Одноразовый блокнот

Метод шифрования

Формат одноразового блокнота, используемый Агентством национальной безопасности США , кодовое название DIANA. Таблица справа — это помощь в преобразовании открытого текста в зашифрованный текст с использованием символов слева в качестве ключа.

В криптографии одноразовый блокнот ( OTP ) — это метод шифрования , который невозможно взломать , но который требует использования одноразового предварительного общего ключа , который больше или равен размеру отправляемого сообщения. В этом методе открытый текст сопоставляется со случайным секретным ключом (также называемым одноразовым блокнотом ). Затем каждый бит или символ открытого текста шифруется путем объединения его с соответствующим битом или символом из блокнота с использованием модульного сложения . ^[1]

Полученный шифртекст будет невозможно расшифровать или взломать, если выполнены следующие четыре условия: ^{[2] [3]}

1. Длина ключа должна быть не меньше длины открытого текста.
2. Ключ должен быть действительно случайным .
3. Ключ ни в коем случае нельзя использовать повторно ни целиком, ни частично.
4. Ключ должен храниться в полной тайне между взаимодействующими сторонами.

Также было математически доказано, что любой шифр со свойством идеальной секретности должен использовать ключи с фактически теми же требованиями, что и ключи OTP. ^[4] Цифровые версии шифров одноразового шифрблокнота использовались странами для критически важной дипломатической и военной связи , но проблемы безопасного распределения ключей делают их непрактичными для большинства приложений.

Впервые описанный Фрэнком Миллером в 1882 году ^{[5] [6]} одноразовый блокнот был заново изобретен в 1917 году. 22 июля 1919 года Гилберту Вернаму был выдан патент США 1,310,719 на операцию XOR , используемую для шифрования одноразового блокнота. ^[7] Полученная из его шифра Вернама , система представляла собой шифр, который объединял сообщение с ключом, считываемым с перфоленты . В своей первоначальной форме система Вернама была уязвима, поскольку ключевая лента представляла собой цикл, который повторно использовался всякий раз, когда цикл делал полный цикл. Одноразовое использование появилось позже, когда Джозеф Моборн понял, что если бы ключевая лента была полностью случайной, то криптоанализ был бы невозможен. ^[8]

Часть названия «прокладка» происходит от ранних реализаций, где ключевой материал распространялся в виде прокладки бумаги, что позволяло отрывать и уничтожать текущий верхний лист после использования. Для сокрытия прокладка иногда была настолько мала, что для ее использования требовалось мощное увеличительное стекло . КГБ использовало прокладки такого размера, что они могли поместиться на ладони ^[9] или в скорлупе грецкого ореха . ^[10] Для повышения безопасности одноразовые прокладки иногда печатались на листах легковоспламеняющейся нитроцеллюлозы , так что их можно было легко сжечь после использования.

Термин «шифр Вернама» неоднозначен, поскольку некоторые источники используют «шифр Вернама» и «одноразовый блокнот» как синонимы, в то время как другие называют «шифром Вернама» любой аддитивный потоковый шифр , включая те, которые основаны на криптографически безопасном генераторе псевдослучайных чисел (CSPRNG). ^[11]

История

Фрэнк Миллер в 1882 году был первым, кто описал систему одноразового шифрблокнота для защиты телеграфной связи. ^{[6] [12]}

Следующая система одноразового шифрблокнота была электрической. В 1917 году Гилберт Вернам (из корпорации AT&T ) изобрел ^[13] и позже запатентовал в 1919 году ( патент США 1,310,719 ) шифр, основанный на технологии телетайпа . Каждый символ в сообщении электрически объединялся с символом на перфорированной бумажной ленте ключа. Джозеф Моборн (тогда капитан армии США , а позже начальник Корпуса связи ) понял, что последовательность символов на ленте ключа может быть совершенно случайной и что, если это так, криптоанализ будет более сложным. Вместе они изобрели первую систему одноразовой ленты. ^[11]

Следующим развитием стала система бумажных блокнотов. Дипломаты долгое время использовали коды и шифры для конфиденциальности и минимизации расходов на телеграф . Для кодов слова и фразы преобразовывались в группы чисел (обычно 4 или 5 цифр) с использованием словаря, похожего на кодовую книгу . Для дополнительной безопасности секретные числа могли быть объединены (обычно модульным сложением) с каждой группой кодов перед передачей, при этом секретные числа периодически менялись (это называлось супершифрованием ). В начале 1920-х годов три немецких криптографа (Вернер Кунце, Рудольф Шауфлер и Эрих Ланглотц), которые занимались взломом таких систем, поняли, что их никогда не взломать, если для каждой группы кодов использовать отдельное случайно выбранное аддитивное число. У них были дубликаты бумажных блокнотов, напечатанных строками случайных числовых групп. Каждая страница имела серийный номер и восемь строк. Каждая строка имела шесть пятизначных чисел. Страница использовалась в качестве рабочего листа для кодирования сообщения, а затем уничтожалась. Серийный номер страницы отправлялся вместе с закодированным сообщением. Получатель должен был отменить процедуру и затем уничтожить свою копию страницы. Министерство иностранных дел Германии ввело эту систему в эксплуатацию к 1923 году. ^[11]

Отдельной идеей было использование одноразового блокнота с буквами для непосредственного кодирования открытого текста, как в примере ниже. Лео Маркс описывает изобретение такой системы для британского Управления специальных операций во время Второй мировой войны , хотя в то время он подозревал, что она уже была известна в сильно разрозненном мире криптографии, например, в Блетчли-парке . ^[14]

Окончательное открытие было сделано теоретиком информации Клодом Шенноном в 1940-х годах, который осознал и доказал теоретическую значимость системы одноразовых блокнотов. Шеннон представил свои результаты в секретном отчете в 1945 году и опубликовал их открыто в 1949 году. ^[4] В то же время советский теоретик информации Владимир Котельников независимо доказал абсолютную безопасность одноразовых блокнотов; его результаты были представлены в 1941 году в отчете, который, по-видимому, остается секретным. ^[15]

