37
Pr[M = a] = 0,7 и Pr[M = z] = 0,3.
Какова вероятность того, что шифртекст равняется B? Для этого существует
только две возможности: либо M = a и K = 1, либо M = z и K = 2. В результате
независимости M и K мы имеем:
Аналогичным образом,
.
Следовательно,
Также мы можем вычислить условные вероятности. Например, какова веро-
ятность того, что сообщение a, учитывая, что мы имеем шифртекст B? Исполь-
зуя теорему Байеса (Теорема A.8), мы
имеем
Обратите внимание, Pr[C = B | M = a] = 1/26, поскольку если M = a, тогда един-
ственная возможность, при которой C = B, возникает, когда K = 1 (что проис-
ходит с вероятностью 1/26). Мы приходим к выводу, что Pr[M = a | C = B] = 0,7.
Пример 2.2
Еще
раз рассмотрим сдвиговый шифр, но со следующим распределением по M:
Pr[M = kim] = 0.5, Pr[M = ann] = 0,2, Pr[M = boo] = 0,3.
Какова вероятность того, что C = DQQ? Единственная возможность, при ко-
торой это случится: если M = ann и K = 3 или M = boo и K = 2, что произойдет с
вероятностью 0,2 • 1/26 + 0,3 • 1/26 = 1/52.
Итак, какова вероятность того, что было зашифровано ann, при условии, что
наблюдаемый шифртекст DQQ? Вычисления по вышеупомянутой теореме
Байеса дают: Pr[M = ann | C = DQQ] = 0,4.
Абсолютная стойкость. Теперь мы готовы дать определение понятию «
со-
вершенная стойкость». Представим противника, которому известно распреде-
ление вероятности по M, значит, перехватчику известна правдоподобная веро-
ятность того, что будут отправляться разные сообщения.
Данному противнику
также известна используемая система шифрования. Единственное, что ему не-
известно, так это ключ, используемый сторонами. Один из честных участников
38
выбрал сообщение и зашифровал его, получив шифртекст, переданный другой
стороне. Противник может
перехватить сообщение, получив таким образом
шифртекст. (Иными словами, это
атака на основе шифртекста, когда перехватчик
получает только один шифртекст.) Для того, чтобы система была совершенно се-
кретной, изучение данного шифртекста не должно влиять на знания противника
об отправленном в действительности сообщении. Иначе говоря, апостериорная
вероятность того, что некоторое сообщение
m ∈ M было отправлено в зависи-
мости от наблюдаемого шифртекста, не должна отличаться от априорной вероят-
ности того, что m будет отправлено. Это означает, что шифртекст никак не ото-
бражает лежащий в его основе открытый текст и противник не получает никакой
информации о зашифрованном открытом тексте. Формально:
Достарыңызбен бөлісу: