял сообщение с ключом, считываемым с перфоленты . В своей первоначальной форме система Вернама была уязвима, потому что ключевой лентой была петля, которая использовалась повторно всякий раз, когда петля совершала полный цикл. Одноразовое использование появилось позже, когда Джозеф Моборн осознал, что если ключевые ленты были полностью случайными, то криптоанализбыло бы невозможно. ^[7]

Часть имени «блокнот» пришла из ранних реализаций, где ключевой материал был распределен в виде блокнота, позволяющего оторвать текущий верхний лист и уничтожить его после использования. Для сокрытия подушка иногда была настолько маленькой, что для ее использования требовалось мощное увеличительное стекло . В КГБ использовались колодки такого размера, что они помещались на ладони ^[8] или в скорлупе грецкого ореха. ^[9] Для повышения безопасности одноразовые прокладки иногда печатали на листах из легковоспламеняющейся нитроцеллюлозы , чтобы их можно было легко сжечь после использования.

Термин «шифр Вернама» имеет некоторую двусмысленность, поскольку в некоторых источниках «шифр Вернама» и «одноразовый блокнот» используются как синонимы, в то время как другие называют любой дополнительный потоковый шифр «шифром Вернама», в том числе основанный на криптографически безопасном генератор псевдослучайных чисел (CSPRNG). ^[10]

История [ править ]

Фрэнк Миллер в 1882 году первым описал систему одноразовых блокнотов для защиты телеграфии. ^{[5] [11]}

Следующая система одноразовых подушечек была электрической. В 1917 году Гилберт Вернам (из AT&T Corporation ) изобрел и позже запатентовал в 1919 году ( патент США 1310719 ) шифр, основанный на технологии телетайпа . Каждый символ в сообщении был электрически объединен с символом на перфорированном ключе с бумажной лентой . Джозеф Моборгно (тогда капитан в армии США , а затем начальник войск связи ) признал , что последовательность символов на клавишной ленте может быть совершенно случайной и, если да, то криптоанализ будет сложнее. Вместе они изобрели первую одноразовую магнитофонную систему. ^[10]

Следующей разработкой стала система бумажных подушек. Дипломаты давно использовали коды и шифры для конфиденциальности и минимизации расходов на телеграф . Для кодов слова и фразы были преобразованы в группы чисел (обычно 4 или 5 цифр) с использованием кодовой книги, подобной словарю . Для дополнительной безопасности секретные номера могут быть объединены (обычно модульное добавление) с каждой группой кодов перед передачей, при этом секретные номера периодически меняются (это называлось супершифрованием.). В начале 1920-х годов три немецких криптографа (Вернер Кунце, Рудольф Шауффлер и Эрих Ланглоц), участвовавшие в взломе таких систем, осознали, что их невозможно сломать, если для каждой группы кодов будет использоваться отдельное случайно выбранное дополнительное число. У них были дубликаты бумажных блокнотов, напечатанные линиями групп случайных чисел. На каждой странице был порядковый номер и восемь строк. В каждой строке было шесть пятизначных чисел. Страница будет использоваться в качестве рабочего листа для кодирования сообщения, а затем уничтожена. Серийный номер страницы будет отправлен с закодированным сообщением. Получатель полностью изменит процедуру, а затем уничтожит свою копию страницы. Министерство иностранных дел Германии ввело эту систему в действие к 1923 году ^[10].

Отдельным понятием было использование одноразового блокнота букв для непосредственного кодирования открытого текста, как в примере ниже. Лео Маркс описывает изобретение такой системы для британского руководства специальных операций во время Второй мировой войны , хотя в то время он подозревал, что она уже была известна в сильно разобщенном мире криптографии, как, например, в Блетчли-парке . ^[12]

Последнее открытие было сделано теоретиком информации Клодом Шенноном в 1940-х годах, который признал и доказал теоретическую значимость системы одноразовых блокнотов. Шеннон представил свои результаты в секретном отчете в 1945 году и открыто опубликовал их в 1949 году. ^[3] В то же время советский теоретик информации Владимир Котельников независимо доказал абсолютную безопасность одноразового блокнота; его результаты были представлены в 1941 году в отчете, который, по-видимому, остается засекреченным. ^[13]

Пример [ править ]

Предположим, Алиса хочет отправить Бобу сообщение «ПРИВЕТ» . Предположим, что два блокнота, содержащие одинаковые случайные последовательности букв, каким-то образом были ранее созданы и надежно выданы обоим. Алиса выбирает соответствующую неиспользованную страницу из блокнота. Как правило, это делается заранее, например, «использовать 12-й лист 1 мая» или «использовать следующий доступный лист для следующего сообщения».