Существует также квантовый аналог одноразового блокнота, который может использоваться для обмена квантовыми состояниями по одностороннему квантовому каналу с идеальной секретностью, что иногда используется в квантовых вычислениях. Можно показать, что для обмена n-кубитным квантовым состоянием по одностороннему квантовому каналу требуется общий секрет из не менее 2n классических битов (по аналогии с результатом, что для обмена n-битным сообщением с идеальной секретностью требуется ключ из n битов). Схема, предложенная в 2000 году, достигает этой границы. Один из способов реализации этого квантового одноразового блокнота — разделить 2n-битный ключ на n пар битов. Чтобы зашифровать состояние, для каждой пары битов i в ключе следует применить вентиль X к кубиту i состояния тогда и только тогда, когда первый бит пары равен 1, и применить вентиль Z к кубиту i состояния тогда и только тогда, когда второй бит пары равен 1. Расшифровка включает в себя повторное применение этого преобразования, поскольку X и Z являются своими собственными инверсиями. Можно показать, что это совершенно секретно в квантовой среде. ^[16]

Пример

Предположим, что Алиса хочет отправить сообщение helloБобу . Предположим, что два блокнота, содержащие одинаковые случайные последовательности букв, были каким-то образом заранее изготовлены и надежно выданы обоим. Алиса выбирает подходящую неиспользованную страницу из блокнота. Способ сделать это обычно заранее оговаривается, например, «использовать 12-й лист 1 мая» или «использовать следующий доступный лист для следующего сообщения».

Материал на выбранном листе является ключом для этого сообщения. Каждая буква из блокнота будет объединена предопределенным образом с одной буквой сообщения. (Обычно, но не обязательно, назначать каждой букве числовое значение , например, a0, b1 и т. д.)

В этом примере техника заключается в объединении ключа и сообщения с помощью модульного сложения , что мало чем отличается от шифра Виженера . Числовые значения соответствующих букв сообщения и ключа складываются по модулю 26. Таким образом, если ключевой материал начинается с XMCKL, а сообщение — hello, то кодирование будет выполнено следующим образом:

 приветственное сообщение 7 (з) 4 (д) 11 (л) 11 (л) 14 (о) сообщение+ 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ= 30 16 13 21 25 сообщение + ключ= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (сообщение + ключ) mod 26 EQNVZ → шифртекст

Если число больше 25, то остаток после вычитания 26 берется в модульной арифметике. Это просто означает, что если вычисления «проходят» Z, последовательность начинается снова с A.

Таким образом, шифротекст, который нужно отправить Бобу, равен EQNVZ. Боб использует соответствующую ключевую страницу и тот же процесс, но в обратном порядке, чтобы получить открытый текст . Здесь ключ вычитается из шифротекста, снова используя модульную арифметику:

 EQNVZ шифртекст 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) шифртекст− 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ= −19 4 11 11 14 шифртекст – ключ= 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) шифртекст – ключ (по модулю 26) привет → сообщение

Аналогично предыдущему, если число отрицательное, то к нему добавляется 26, чтобы число стало равным нулю или больше.

Таким образом, Боб восстанавливает открытый текст Алисы, сообщение hello. И Алиса, и Боб уничтожают ключевой лист сразу после использования, тем самым предотвращая повторное использование и атаку на шифр. КГБ часто выдавало своим агентам одноразовые блокноты, напечатанные на крошечных листах флэш-бумаги, бумаги, химически преобразованной в нитроцеллюлозу , которая сгорает почти мгновенно и не оставляет пепла. ^[17]

Классический одноразовый блокнот шпионажа использовал настоящие блокноты крошечной, легко скрываемой бумаги, острый карандаш и немного устной арифметики . Метод может быть реализован сейчас как программа, использующая файлы данных в качестве входных данных (открытый текст), выходных данных (зашифрованный текст) и ключевого материала (требуемая случайная последовательность). Операция исключающего или (XOR) часто используется для объединения открытого текста и ключевых элементов и особенно привлекательна на компьютерах, поскольку обычно представляет собой собственную машинную инструкцию и поэтому очень быстра. Однако трудно гарантировать, что ключевой материал действительно случаен, используется только один раз, никогда не становится известным оппозиции и полностью уничтожается после использования. Вспомогательные части реализации программного одноразового блокнота представляют собой реальные проблемы: безопасная обработка/передача открытого текста, действительно случайные ключи и одноразовое использование ключа.

Попытка криптоанализа

Продолжая пример выше, предположим, что Ева перехватывает зашифрованный текст Алисы: EQNVZЕсли бы Ева перепробовала все возможные ключи, она бы обнаружила, что ключ XMCKLдаст открытый текст hello, но она также обнаружила бы, что ключ TQURIдаст открытый текст later, столь же правдоподобное сообщение:

 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) шифртекст− 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) возможный ключ= −15 0 −7 4 17 шифртекст-ключ= 11 (l) 0 (a) 19 (t) 4 (e) 17 (r) шифртекст-ключ (mod 26)

На самом деле, из зашифрованного текста можно «расшифровать» любое сообщение с тем же количеством символов, просто используя другой ключ, и в зашифрованном тексте нет никакой информации, которая позволила бы Еве выбирать среди различных возможных прочтений зашифрованного текста. ^[18]

Если ключ не является действительно случайным, можно использовать статистический анализ, чтобы определить, какой из вероятных ключей является «наименее» случайным и, следовательно, с большей вероятностью будет правильным. Если ключ используется повторно, он будет, очевидно, единственным ключом, который производит осмысленные открытые тексты из обоих шифртекстов (шансы того, что какой-то случайный неправильный ключ также производит два осмысленных открытых текста, очень малы).

Полная секретность

Одноразовые блокноты являются « информационно-теоретически безопасными », поскольку зашифрованное сообщение (т. е. шифртекст ) не предоставляет никакой информации об исходном сообщении криптоаналитику ( кроме максимально возможной длины ^{[примечание 1]} сообщения). Это очень сильное понятие безопасности, впервые разработанное во время Второй мировой войны Клодом Шенноном и математически доказанное Шенноном как верное для одноразового блокнота примерно в то же время. Его результат был опубликован в Bell System Technical Journal в 1949 году . ^[19] При правильном использовании одноразовые блокноты безопасны в этом смысле даже против противников с бесконечной вычислительной мощностью.

Шеннон доказал, используя соображения теории информации , что одноразовый блокнот обладает свойством, которое он назвал совершенной секретностью ; то есть, шифротекст C не дает абсолютно никакой дополнительной информации об открытом тексте . ^{[примечание 2]} Это потому, что (интуитивно), учитывая действительно равномерно случайный ключ, который используется только один раз, шифротекст может быть переведен в любой открытый текст той же длины, и все они равновероятны. Таким образом, априорная вероятность открытого текста сообщения M такая же, как апостериорная вероятность открытого текста сообщения M при наличии соответствующего шифротекста.

