Статистический криптоанализ

Статистический криптоанализ — метод криптографического анализа. С его помощью могут быть раскрыты многие типы шифров.

В общем случае статистический анализ выполняется следующим образом:

1. По перехваченной криптограмме ${\displaystyle E}$ вычисляется некоторая статистика. Эта статистика такова, что для всех осмысленных сообщений ${\displaystyle M}$ она принимает значения, мало отличающиеся от ${\displaystyle S_{k}}$ , величины, зависящей только от частного используемого ключа.
2. Полученная таким образом величина служит для выделения тех возможных ключей, для которых значение ${\displaystyle S_{k}}$ лежит в близкой окрестности наблюденного значения.

Статистика, которая не зависит от ${\displaystyle K}$ или изменяется в зависимости от ${\displaystyle M}$ так же сильно, как и в зависимости от ${\displaystyle K}$, не может быть существенна для выделения некоторого подмножества ключей. Так, в шифрах транспозиции подсчёт частот букв не даёт никакой информации о ${\displaystyle K}$ — для любого ${\displaystyle K}$ эта статистика остается той же самой. Поэтому нельзя извлечь никакой пользы из подсчёта частот для раскрытия шифров транспозиции. Более точно данной статистике ${\displaystyle S}$ можно приписать некоторую «разрешающую мощность». Для каждой величины ${\displaystyle S}$ имеется условная ненадёжность ключа ${\displaystyle H_{s}(K)}$ (ненадёжность при фиксированном значении ${\displaystyle S}$) и это всё, что известно относительно ключа. Среднее арифметическое взвешенное этих величин ${\displaystyle \sum p(S)H_{S}(K)}$ даёт среднюю ненадёжность ключа при известном ${\displaystyle S}$, где ${\displaystyle p(S)}$ является априорной вероятностью конкретного значения ${\displaystyle S}$. Разность объёма ключа ${\displaystyle H(K)}$ и этой средней неопределённости измеряет «разрешающую мощность» статистики ${\displaystyle S}$. В строго идеальном шифре все статистики данной криптограммы не зависят от частного используемого ключа. Это следует из свойства сохранения меры преобразованием ${\displaystyle T_{j}T_{k}^{-}1}$ в пространстве ${\displaystyle E}$ или ${\displaystyle T_{j}^{-}1T_{k}}$ в пространстве ${\displaystyle M}$.

Имеются хорошие и плохие статистики, точно так же, как имеются хорошие и плохие методы испытаний и ошибок. Фактически проверка некоторой гипотезы методом испытаний и ошибок представляет собой некоторый тип статистики, и то, что было сказано выше относительно наилучших типов испытаний, верно и вообще.

Хорошая статистика для решения системы должна обладать следующими свойствами:

1. Она должна просто вычисляться;
2. Она должна зависеть от ключа больше, чем от сообщения, если с её помощью требуется находить ключ. Изменения по ${\displaystyle M}$ не должны маскировать изменений по ${\displaystyle K}$. Те значения статистики, которые могут быть «различены», несмотря на «размытость», создаваемую изменением по ${\displaystyle M}$, должны разделять пространство ключей на несколько подмножеств, вероятности которых сравнимы по величине, причём статистика будет характеризовать подмножество, в котором лежит правильный ключ;
3. Статистика должна давать информацию о значительных объёмах ключа, а не об объёмах, составляющих малую долю общего числа бит;
4. Информация, даваемая статистикой, должна быть простой и удобной для использования. Таким образом, подмножества, на которые статистика разделяет пространство ключей, должны иметь простую структуру в пространстве ключей.