Материал на выбранном листе является ключевым для этого сообщения. Каждая буква из блокнота будет объединяться определенным образом с одной буквой сообщения. (Обычно, но не обязательно, присваивать каждой букве числовое значение , например, «A» равно 0, «B» равно 1 и т. Д.)

В этом примере метод заключается в объединении ключа и сообщения с помощью модульного сложения . Числовые значения соответствующего сообщения и ключевых букв складываются вместе по модулю 26. Итак, если ключевой материал начинается с «XMCKL», а сообщение - «HELLO», то кодирование будет выполнено следующим образом:

 Привет сообщение 7 (H) 4 (E) 11 (L) 11 (L) 14 (O) сообщение+ 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) клавиша= 30 16 13 21 25 сообщение + клавиша= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (сообщение + клавиша) mod 26 EQNVZ → зашифрованный текст

Если число больше 25, то остаток после вычитания 26 берется модульным арифметическим способом. Это просто означает, что если вычисления «пройдут» через Z, последовательность снова начнется с A.

Таким образом, зашифрованный текст, который будет отправлен Бобу, будет «EQNVZ». Боб использует соответствующую ключевую страницу и тот же процесс, но в обратном порядке, чтобы получить открытый текст . Здесь ключ вычитается из зашифрованного текста, опять же с использованием модульной арифметики:

 Шифрованный текст EQNVZ 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст- 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ= -19 4 11 11 14 шифротекст - ключ= 7 (H) 4 (E) 11 (L) 11 (L) 14 (O) зашифрованный текст - ключ (mod 26) ПРИВЕТ → сообщение

Как и в предыдущем случае, если число отрицательное, то добавляется 26, чтобы сделать число ноль или больше.

Таким образом, Боб восстанавливает открытый текст Алисы, сообщение «HELLO». И Алиса, и Боб уничтожают ключевой лист сразу после использования, таким образом предотвращая повторное использование и атаку на шифр. КГБ часто выдается своим агентам разово колодки , напечатанные на маленьких листах флэш - бумаги, бумаги , химически преобразуется в нитроцеллюлозы , который не сгорает почти мгновенно и листьев нет пепла. ^[14]

В классическом одноразовом блокноте шпионажа использовались настоящие блокноты из крохотной, легко скрываемой бумаги, острый карандаш и некоторая ментальная арифметика . Теперь метод может быть реализован в виде программного обеспечения, использующего файлы данных в качестве ввода (открытый текст), вывода (зашифрованный текст) и ключевого материала (требуемая случайная последовательность). XORОперация часто используется для комбинирования открытого текста и ключевых элементов и особенно привлекательна на компьютерах, поскольку обычно представляет собой машинную команду, выполняемую собственным компьютером, и поэтому выполняется очень быстро. Однако сложно гарантировать, что ключевой материал действительно случайный, используется только один раз, никогда не становится известен оппозиции и полностью уничтожается после использования. Вспомогательные части реализации программного одноразового блокнота представляют собой реальные проблемы: безопасная обработка / передача открытого текста, действительно случайные ключи и одноразовое использование ключа.

Попытка криптоанализа [ править ]

Чтобы продолжить приведенный выше пример, предположим, что Ева перехватывает зашифрованный текст Алисы: «EQNVZ». Если бы у Евы было бесконечное время, она бы обнаружила, что ключ «XMCKL» создаст открытый текст «HELLO», но она также обнаружила бы, что ключ «TQURI» создаст открытый текст «LATER», такое же правдоподобное сообщение:

 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст- 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) возможный ключ= −15 0 −7 4 17 ключ шифротекста= 11 (L) 0 (A) 19 (T) 4 (E) 17 (R) ключ шифротекста (mod 26)

Фактически, из зашифрованного текста можно «расшифровать» любое сообщение с тем же количеством символов, просто используя другой ключ, и в зашифрованном тексте нет информации, которая позволила бы Еве выбирать среди различных возможных прочтений. зашифрованного текста.

Совершенная секретность [ править ]

Одноразовые блокноты являются « теоретически безопасными » в том смысле, что зашифрованное сообщение (т. Е. Зашифрованный текст ) не предоставляет криптоаналитику никакой информации об исходном сообщении (кроме максимально возможной длины ^[15] сообщения). Это очень сильное понятие безопасности, впервые разработанное во время Второй мировой войны Клодом Шенноном и математически подтвержденное для одноразового блокнота Шеннона примерно в то же время. Его результат был опубликован в Bell System Technical Journal в 1949 году. ^{[16] При} правильном использовании одноразовые планшеты в этом смысле безопасны даже против злоумышленников с бесконечной вычислительной мощностью.

Клод Шеннон доказал, используя соображения теории информации , что одноразовый блокнот обладает свойством, которое он назвал совершенной секретностью ; то есть зашифрованный текст C не дает абсолютно никакой дополнительной информации об открытом тексте . ^{[примечание 1]} Это потому, что, учитывая действительно случайный ключ, который используется только один раз, зашифрованный текст может быть переведен в любой открытый текст той же длины, и все они одинаково вероятны. Таким образом, априорная вероятность сообщения открытого текста M такая же, как апостериорная вероятность сообщения открытого текста M учитывая соответствующий зашифрованный текст.

Математически это выражается как , где это информационная энтропия открытого текста и является условной энтропией открытого текста данного шифротекста С . (Здесь Η - заглавная греческая буква эта .) Это означает, что для каждого сообщения M и соответствующего зашифрованного текста C должен быть хотя бы один ключ K, который связывает их как одноразовый блокнот. С математической точки зрения это означает , где обозначает различное количество ключей, шифров и сообщений. Другими словами, если вам нужно иметь возможность перейти из любого открытого текста в пространстве сообщений M${\textstyle \mathrm {H} (M)=\mathrm {H} (M|C)}$${\textstyle \mathrm {H} (M)}$${\textstyle \mathrm {H} (M|C)}$${\textstyle K\geq C\geq M}$${\textstyle K,C,M}$для любого шифра в шифрованной пространстве C (шифрование) и из любого шифра в шифрованной пространстве C до обычного текста в сообщение пространстве M (дешифрования), необходимо по крайней мере ключей (все ключи , используемые с равной вероятностью в целях обеспечения совершенной секретности) .${\displaystyle |M|=|C|}$${\displaystyle 1/|K|}$

Другой способ заявить о совершенной секретности основан на идее, что для всех сообщений в пространстве сообщений M и для всех шифров c в шифровальном пространстве C мы имеем , где представляет вероятности, взятые на выбор в пространстве ключей при подбрасывании монеты из вероятностного алгоритма , . Совершенная секретность - это сильное понятие криптоаналитической сложности. ^[3]${\displaystyle m_{1},m_{2}}$${\displaystyle {\underset {k\Leftarrow \mathrm {K} }{\operatorname {Pr} }}[E_{k}(m_{1})=c]={\underset {k\Leftarrow \mathrm {K} }{\operatorname {Pr} }}[E_{k}(m_{2})=c]}$${\textstyle \operatorname {Pr} }$${\displaystyle k}$${\displaystyle \mathrm {K} }$${\displaystyle E}$

Обычные алгоритмы симметричного шифрования используют сложные шаблоны подстановки и транспозиции . Что касается лучших из них, используемых в настоящее время, неизвестно, может ли существовать криптоаналитическая процедура, которая может обратить (или, что полезно, частично обратить ) эти преобразования без знания ключа, используемого во время шифрования. Алгоритмы асимметричного шифрования зависят от математических задач, которые считаются сложными для решения, таких как целочисленная факторизация и дискретные логарифмы . Однако нет никаких доказательств того, что эти проблемы являются серьезными, и математический прорыв может сделать существующие системы уязвимыми для атак. ^{[заметка 2]}

В отличие от обычного симметричного шифрования, при условии полной секретности OTP невосприимчив даже к атакам методом грубой силы. Попытка использовать все ключи просто дает все открытые тексты, которые с равной вероятностью будут фактическим открытым текстом. Даже с известным открытым текстом, таким как известная часть сообщения, атаки методом перебора не могут быть использованы, поскольку злоумышленник не может получить какую-либо информацию о частях ключа, необходимых для расшифровки остальной части сообщения. Известные части раскрывают только соответствующие им части ключа, и они соответствуют строго взаимно однозначно ; никакая часть ключа не зависит от других частей.