Обычные симметричные алгоритмы шифрования используют сложные шаблоны подстановки и транспозиции . Для лучших из них, используемых в настоящее время, неизвестно, может ли существовать криптоаналитическая процедура, которая может эффективно обратить (или даже частично обратить ) эти преобразования, не зная ключа, используемого во время шифрования. Асимметричные алгоритмы шифрования зависят от математических задач, которые считаются сложными для решения, таких как факторизация целых чисел или дискретный логарифм . Однако нет никаких доказательств того, что эти задачи сложны, и математический прорыв может сделать существующие системы уязвимыми для атак. ^{[примечание 3]}

Учитывая идеальную секретность, в отличие от обычного симметричного шифрования, одноразовый блокнот невосприимчив даже к атакам методом перебора. Перебор всех ключей просто выдает все открытые тексты, все из которых с равной вероятностью являются фактическим открытым текстом. Даже при частично известном открытом тексте атаки методом перебора не могут быть использованы, поскольку злоумышленник не может получить никакой информации о частях ключа, необходимых для расшифровки остальной части сообщения. Известные части открытого текста раскроют только части ключа, соответствующие им, и они соответствуют строго один к одному ; биты равномерно случайного ключа будут независимы .

Квантовая криптография и постквантовая криптография включают изучение влияния квантовых компьютеров на информационную безопасность . Питер Шор и другие показали, что квантовые компьютеры намного быстрее решают некоторые проблемы, от которых зависит безопасность традиционных асимметричных алгоритмов шифрования. Криптографические алгоритмы, зависящие от сложности этих проблем, станут устаревшими при наличии достаточно мощного квантового компьютера. Однако одноразовые блокноты останутся безопасными, поскольку идеальная секретность не зависит от предположений о вычислительных ресурсах злоумышленника.

Проблемы

Несмотря на доказательство Шенноном своей безопасности, одноразовый блокнот имеет серьезные недостатки на практике, поскольку для его использования требуется:

• Действительно случайные, в отличие от псевдослучайных , одноразовые значения блокнота, что является нетривиальным требованием. Генерация случайных чисел в компьютерах часто сложна, и генераторы псевдослучайных чисел часто используются из-за их скорости и полезности для большинства приложений. Существуют и настоящие генераторы случайных чисел , но они, как правило, медленнее и более специализированы.
• Безопасная генерация и обмен значениями одноразового блокнота, которые должны быть по крайней мере такой же длины, как и сообщение. Это важно, поскольку безопасность одноразового блокнота зависит от безопасности обмена одноразовыми блокнотами. Если злоумышленник сможет перехватить значение одноразового блокнота, он сможет расшифровать сообщения, отправленные с использованием одноразового блокнота. ^[18]
• Тщательное обращение, гарантирующее, что одноразовые значения блокнота продолжают оставаться секретными и утилизируются правильно, предотвращая любое повторное использование (частичное или полное) — отсюда и «одноразовый». Проблемы с остаточными данными могут затруднить полное стирание компьютерных носителей.

Одноразовые блокноты решают мало текущих практических проблем в криптографии. Высококачественные шифры широко доступны, и их безопасность в настоящее время не считается серьезной проблемой. ^[20] Такие шифры почти всегда проще использовать, чем одноразовые блокноты, поскольку объем ключевого материала, который должен быть правильно и безопасно сгенерирован, распространен и сохранен, намного меньше. ^[18] Кроме того, криптография с открытым ключом решает проблему распределения ключей.

Истинная случайность

Высококачественные случайные числа трудно генерировать. Функции генерации случайных чисел в большинстве библиотек языков программирования не подходят для криптографического использования. Даже те генераторы, которые подходят для обычного криптографического использования, включая /dev/random и многие аппаратные генераторы случайных чисел , могут использовать некоторые криптографические функции, безопасность которых не была доказана. Примером метода генерации чистой случайности является измерение радиоактивных выбросов . ^[21]

В частности, одноразовое использование абсолютно необходимо. Например, если и представляют два различных открытых текстовых сообщения и каждое из них зашифровано общим ключом , то соответствующие шифртексты задаются как: ${\displaystyle p_{1}}$ ${\displaystyle p_{2}}$ ${\displaystyle k}$

${\displaystyle c_{1}=p_{1}\oplus k}$

${\displaystyle c_{2}=p_{2}\oplus k}$

где означает XOR . Если бы у злоумышленника были оба шифротекста и , то простое взятие XOR и дает XOR двух открытых текстов . (Это потому, что взятие XOR общего ключа с самим собой дает постоянный битовый поток нулей.) тогда эквивалентно работающему ключевому шифру. ^{[ необходима цитата ]} ${\displaystyle \oplus }$ ${\displaystyle c_{1}}$ ${\displaystyle c_{2}}$ ${\displaystyle c_{1}}$ ${\displaystyle c_{2}}$ ${\displaystyle p_{1}\oplus p_{2}}$ ${\displaystyle k}$ ${\displaystyle p_{1}\oplus p_{2}}$

Если оба открытых текста на естественном языке (например, английском или русском), то у каждого из них очень высокие шансы быть восстановленным эвристическим криптоанализом, возможно, с несколькими двусмысленностями. Конечно, более длинное сообщение может быть взломано только для той части, которая перекрывает более короткое сообщение, плюс, возможно, немного больше, дополнив слово или фразу. Самый известный эксплойт этой уязвимости произошел с проектом Venona . ^[22]

Распределение ключей

Поскольку блокнот, как и все общие секреты , должен передаваться и храниться в безопасности, а блокнот должен быть по крайней мере такой же длины, как и сообщение, часто нет смысла использовать одноразовый блокнот, так как можно просто отправить обычный текст вместо блокнота (поскольку оба могут быть одинакового размера и должны быть отправлены безопасно). ^[18] Однако после того, как очень длинный блокнот был безопасно отправлен (например, компьютерный диск, полный случайных данных), его можно использовать для многочисленных будущих сообщений, пока сумма размеров сообщений не сравняется с размером блокнота. Квантовое распределение ключей также предлагает решение этой проблемы, предполагая отказоустойчивые квантовые компьютеры.

Распространение очень длинных одноразовых ключей неудобно и обычно представляет собой значительный риск для безопасности. ^[2] По сути, блокнот — это ключ шифрования, но в отличие от ключей для современных шифров он должен быть чрезвычайно длинным и слишком сложным для запоминания людьми. Носители информации, такие как флэш-накопители , DVD-R или персональные цифровые аудиоплееры, могут использоваться для переноски очень большого одноразового блокнота с места на место не вызывающим подозрений способом, но необходимость физической транспортировки блокнота является бременем по сравнению с протоколами согласования ключей современной криптосистемы с открытым ключом. Такие носители информации невозможно надежно стереть никакими способами, кроме физического уничтожения (например, сжигания). DVD-R объемом 4,7 ГБ, полный данных одноразового блокнота, если измельчить на частицы размером 1 мм ² (0,0016 кв. дюйма), оставляет более 4 мегабит данных на каждой частице. ^{[ необходима цитата ]} Кроме того, риск компрометации во время передачи (например, карманник , считывающий, копирующий и заменяющий блокнот), вероятно, будет намного выше на практике, чем вероятность компрометации для такого шифра, как AES . Наконец, усилия, необходимые для управления одноразовым ключом блокнота, очень плохо масштабируются для больших сетей коммуникаторов — количество требуемых блокнотов увеличивается как квадрат числа пользователей, свободно обменивающихся сообщениями. Для общения только между двумя людьми или топологии сети со звездой это не такая уж проблема.

Материал ключа должен быть надежно утилизирован после использования, чтобы гарантировать, что материал ключа никогда не будет использован повторно, и защитить отправленные сообщения. ^[2] Поскольку материал ключа должен быть передан с одной конечной точки на другую и сохраняться до тех пор, пока сообщение не будет отправлено или получено, он может быть более уязвим для судебно-медицинского восстановления , чем временный открытый текст, который он защищает (из-за возможной остаточности данных).

Аутентификация

Традиционно одноразовые блокноты не обеспечивают аутентификации сообщений , отсутствие которой может представлять угрозу безопасности в реальных системах. Например, злоумышленник, который знает, что сообщение содержит «встретимся с Джейн и мной завтра в три тридцать», может вывести соответствующие коды блокнота непосредственно из двух известных элементов (зашифрованного текста и известного открытого текста). Затем злоумышленник может заменить этот текст любым другим текстом точно такой же длины, например, «встреча в три тридцать отменяется, оставайтесь дома». Знание злоумышленником одноразового блокнота ограничено этой длиной байта, которая должна поддерживаться для того, чтобы любое другое содержимое сообщения оставалось действительным. Это отличается от пластичности ^[23] , когда открытый текст не обязательно известен. Не зная сообщения, злоумышленник также может переворачивать биты в сообщении, отправленном с помощью одноразового блокнота, без возможности получателя обнаружить это. Из-за их сходства атаки на одноразовые блокноты похожи на атаки на потоковые шифры . ^[24]

Стандартные методы предотвращения этого, такие как использование кода аутентификации сообщения, могут использоваться вместе с системой одноразового блокнота для предотвращения таких атак, как и классические методы, такие как заполнение переменной длины и русская копуляция , но все они не обладают идеальной безопасностью, которую имеет сам OTP. Универсальное хеширование обеспечивает способ аутентификации сообщений до произвольной границы безопасности (т. е. для любого p > 0 достаточно большой хеш гарантирует, что даже вычислительно неограниченная вероятность успешной подделки злоумышленником будет меньше p ), но это использует дополнительные случайные данные из блокнота, и некоторые из этих методов исключают возможность реализации системы без компьютера.

Распространенные ошибки реализации

Благодаря своей относительной простоте реализации и обещанию идеальной секретности одноразовый блокнот пользуется большой популярностью среди студентов, изучающих криптографию, особенно потому, что это часто первый алгоритм, который будет представлен и реализован в ходе курса. Такие «первые» реализации часто нарушают требования к теоретической безопасности информации одним или несколькими способами:

• Блокнот генерируется с помощью некоторого алгоритма, который расширяет одно или несколько небольших значений в более длинный «одноразовый блокнот». Это в равной степени применимо ко всем алгоритмам, от небезопасных базовых математических операций, таких как разложение квадратного корня из десятичных дробей, до сложных, криптографически безопасных генераторов псевдослучайных случайных чисел (CSPRNG). Ни одна из этих реализаций не является одноразовым блокнотом, но потоковыми шифрами по определению. Все одноразовые блокноты должны генерироваться неалгоритмическим процессом, например, аппаратным генератором случайных чисел .
• Блокнот обменивается с использованием неинформационно-теоретически безопасных методов. Если одноразовый блокнот зашифрован с помощью неинформационно-теоретически безопасного алгоритма для доставки, безопасность криптосистемы будет только настолько надежной, насколько надежен небезопасный механизм доставки. Распространенным несовершенным механизмом доставки для одноразового блокнота является стандартная гибридная криптосистема , которая полагается на симметричную криптографию ключа для шифрования блокнота и асимметричную криптографию для симметричной доставки ключа. Распространенными безопасными методами доставки одноразового блокнота являются квантовое распределение ключей , sneakernet или курьерская служба или тайник .
• Реализация не предусматривает безусловно безопасного механизма аутентификации, такого как одноразовый MAC .
• Прокладка используется повторно ( например, использовалась в проекте Venona ). ^[25]
• Прокладка не разрушается сразу после использования.

Использует

Применимость

Несмотря на свои проблемы, одноразовый блокнот сохраняет некоторый практический интерес. В некоторых гипотетических шпионских ситуациях одноразовый блокнот может быть полезен, поскольку шифрование и дешифрование можно вычислить вручную, используя только карандаш и бумагу. Почти все другие высококачественные шифры совершенно непрактичны без компьютеров. Однако в современном мире компьютеры (например, встроенные в мобильные телефоны ) настолько распространены, что наличие компьютера, подходящего для выполнения обычного шифрования (например, телефона, который может запускать скрытое криптографическое программное обеспечение), обычно не вызывает подозрений.