Питер Шор и другие показали, что квантовые компьютеры намного быстрее решают некоторые сложные проблемы, которые обеспечивают безопасность асимметричного шифрования. Если квантовые компьютеры построены с достаточным количеством кубитов и преодолеют некоторые ограничения исправления ошибок, некоторые алгоритмы криптографии с открытым ключом станут устаревшими. Однако одноразовые прокладки останутся в безопасности. См. Квантовую криптографию и пост-квантовую криптографию для дальнейшего обсуждения разветвлений квантовых компьютеров для информационной безопасности.

Проблемы [ править ]

Несмотря на то, что Шеннон доказал свою безопасность, одноразовый блокнот имеет серьезные недостатки на практике, поскольку для этого требуются:

• Действительно случайные, в отличие от псевдослучайных значений одноразового блокнота, что является нетривиальным требованием. См. Генератор псевдослучайных чисел и генерацию случайных чисел .
  • Существуют настоящие генераторы случайных чисел , но они обычно более медленные и специализированные.
• Безопасное создание и обмен значениями одноразового блокнота, которые должны быть не меньше длины сообщения.
  • Безопасность одноразового блокнота настолько же надежна, насколько и безопасность обмена одноразовым блокнотом, потому что, если злоумышленник может перехватить значение одноразового блокнота и знать, что это одноразовый блокнот, он может расшифровать сообщение одноразового блокнота.
• Тщательная обработка, чтобы гарантировать, что значения одноразового блокнота продолжают оставаться в секрете и правильно утилизируются, предотвращая любое повторное использование полностью или частично - следовательно, «одноразовое». См. В разделе « Остаточность данных» обсуждение трудностей полного стирания компьютерных носителей.

Одноразовые планшеты решают несколько актуальных практических проблем в криптографии. Шифры высокого качества широко доступны, и их безопасность в настоящее время не считается серьезной проблемой. ^[17] Такие шифры почти всегда легче использовать, чем одноразовые блокноты; объем ключевого материала, который должен быть правильно и надежно сгенерирован, надежно распределен и надежно сохранен, намного меньше, и криптография с открытым ключом решает эту проблему. ^[18]

Истинная случайность [ править ]

Сложно генерировать высококачественные случайные числа. Функции генерации случайных чисел в большинстве библиотек языков программирования не подходят для использования в криптографии. Даже те генераторы, которые подходят для обычного криптографического использования, включая / dev / random и многие аппаратные генераторы случайных чисел , могут в некоторой степени использовать криптографические функции, безопасность которых не была доказана. Примером того, как можно достичь истинной случайности, является измерение радиоактивных выбросов . ^[19]

В частности, одноразовое использование абсолютно необходимо. Если одноразовый блокнот используется дважды, простые математические операции могут свести его к работающему ключевому шифру . Например, если и представляют два отдельных сообщения с открытым текстом, каждое из которых зашифровано общим ключом , то соответствующие зашифрованные тексты задаются следующим образом:${\displaystyle p_{1}}$${\displaystyle p_{2}}$${\displaystyle k}$

${\displaystyle c_{1}=p_{1}\oplus k}$

${\displaystyle c_{2}=p_{2}\oplus k}$

где означает XOR . Если атакующий иметь как шифртексты и , просто взяв XOR из и дает XOR двух текстов . (Это связано с тем, что выполнение XOR общего ключа с самим собой дает постоянный поток битов из единиц.) В таком случае эквивалентно работающему ключевому шифру.${\displaystyle \oplus }$${\displaystyle c_{1}}$${\displaystyle c_{2}}$${\displaystyle c_{1}}$${\displaystyle c_{2}}$${\displaystyle p_{1}\oplus p_{2}}$${\displaystyle k}$${\displaystyle p_{1}\oplus p_{2}}$