• Одноразовый шифрблокнот — это оптимальная криптосистема с теоретически идеальной секретностью. ^[19]
• Одноразовый блокнот — один из самых практичных методов шифрования, когда одна или обе стороны должны выполнять всю работу вручную, без помощи компьютера. Это сделало его важным в докомпьютерную эпоху, и он, вероятно, все еще может быть полезен в ситуациях, когда владение компьютером незаконно или инкриминирует, или когда надежные компьютеры недоступны.
• Одноразовые шифрблокноты практичны в ситуациях, когда двум сторонам в защищенной среде необходимо иметь возможность отойти друг от друга и общаться из двух отдельных защищенных сред с соблюдением полной секретности.
• Одноразовый блокнот может быть использован в супершифровании . ^[26]
• Алгоритм, который чаще всего ассоциируется с квантовым распределением ключей, — это одноразовый блокнот. ^[27]
• Одноразовый блокнот имитируется потоковыми шифрами . ^[24]
• Номера станций часто отправляют сообщения, зашифрованные с помощью одноразового блокнота. ^[2]

Квантовая и постквантовая криптография

Одноразовый блокнот в квантовой криптографии обычно используется в сочетании с квантовым распределением ключей (QKD). QKD обычно ассоциируется с одноразовым блокнотом, поскольку он обеспечивает способ безопасного и эффективного распределения длинного общего секретного ключа (при условии существования практического квантового сетевого оборудования). Алгоритм QKD использует свойства квантово-механических систем, чтобы позволить двум сторонам договориться об общей, равномерно случайной строке. Алгоритмы для QKD, такие как BB84 , также способны определить, пыталась ли противоборствующая сторона перехватить ключевой материал, и позволяют согласовать общий секретный ключ с относительно небольшим количеством сообщений и относительно низкими вычислительными затратами. На высоком уровне схемы работают, используя разрушительный способ измерения квантовых состояний для обмена секретом и обнаружения несанкционированного доступа. В оригинальной статье BB84 было доказано, что одноразовый блокнот с ключами, распределенными через QKD, является совершенно безопасной схемой шифрования. ^[27] Однако этот результат зависит от правильности реализации схемы QKD на практике. Существуют атаки на реальные системы QKD. Например, многие системы не отправляют один фотон (или другой объект в желаемом квантовом состоянии) на бит ключа из-за практических ограничений, и злоумышленник может перехватить и измерить некоторые из фотонов, связанных с сообщением, получив информацию о ключе (т. е. утечку информации о блокноте), при этом передавая неизмеренные фотоны, соответствующие тому же биту ключа. ^[28] Объединение QKD с одноразовым блокнотом также может ослабить требования к повторному использованию ключа. В 1982 году Беннетт и Брассар показали, что если протокол QKD не обнаруживает, что злоумышленник пытался перехватить обмененный ключ, то ключ можно безопасно использовать повторно, сохраняя при этом полную секретность. ^[29]

Одноразовый блокнот является примером постквантовой криптографии, поскольку идеальная секретность — это определение безопасности, которое не зависит от вычислительных ресурсов противника. Следовательно, противник с квантовым компьютером все равно не сможет получить больше информации о сообщении, зашифрованном с помощью одноразового блокнота, чем противник с классическим компьютером.

Историческое использование

Одноразовые блокноты использовались в особых обстоятельствах с начала 1900-х годов. В 1923 году они использовались для дипломатической связи немецким дипломатическим учреждением. ^[30] Дипломатическая служба Веймарской республики начала использовать этот метод примерно в 1920 году. Взлом плохой советской криптографии британцами , когда сообщения были обнародованы по политическим причинам в двух случаях в 1920-х годах ( дело ARCOS ), по-видимому, заставил Советский Союз принять одноразовые блокноты для некоторых целей примерно к 1930 году. Известно, что шпионы КГБ также использовали одноразовые блокноты в виде карандаша и бумаги в последнее время. Примерами служат полковник Рудольф Абель , который был арестован и осужден в Нью-Йорке в 1950-х годах, и «Крогеры» (то есть Моррис и Лона Коэн ), которые были арестованы и осуждены за шпионаж в Соединенном Королевстве в начале 1960-х годов. У обоих были обнаружены физические одноразовые блокноты.

Ряд стран использовали системы одноразовых шифрблокнотов для своего конфиденциального трафика. Лео Маркс сообщает, что британское Управление специальных операций использовало одноразовые шифрблокноты во время Второй мировой войны для кодирования трафика между своими офисами. Одноразовые шифрблокноты для использования его зарубежными агентами были введены в конце войны. ^[14] Несколько британских одноразовых ленточных шифровальных машин включают Rockex и Noreen . Немецкая машина Stasi Sprach Machine также могла использовать одноразовую ленту, которую Восточная Германия, Россия и даже Куба использовали для отправки зашифрованных сообщений своим агентам. ^[31]

Голосовой скремблер времен Второй мировой войны SIGSALY также был формой одноразовой системы. Он добавлял шум к сигналу на одном конце и удалял его на другом конце. Шум распределялся по концам канала в виде больших шеллаковых пластинок, которые изготавливались уникальными парами. Возникали как проблемы начальной синхронизации, так и долгосрочного фазового дрейфа, которые нужно было решить, прежде чем систему можно было использовать. ^[32]

Горячая линия между Москвой и Вашингтоном , установленная в 1963 году после Карибского кризиса 1962 года , использовала телетайпы, защищенные коммерческой системой одноразовых лент. Каждая страна подготовила ключевые ленты, используемые для кодирования своих сообщений, и доставила их через свое посольство в другой стране. Уникальным преимуществом OTP в этом случае было то, что ни одна из стран не должна была раскрывать более чувствительные методы шифрования другой. ^[33]

Силы специального назначения армии США использовали одноразовые шифрблокноты во Вьетнаме. Используя азбуку Морзе с одноразовыми шифрблокнотами и непрерывную радиопередачу (носитель азбуки Морзе), они достигли как секретности, так и надежной связи. ^[34]

Начиная с 1988 года Африканский национальный конгресс (АНК) использовал одноразовые шифрблокноты на основе дисков как часть защищенной системы связи между лидерами АНК за пределами Южной Африки и оперативниками внутри страны в рамках операции «Вула» ^[35], успешной попытки построить сеть сопротивления внутри Южной Африки. Случайные числа на диске стирались после использования. Бельгийская стюардесса выступала в качестве курьера, чтобы доставить шифрблокноты. Требовалось регулярное пополнение запасов новых дисков, поскольку они довольно быстро использовались. Одной из проблем системы было то, что ее нельзя было использовать для защищенного хранения данных. Позже «Вула» добавила потоковый шифр, ключом к которому служили книжные коды, чтобы решить эту проблему. ^[36]

Связанное понятие — одноразовый код — сигнал, используемый только один раз; например, «Альфа» для «миссия выполнена», «Браво» для «миссия провалена» или даже «Факел» для « вторжения союзников во Французскую Северную Африку » ^[37] не может быть «расшифрован» в каком-либо разумном смысле этого слова. Понимание сообщения потребует дополнительной информации, часто «глубины» повторения или некоторого анализа трафика . Однако такие стратегии (хотя часто используются реальными оперативниками и тренерами по бейсболу ) ^[38] не являются криптографическим одноразовым блокнотом в каком-либо существенном смысле.

АНБ

По крайней мере в 1970-х годах Агентство национальной безопасности США (АНБ) выпускало множество ручных одноразовых блокнотов, как общего назначения, так и специализированных, в 1972 финансовом году было выпущено 86 000 одноразовых блокнотов. Специальные блокноты выпускались для того, что АНБ называло «системами для проформы», где «базовая структура, форма или формат каждого текста сообщения идентичны или почти идентичны; один и тот же вид информации, сообщение за сообщением, должен быть представлен в том же порядке, и только определенные значения, такие как числа, меняются с каждым сообщением». Примерами служат сообщения о ядерных запусках и отчеты о радиопеленгации (COMUS). ^{[39] : стр. 16–18}

Универсальные блокноты выпускались в нескольких форматах: простой список случайных букв (DIANA) или просто чисел (CALYPSO), крошечные блокноты для тайных агентов (MICKEY MOUSE) и блокноты, предназначенные для более быстрого кодирования коротких сообщений за счет меньшей плотности. Один из примеров, ORION, имел 50 строк открытого текста алфавита на одной стороне и соответствующие случайные буквы зашифрованного текста на другой стороне. Поместив лист поверх листа копировальной бумаги копировальной стороной вверх, можно было обвести одну букву в каждом ряду на одной стороне, а соответствующая буква на другой стороне была бы обведена копировальной бумагой. Таким образом, один лист ORION мог быстро кодировать или декодировать сообщение длиной до 50 символов. Производство блокнотов ORION требовало печати обеих сторон с точной регистрацией, что было сложным процессом, поэтому АНБ перешло на другой формат блокнота, MEDEA, с 25 строками парных алфавитов и случайных символов. ( См. Commons:Category:NSA one-time pads для иллюстраций.)

АНБ также создало автоматизированные системы для «централизованных штаб-квартир ЦРУ и подразделений сил специального назначения, чтобы они могли эффективно обрабатывать множество отдельных одноразовых сообщений, отправляемых и получаемых держателями блокнотов на местах». ^{[39] : стр. 21–26}

Во время Второй мировой войны и в 1950-х годах США широко использовали системы одноразовых лент. Помимо обеспечения конфиденциальности, схемы, защищенные одноразовой лентой, работали непрерывно, даже когда не было трафика, тем самым защищая от анализа трафика . В 1955 году АНБ произвело около 1 660 000 рулонов одноразовой ленты. Каждый рулон был 8 дюймов в диаметре, содержал 100 000 символов, длился 166 минут и стоил 4,55 доллара на производство. К 1972 году было произведено всего 55 000 рулонов, поскольку одноразовые ленты были заменены роторными машинами, такими как SIGTOT, а позднее электронными устройствами на основе сдвиговых регистров . ^{[39] : стр. 39–44} АНБ описывает системы одноразовых лент, такие как 5-UCO и SIGTOT, как используемые для разведывательного трафика до введения электронного шифра на основе KW-26 в 1957 году. ^[40]

Подвиги

Хотя одноразовые шифрблокноты обеспечивают идеальную секретность при правильном создании и использовании, небольшие ошибки могут привести к успешному криптоанализу:

• В 1944–1945 годах Служба разведки и сигнализации армии США смогла раскрыть систему одноразовых шифровальных блокнотов, использовавшуюся Министерством иностранных дел Германии для своего высокоуровневого трафика под кодовым названием GEE. ^[41] GEE была небезопасной, поскольку шифры не были достаточно случайными — машина, используемая для генерации шифровальных блокнотов, выдавала предсказуемый результат.
• В 1945 году США обнаружили, что сообщения Канберра - Москва сначала шифровались с помощью кодовой книги, а затем с помощью одноразового шифрблокнота. Однако использованный одноразовый шифрблокнот был тем же самым, который использовался Москвой для сообщений Вашингтон, округ Колумбия -Москва. В сочетании с тем фактом, что некоторые из сообщений Канберра-Москва включали известные документы британского правительства, это позволило взломать некоторые из зашифрованных сообщений. ^{[ необходима цитата ]}
• Одноразовые блокноты использовались советскими разведывательными агентствами для тайной связи с агентами и контролерами агентов. Анализ показал, что эти блокноты были созданы машинистками, использующими настоящие пишущие машинки. Этот метод не является по-настоящему случайным, так как он делает блокноты более вероятными, чтобы содержать определенные удобные последовательности ключей чаще. Это оказалось в целом эффективным, потому что блокноты были все еще несколько непредсказуемыми, потому что машинистки не следовали правилам, и разные машинистки производили разные образцы блокнотов. Без копий используемого ключевого материала только некоторые дефекты в методе генерации или повторное использование ключей давали большую надежду на криптоанализ. Начиная с конца 1940-х годов, разведывательные агентства США и Великобритании смогли взломать часть советского трафика одноразовых блокнотов в Москву во время Второй мировой войны в результате ошибок, допущенных при создании и распространении ключевого материала. Одно из предположений заключается в том, что персонал Московского центра был несколько спешен из-за присутствия немецких войск прямо за Москвой в конце 1941 и начале 1942 года, и они создали более одной копии одного и того же ключевого материала в этот период. Эти многолетние усилия в конечном итоге получили кодовое название VENONA (BRIDE было более ранним названием); они дали значительный объем информации. Тем не менее, только небольшой процент перехваченных сообщений был полностью или частично расшифрован (несколько тысяч из нескольких сотен тысяч). ^[25]
• Системы одноразовых лент, используемые в США, использовали электромеханические миксеры для объединения битов из сообщения и одноразовой ленты. Эти миксеры излучали значительную электромагнитную энергию, которая могла быть уловлена ​​противником на некотором расстоянии от шифровального оборудования. Этот эффект, впервые замеченный Bell Labs во время Второй мировой войны, мог позволить перехват и восстановление открытого текста передаваемых сообщений, уязвимость под кодовым названием Tempest . ^{[39] : стр. 89 и далее}

Смотрите также

• Агриппа (Книга мертвых)
• Информационно-теоретическая безопасность
• Номера станции
• Одноразовый пароль
• Сеансовый ключ
• Стеганография
• Торговое ремесло
• Расстояние уникальности
• Теорема о несокрытии