Если оба открытых текста написаны на естественном языке (например, английском или русском), тогда, даже если оба являются секретными, каждый имеет очень высокую вероятность восстановления с помощью эвристического криптоанализа, возможно с некоторыми двусмысленностями. Конечно, более длинное сообщение можно разбить только на ту часть, которая перекрывает более короткое сообщение, плюс, возможно, немного больше, завершив слово или фразу. Самый известный эксплойт этой уязвимости произошел с проектом Venona . ^[20]

Распределение ключей [ править ]

Поскольку блокнот, как и все общие секреты , должен передаваться и храниться в безопасности, а блокнот должен быть не меньше длины сообщения, часто нет смысла использовать одноразовое заполнение, так как можно просто отправить простой текст вместо блокнота (так как оба могут быть одного размера и должны быть отправлены безопасно). Однако после того, как очень длинный блокнот был надежно отправлен (например, компьютерный диск, заполненный случайными данными), его можно использовать для множества будущих сообщений, пока сумма их размеров не сравняется с размером блокнота. Квантовое распределение ключей также предлагает решение этой проблемы, предполагая отказоустойчивые квантовые компьютеры.

Распространение очень длинных одноразовых ключей неудобно и обычно представляет значительный риск для безопасности. ^[1] Блокнот - это, по сути, ключ шифрования, но в отличие от ключей для современных шифров, он должен быть очень длинным, и его слишком сложно запомнить людям. Носители информации, такие как флэш-накопители , DVD-R или персональные цифровые аудиоплеерыможет использоваться для переноски очень большого одноразового блокнота с места на место без каких-либо подозрений, но даже в этом случае необходимость транспортировки блокнота физически является обузой по сравнению с протоколами согласования ключей в современной криптосистеме с открытым ключом. , и такие носители не могут быть надежно удалены с помощью любых средств, кроме физического уничтожения (например, сжигания). DVD-R объемом 4,7 ГБ, заполненный данными с одноразовой записью, если его измельчить на частицы размером 1 мм ² (0,0016 кв. Дюйма), оставляет более 4 мегабит (правда, трудно восстановить, но не невозможно) данных на каждой частице. . ^{[ необходима цитата ]} Кроме того, риск компрометации во время транспортировки (например, карманниксмахивание, копирование и замена блокнота) на практике, вероятно, будет намного выше, чем вероятность взлома шифра, такого как AES . Наконец, усилия, необходимые для управления материалом клавиш одноразового блокнота, очень плохо масштабируются для больших сетей коммуникантов - количество требуемых блокнотов растет пропорционально квадрату числа пользователей, свободно обменивающихся сообщениями. Для связи только между двумя людьми или звездообразной топологии сети это не проблема.

Материал ключа должен быть надежно утилизирован после использования, чтобы гарантировать, что материал ключа никогда не будет повторно использован, и для защиты отправленных сообщений. ^[1] Поскольку ключевой материал должен транспортироваться от одной конечной точки к другой и сохраняться до тех пор, пока сообщение не будет отправлено или получено, он может быть более уязвим для судебного восстановления, чем временный открытый текст, который он защищает (см. Остаточные данные ).

Аутентификация [ править ]

Традиционно используемые одноразовые планшеты не обеспечивают аутентификации сообщений , отсутствие которой может представлять угрозу безопасности в реальных системах. Например, злоумышленник, который знает, что сообщение содержит «встретимся с Джейн и мной завтра в три тридцать вечера», может получить соответствующие коды блокнота непосредственно из двух известных элементов (зашифрованного текста и известного открытого текста). Затем злоумышленник может заменить этот текст любым другим текстом такой же длины, например «три тридцать встреча отменяется, оставайтесь дома». Знание злоумышленника об одноразовом блокноте ограничено этой длиной байта, которая должна поддерживаться, чтобы любое другое содержимое сообщения оставалось действительным. Это немного отличается от пластичности ^[21]где не обязательно, что открытый текст известен. См. Также атаку потокового шифра .