Примечания

1. Фактическая длина открытого текстового сообщения может быть скрыта путем добавления дополнительных частей, называемых заполнением . Например, 21-символьный шифртекст может скрыть 5-символьное сообщение с некоторым соглашением о заполнении (например, "-PADDING- HELLO -XYZ-") так же, как и фактическое 21-символьное сообщение: таким образом, наблюдатель может вывести только максимально возможную длину значимого текста, а не его точную длину.
2. То есть « информационный прирост » или расхождение Кульбака–Лейблера открытого текста сообщения от зашифрованного сообщения равно нулю.
3. Большинство алгоритмов асимметричного шифрования полагаются на тот факт, что самые известные алгоритмы для разложения на простые множители и вычисления дискретных логарифмов имеют суперполиномиальное время. Существует твердое убеждение, что эти проблемы не могут быть решены машиной Тьюринга за время, которое масштабируется полиномиально с длиной входных данных, что делает их сложными (надеюсь, запретительно сложными) для взлома с помощью криптографических атак. Однако это не было доказано.

Ссылки

1. Лугрин, Томас (2023), Малдер, Валентин; Мермуд, Ален; Лендерс, Винсент; Телленбах, Бернхард (ред.), «Одноразовый блокнот», Тенденции в области технологий защиты данных и шифрования , Cham: Springer Nature Switzerland, стр. 3–6, doi : 10.1007/978-3-031-33386-6_1 , ISBN 978-3-031-33386-6
2. "Введение в Numbers Stations". Архивировано из оригинала 18 октября 2014 года . Получено 13 сентября 2014 года .
3. "Одноразовый блокнот (OTP)". Cryptomuseum.com. Архивировано из оригинала 2014-03-14 . Получено 2014-03-17 .
4. Шеннон, Клод (1949). "Теория связи в секретных системах" (PDF) . Bell System Technical Journal . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x.
5. Фрэнк Миллер (1882). Телеграфный код для обеспечения конфиденциальности и секретности при передаче телеграмм  – через Викиресурс .
6. Белловин, Стивен М. (2011). «Фрэнк Миллер: изобретатель одноразового блокнота». Cryptologia . 35 (3): 203–222. doi :10.1080/01611194.2011.583711. ISSN  0161-1194. S2CID  35541360.
7. "'Секретный патент на систему сигнализации' на Google.Com". google.com . Архивировано из оригинала 11 марта 2016 года . Получено 3 февраля 2016 года .
8. Кан, Дэвид (1996). Взломщики кодов . Macmillan . С. 397–8. ISBN 978-0-684-83130-5.
9. "Часто задаваемые вопросы по одноразовому блокноту (шифр Вернама), с фотографией". Архивировано из оригинала 2006-05-07 . Получено 2006-05-12 .
10. Savory, Stuart (2001). "Chiffriergerätebau : One-Time-Pad, with photo" (на немецком языке). Архивировано из оригинала 2011-05-30 . Получено 2006-07-24 .
11. Кан, Дэвид (1967). Взломщики кодов . Macmillan . стр. 398 и далее. ISBN 978-0-684-83130-5.
12. Джон Маркофф (25 июля 2011 г.). «Кодовая книга показывает форму шифрования, восходящую к телеграфам». The New York Times . Архивировано из оригинала 21 мая 2013 г. Получено 26 июля 2011 г.
13. Пэн, Вэйпин; Цуй, Шуан; Сун, Чэн (2021-01-20). Раджа, Гулистан (ред.). «Алгоритм шифрования одноразовым блокнотом на основе технологии сопоставления путаницы и хранения ДНК». PLOS ONE . 16 (1): e0245506. Bibcode : 2021PLoSO..1645506P. doi : 10.1371/journal.pone.0245506 . ISSN  1932-6203. PMC 7817086. PMID 33471849  . 
14. Marks, Leo (1998). Между шелком и цианидом: история кодировщика, 1941–1945. HarperCollins. ISBN 978-0-684-86780-9.
15. Сергей Н. Молотков (Институт физики твердого тела Российской академии наук, Черноголовка, Московская область, Российская Федерация) (22 февраля 2006 г.). «Квантовая криптография и теоремы В. А. Котельникова об одноразовом ключе и выборке». Успехи физических наук . 49 (7): 750–761. Bibcode :2006PhyU...49..750M. doi :10.1070/PU2006v049n07ABEH006050. S2CID  118764598. Архивировано из оригинала 2008-12-10 . Получено 2009-05-03 .{{cite journal}}: CS1 maint: multiple names: authors list (link)Номера PACS: 01.10.Fv, 03.67.Dd, 89.70.+c и открыто на русском языке Квантовая криптография и выводы В.А. Котельникова об одноразовых ключах и об отсчетах. УФН
16. Моска, Мишель; Тапп, Ален; де Вольф, Рональд (2000-03-27). «Частные квантовые каналы и стоимость рандомизации квантовой информации». arXiv : quant-ph/0003101 .
17. Роберт Уоллес и Х. Кит Мелтон, с Генри Р. Шлезингером (2008). Spycraft: The Secret History of the CIA's Spytechs, from Communism to Al-Qaeda. Нью-Йорк: Даттон . С. 436. ISBN 978-0-525-94980-0.
18. Шнайер, Брюс. "Одноразовые блокноты". Архивировано из оригинала 2005-04-03.
19. Шеннон, Клод Э. (октябрь 1949 г.). "Теория связи в секретных системах" (PDF) . Bell System Technical Journal . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x. hdl :10338.dmlcz/119717. Архивировано из оригинала (PDF) 2012-01-20 . Получено 2011-12-21 .
20. Ларс Р. Кнудсен и Мэтью Робшоу (2011). The Block Cipher Companion. Springer Science & Business Media. С. 1–14. ISBN 978-3642173424. Получено 26 июля 2017 г. .
21. Сингх, Саймон (2000). Книга кодов. США: Anchor Books. стр. 123. ISBN 978-0-385-49532-5.
22. "The Translations and KGB Cryptographic Systems" (PDF) . История Веноны . Форт-Мид, Мэриленд : Агентство национальной безопасности . 2004-01-15. стр. 26–27 (28–29-е из 63 в PDF). Архивировано из оригинала (PDF) 2009-05-10 . Получено 2009-05-03 . Центр по производству криптографических материалов КГБ в Советском Союзе, по-видимому, повторно использовал некоторые страницы из одноразовых блокнотов. Это дало Arlington Hall возможность.