Стандартные методы для предотвращения этого, такие как использование кода аутентификации сообщения, могут использоваться вместе с системой одноразового блокнота для предотвращения таких атак, как и классические методы, такие как заполнение переменной длины и копуляция с русским языком , но всем им не хватает идеального безопасность самого OTP. Универсальное хеширование обеспечивает способ аутентификации сообщений до произвольной границы безопасности (т. Е. Для любого p > 0 достаточно большой хэш гарантирует, что даже вычислительно неограниченная вероятность успешной подделки злоумышленника меньше p ), но при этом используются дополнительные случайные данные с планшета, и исключает возможность реализации системы без компьютера.

Использует [ редактировать ]

Применимость [ править ]

Несмотря на свои проблемы, одноразовый блокнот сохраняет некоторый практический интерес. В некоторых ситуациях гипотетического шпионажа одноразовый блокнот может быть полезен, потому что его можно вычислить вручную, используя только карандаш и бумагу. Действительно, почти все другие высококачественные шифры совершенно непрактичны без компьютеров. Однако в современном мире компьютеры (например, встроенные в персональные электронные устройства, такие как мобильные телефоны ) настолько распространены, что наличие компьютера, подходящего для выполнения обычного шифрования (например, телефона, на котором может быть запущено скрытое криптографическое программное обеспечение), обычно не позволяет вызвать подозрение.

• Одноразовый блокнот - это оптимальная криптосистема с теоретически идеальной секретностью.
• Одноразовый блокнот - один из наиболее практичных методов шифрования, при котором одна или обе стороны должны выполнять всю работу вручную, без помощи компьютера. Это сделало его важным в докомпьютерную эпоху и, вероятно, все еще может быть полезным в ситуациях, когда владение компьютером является незаконным или инкриминирующим, или когда надежные компьютеры недоступны.
• Одноразовые контактные площадки практичны в ситуациях, когда две стороны в безопасной среде должны иметь возможность разойтись и общаться из двух отдельных безопасных сред с полной секретностью.
• Одноразовый блокнот можно использовать в супершифровании . ^[22]
• Алгоритм, чаще всего связанный с квантовым распределением ключей, - это одноразовый блокнот.
• Одноразовый блокнот имитируется потоковыми шифрами .
• Одноразовый блокнот может быть частью введения в криптографию. ^[23]

Историческое использование [ править ]

Одноразовые колодки использовались в особых обстоятельствах с начала 1900-х годов. В 1923 году он использовался для дипломатической связи в дипломатическом учреждении Германии. ^[24] Веймарская Республика Дипломатическая служба начала использовать метод примерно 1920. преломления бедной советской криптографии с англичанами , с сообщениями , обнародованных по политическим причинам в двух случаях в 1920 - х годах ( ARCOS случай ), по- видимому, индуцированные Советским Союз внедрил одноразовые блокноты для некоторых целей примерно к 1930 году. Известно также, что шпионы КГБ в последнее время использовали карандаш и бумагу для одноразовых блокнотов. Примеры включают полковника Рудольфа Абеля , который был арестован и осужден вНью-Йорк в 1950-х годах и «Крогеры» (то есть Моррис и Лона Коэн ), которые были арестованы и осуждены за шпионаж в Соединенном Королевстве в начале 1960-х. Оба были обнаружены с физическими одноразовыми блокнотами.

Ряд стран использовали системы одноразовых блокнотов для своего конфиденциального трафика. Лео Маркс сообщает, что британский спецназ во время Второй мировой войны использовал одноразовые планшеты для кодирования трафика между своими офисами. Одноразовые планшеты для использования с заграничными агентами были представлены в конце войны. ^[12] Несколько британских одноразовых ленточных шифровальных машин включают Rockex и Noreen . Немецкая машина Stasi Sprach также могла использовать одноразовую ленту, которую Восточная Германия, Россия и даже Куба использовали для отправки зашифрованных сообщений своим агентам. ^[25]

Второй мировой войны голос скремблера SIGSALY был также формой системы одноразовым. Он добавил шум к сигналу на одном конце и удалил его на другом конце. Шум распределялся по концам каналов в виде больших пластинок шеллака, изготовленных уникальными парами. Были проблемы как с синхронизацией запуска, так и с долговременным фазовым дрейфом, которые были решены до того, как систему можно было использовать.

Горячая линия между Москвой и Вашингтоном , созданной в 1963 году после того, как в 1962 году кубинского ракетного кризиса , используемые телепринтеры защищенных коммерческой системы ленты единовременной. Каждая страна подготовила магнитные ленты, используемые для кодирования своих сообщений, и доставила их через свое посольство в другой стране. Уникальным преимуществом OTP в этом случае было то, что ни одна из стран не должна была раскрывать другой более конфиденциальные методы шифрования. ^[26]

Спецназ армии США использовал одноразовые прокладки во Вьетнаме. Используя азбуку Морзе с одноразовыми блокнотами и непрерывную радиопередачу (несущая для кода Морзе), они достигли как секретности, так и надежной связи. ^[27]

Во время вторжения на Гренаду в 1983 году американские войска обнаружили запас пар одноразовых блокнотов на кубинском складе. ^[28]

Начиная с 1988 года Африканский национальный конгресс (АНК) использовал одноразовые планшеты на дисках как часть защищенной системы связи между лидерами АНК за пределами Южной Африки и оперативниками внутри страны в рамках операции «Вула» ^{[29], что} стало успешной попыткой создать сеть сопротивления внутри Южной Африки. Случайные числа на диске после использования стирались. Стюардесса бельгийской авиакомпании выступила курьером, чтобы доставить подкладные диски. Требовалось регулярное пополнение запасов новых дисков, поскольку они довольно быстро израсходовались. Одна проблема с системой заключалась в том, что ее нельзя было использовать для безопасного хранения данных. Позже Vula добавил поточный шифр с кодировкой книг, чтобы решить эту проблему. ^[30]

Связанное с этим понятие - одноразовый код - сигнал, используемый только один раз; например, «Альфа» для «миссия завершена», «Браво» для «миссия не выполнена» или даже «Факел» для « вторжения союзников во французскую Северную Африку » ^[31] не могут быть «расшифрованы» в любом разумном смысле этого слова. Для понимания сообщения потребуется дополнительная информация, часто «глубина» повторения, или некоторый анализ трафика . Однако такие стратегии (хотя часто используются настоящими оперативниками и тренерами по бейсболу ) ^{[ необходима цитата ]} не являются криптографическим одноразовым блокнотом в каком-либо значимом смысле.

АНБ [ править ]

По крайней мере, в 1970-е годы Агентство национальной безопасности США (АНБ) производило различные ручные одноразовые прокладки, как общего назначения, так и специальные, при этом в 1972 финансовом году было произведено 86 000 одноразовых прокладок. так называемые системы «проформы», где «основная структура, форма или формат каждого текста сообщения идентичны или почти идентичны; одна и та же информация, сообщение за сообщением, должна быть представлена ​​в одном и том же порядке, и только определенные значения, например числа, изменяются с каждым сообщением ». Примеры включали сообщения о ядерных запусках и радиопеленгационные отчеты (COMUS). ^{[32] : стр. 16–18.}

Блокноты общего назначения выпускались в нескольких форматах: простой список случайных букв (DIANA) или просто чисел (CALYPSO), миниатюрные блокноты для тайных агентов (MICKEY MOUSE) и блокноты, предназначенные для более быстрого кодирования коротких сообщений за счет меньшая плотность. В одном примере, ORION, с одной стороны было 50 строк алфавитов открытого текста, а с другой - соответствующие буквы случайного зашифрованного текста. Положив лист поверх копировальной бумагис угольником вверх можно обвести по одной букве в каждом ряду с одной стороны, а соответствующую букву с другой стороны обвести копиркой. Таким образом, один лист ORION может быстро закодировать или декодировать сообщение длиной до 50 символов. Производство блокнотов ORION требовало печати с обеих сторон с точным совмещением, что было сложным процессом, поэтому NSA перешло на другой формат блокнотов, MEDEA, с 25 рядами парных алфавитов и случайных символов. ( См. Иллюстрации в разделе Commons: Категория: одноразовые блокноты АНБ .)