23. Safavi-Naini, Reihaneh (2008). Information Theoretic Security: Third International Conference, ICITS 2008, Калгари, Канада, 10–13 августа 2008 г., Труды. Springer Science & Business Media. ISBN 978-3540850922– через Google Книги.
24. Boneh, Dan. «Атаки на потоковые шифры и одноразовый блокнот — обзор курса и потоковые шифры». Coursera . Получено 21.03.2022 .
25. "The Venona Translations" (PDF) . The Venona Story . Fort Meade, Maryland : National Security Agency . 2004-01-15. стр. 17-я (из 63 в PDF), но отмечена как 15. Архивировано из оригинала (PDF) 2009-05-10 . Получено 2009-05-03 . Способность Арлингтон-холла читать сообщения VENONA была неоднородной, что зависело от базового кода, ключевых изменений и отсутствия объема. Из трафика сообщений из нью-йоркского офиса КГБ в Москву, 49 процентов сообщений 1944 года и 15 процентов сообщений 1943 года были прочитаны, но это было верно только для 1,8 процента сообщений 1942 года. Для сообщений из вашингтонского офиса КГБ в Москву 1945 года только 1,5 процента были прочитаны. Около 50 процентов сообщений ГРУ-ВМС из Вашингтона в Москву/из Москвы в Вашингтон за 1943 год были прочитаны, но ни одного из других лет.
26. «Способ объединения нескольких блочных алгоритмов», так что «криптоаналитик должен взломать оба алгоритма» в §15.8 книги « Прикладная криптография, второе издание: протоколы, алгоритмы и исходный код на языке C» Брюса Шнайера. Wiley Computer Publishing, John Wiley & Sons, Inc.
27. Беннетт, Чарльз; Брассар, Джайлс (1984). «Квантовая криптография: распределение открытого ключа и подбрасывание монеты». Теоретическая информатика . 560 : 7–11. arXiv : 2003.06557 . doi : 10.1016/j.tcs.2014.05.025. S2CID  27022972.Примечание: Первоначально эта статья была опубликована в 1984 году, но затем отозвана, и версия на ArXiv представляет собой перепечатку статьи 1984 года от 2014 года.
28. Душек, Милослав; Хадерка, Ондржей; Хендрих, Мартин (1999-10-01). «Обобщенная атака с разделением луча в квантовой криптографии с тусклыми когерентными состояниями». Optics Communications . 169 (1): 103–108. Bibcode : 1999OptCo.169..103D. doi : 10.1016/S0030-4018(99)00419-8. ISSN  0030-4018.
29. Беннетт, Чарльз; Брассар, Джайлс; Брейдбарт, Сет (2014). «Квантовая криптография II: как повторно использовать одноразовый блокнот безопасно, даже если P = NP». Natural Computing . 13 (4): 453–458. doi :10.1007/s11047-014-9453-6. PMC 4224740 . PMID  25400534. S2CID  3121156. Примечание: Это также перепечатка оригинальной статьи 1982 года.
30. Кан, Дэвид (1996). Взломщики кодов . Macmillan . С. 402–3. ISBN 978-0-684-83130-5.
31. "Stasi Sprach Morse Machine". Исследовательский и информационный центр Numbers Stations. Архивировано из оригинала 13 марта 2015 г. Получено 1 марта 2015 г.
32. "Агентство национальной безопасности | Центральная служба безопасности > О нас > Криптологическое наследие > Исторические деятели и публикации > Публикации > Вторая мировая война > История Сигсали". 2019-02-24. Архивировано из оригинала 2019-02-24 . Получено 2022-03-27 .
33. Кан, Дэвид (1967). Взломщики кодов . Macmillan . стр. 715 и далее. ISBN 978-0-684-83130-5.
34. Hieu, Phan Duong (апрель 2007 г.). «Криптология во время французских и американских войн во Вьетнаме» (PDF) . Cryptologia . 41 (6): 1–21. doi :10.1080/01611194.2017.1292825. S2CID  3780267 . Получено 14 апреля 2020 г. .
35. «Операция Вула: секретная голландская сеть против апартеида», Архив Радио Нидерландов, 9 сентября 1999 г.
36. Дженкин, Тим (май–октябрь 1995 г.). «Разговор с Вулой: история секретной подземной коммуникационной сети операции «Вула»». Mayibuye . Архивировано из оригинала 2014-08-26 . Получено 24 августа 2014 г. Наша система была основана на одноразовом блокноте, хотя вместо бумажных блокнотов случайные числа были на диске.
37. Пиджен, Джеффри (2003). "Глава 28: Билл Миллер – Чай с немцами". Секретная беспроводная война – История коммуникаций МИ-6 1939-1945 . UPSO Ltd. стр. 249. ISBN 978-1-84375-252-3.
38. Джонсон, Тим. «Что означают все эти жесты руками? Внутри скрытого языка бейсбола и софтбола» . Получено 14 июня 2024 г.
39. Boak, David G. (июль 1973 г.) [1966]. История безопасности коммуникаций США; Лекции Дэвида Г. Боака, том I (PDF) (обзор рассекречивания 2015 г., ред.). Фт. Джордж Г. Мид, Мэриленд: Агентство национальной безопасности США. Архивировано из оригинала (PDF) 25-05-2017 . Получено 23-04-2017 .
40. Кляйн, Мелвилл (2003). "Защита записей коммуникаций: TSEC/KW-26" (PDF) . АНБ. Архивировано из оригинала (PDF) 2006-02-13 . Получено 2006-05-12 .
41. Эрскин, Ральф, «Безопасность Энигмы: что на самом деле знали немцы», в книге «Action this Day » , под редакцией Ральфа Эрскина и Майкла Смита, стр. 370–386, 2001.

Дальнейшее чтение

• Рубина, Франк (1996). «Одноразовая криптография блокнота». Cryptologia . 20 (4): 359–364. doi :10.1080/0161-119691885040. ISSN  0161-1194.
• Fostera, Caxton C. (1997). «Недостатки одноразового блокнота». Cryptologia . 21 (4): 350–352. doi :10.1080/0161-119791885986. ISSN  0161-1194.

Внешние ссылки

• Подробное описание и история одноразового блокнота с примерами и изображениями на тему «Шифровые машины и криптология»
• Запись в глоссарии FreeS/WAN с обсуждением слабых мест OTP