АНБ также создало автоматизированные системы для «централизованного штаба подразделений ЦРУ и спецназа, чтобы они могли эффективно обрабатывать множество отдельных одноразовых сообщений блокнота, отправляемых и отправляемых отдельными держателями блокнотов в полевых условиях». ^{[32] : стр. 21–26.}

Во время Второй мировой войны и в 1950-е годы США широко использовали одноразовые магнитофонные системы. Помимо обеспечения конфиденциальности, каналы, защищенные одноразовой лентой, работали непрерывно, даже когда трафик отсутствовал, таким образом защищая от анализа трафика . В 1955 году АНБ произвело около 1 660 000 рулонов одноразовой ленты. Каждый рулон имел диаметр 8 дюймов, содержал 100 000 знаков, длился 166 минут и стоил 4,55 доллара США. К 1972 году было произведено всего 55 000 рулонов, поскольку одноразовые ленты были заменены роторными машинами, такими как SIGTOT, а затем электронными устройствами на основе регистров сдвига . ^{[32] : pp. 39–44} NSA описывает одноразовые ленточные системы, такие как 5-UCO.и SIGTOT как использовавшийся для разведывательного трафика до появления электронного шифра на базе KW-26 в 1957 г. ^[33]

Эксплойты [ править ]

В то время как одноразовые блокноты обеспечивают идеальную секретность при правильном создании и использовании, небольшие ошибки могут привести к успешному криптоанализу:

• В 1944-1945 год, то армия США «s Сигналы служба разведки была в состоянии решить систему САП одноразовой , используемую иностранные дела Германии за его высокий уровень трафика, под кодовым названием ГЭЭ. ^[34] GEE был небезопасен, потому что колодки не были достаточно случайными - машина, используемая для генерации колодок, давала предсказуемый результат.
• В 1945 году в США обнаружили , что Канберра - Москва сообщения были зашифрованы первым использованием кода книги , а затем , используя одноразовый блокнот с. Однако использованный одноразовый блокнот был тем же самым, что использовался Москвой для сообщений Вашингтон - Москва. В сочетании с тем фактом, что некоторые из сообщений Канберра-Москва включали известные британские правительственные документы, это позволило взломать некоторые из зашифрованных сообщений.
• Одноразовые колодки использовались советскимишпионские агентства для скрытой связи с агентами и контролерами агентов. Анализ показал, что эти блокноты были созданы машинистками на настоящих пишущих машинках. Этот метод, конечно, не является действительно случайным, так как он делает определенные удобные ключевые последовательности более вероятными, чем другие, но в целом он оказался эффективным, потому что, хотя человек не будет создавать действительно случайные последовательности, он в равной степени не следует тем же самым структурированным математическим правилам. что машина тоже, и каждый человек генерирует шифры по-своему, что затрудняет атаку любого сообщения. Без копий используемого ключевого материала только некоторые недостатки в методе генерации или повторного использования ключей давали большие надежды на криптоанализ. Начиная с конца 1940-х годов, спецслужбы США и Великобритании смогли прервать некоторые из советских одноразовых пропускных пунктов вМосква во время Второй мировой войны в результате ошибок, допущенных при создании и распространении основного материала. Одно из предположений состоит в том, что персонал Московского центра был несколько поспешен из-за присутствия немецких войск недалеко от Москвы в конце 1941 - начале 1942 годов, и за этот период они изготовили более одной копии одного и того же ключевого материала. Эта работа, продолжавшаяся несколько десятилетий, наконец получила кодовое название VENONA (ранее называлось НЕВЕСТА); он произвел значительный объем информации, в том числе немного о некоторых советских шпионах-атомщиках . Тем не менее, только небольшой процент перехваченных сообщений был полностью или частично расшифрован (несколько тысяч из нескольких сотен тысяч). ^[35]
• Системы одноразовой ленты, используемые в США, использовали электромеханические смесители для объединения битов из сообщения и одноразовой ленты. Эти микшеры излучали значительную электромагнитную энергию, которая могла быть уловлена ​​противником на некотором расстоянии от шифровального оборудования. Этот эффект, впервые замеченный Bell Labs во время Второй мировой войны, может позволить перехват и восстановление открытого текста передаваемых сообщений - уязвимость под кодовым названием Tempest . ^{[32] : стр. 89 и сл.}

См. Также [ править ]

Примечания [ править ]

Ссылки [ править ]

Дальнейшее чтение [ править ]

Внешние ссылки [ править ]

• Подробное описание и история One-time Pad с примерами и изображениями по Cipher Machines и Cryptology
• В FreeS / WAN вход глоссария с обсуждением недостатков ОТР