Одноразовый блокнот

Техника шифрования

Формат одноразового блокнота, используемый Агентством национальной безопасности США под кодовым названием DIANA. Таблица справа помогает конвертировать открытый текст в зашифрованный текст с использованием символов слева в качестве ключа.

В криптографии одноразовый блокнот ( OTP ) — это метод шифрования , который невозможно взломать , но требует использования одноразового предварительного общего ключа , размер которого больше или равен размеру отправляемого сообщения. В этом методе открытый текст сочетается со случайным секретным ключом (также называемым одноразовым блокнотом ). Затем каждый бит или символ открытого текста шифруется путем объединения его с соответствующим битом или символом из панели с помощью модульного сложения . ^[1]

Полученный зашифрованный текст будет невозможно расшифровать или взломать, если будут выполнены следующие четыре условия: ^{[2] [3]}

1. Ключ должен быть не меньше длины открытого текста.
2. Ключ должен быть случайным ( равномерно распределенным в наборе всех возможных ключей и независимым от открытого текста), полностью выбранным из неалгоритмического хаотического источника, такого как аппаратный генератор случайных чисел ; безобразное, по определению Григория Чайтина . ^[4] Ключам OTP недостаточно пройти статистические тесты на случайность, поскольку такие тесты не могут измерить энтропию, а количество бит энтропии должно быть как минимум равно количеству битов в открытом тексте. Например, использование криптографических хэшей или математических функций (таких как логарифм или квадратный корень) для генерации ключей из меньшего количества бит энтропии нарушит требование равномерного распределения и, следовательно, не обеспечит абсолютную секретность.
3. Ключ ни в коем случае нельзя использовать повторно полностью или частично.
4. Ключ должен храниться в полной тайне передающими сторонами.

Также математически доказано, что любой шифр со свойством совершенной секретности должен использовать ключи с теми же требованиями, что и ключи OTP. ^[5] Цифровые версии одноразовых шифров блокнота использовались странами для критически важной дипломатической и военной связи , но проблемы безопасного распределения ключей делают их непрактичными для большинства приложений.

Впервые описанный Фрэнком Миллером в 1882 году, ^{[6] [7]} одноразовый блокнот был заново изобретен в 1917 году. 22 июля 1919 года Гилберту Вернаму был выдан патент США № 1,310,719 на операцию XOR , используемую для шифрования одноразовый блокнот. ^[8] Созданная на основе шифра Вернама , система представляла собой шифр, сочетавший сообщение с ключом, считываемым с перфоленты . В своей первоначальной форме система Вернама была уязвима, поскольку лента с ключами представляла собой петлю, которая использовалась повторно всякий раз, когда петля совершала полный цикл. Одноразовое использование появилось позже, когда Жозеф Моборн осознал, что если бы лента с ключами была полностью случайной, криптоанализ был бы невозможен. ^[9]

Часть названия «блокнот» происходит от ранних реализаций, где ключевой материал распространялся в виде блокнота бумаги, что позволяло оторвать и уничтожить текущий верхний лист после использования. Для сокрытия подушка иногда была настолько маленькой, что для ее использования требовалась мощная лупа . В КГБ использовали подушечки такого размера, чтобы они помещались в ладонь ^[10] или в скорлупу грецкого ореха . ^[11] Для повышения безопасности одноразовые блокноты иногда печатали на листах легковоспламеняющейся нитроцеллюлозы , чтобы их можно было легко сжечь после использования.

Существует некоторая двусмысленность в отношении термина «шифр Вернама», поскольку в некоторых источниках «шифр Вернама» и «одноразовый блокнот» используются как синонимы, в то время как другие называют любой аддитивный потоковый шифр «шифром Вернама», включая те, которые основаны на криптографически безопасном генератор псевдослучайных чисел (CSPRNG). ^[12]

История

Фрэнк Миллер в 1882 году первым описал систему одноразового блокнота для защиты телеграфии. ^{[7] [13]}

Следующая система одноразовых блокнотов была электрической. В 1917 году Гилберт Вернам (из корпорации AT&T ) изобрел ^[14] , а затем запатентовал в 1919 году ( патент США № 1,310,719 ) шифр, основанный на технологии телетайпа . Каждый символ сообщения электрически сочетался с символом на перфолентном ключе. Джозеф Моборн (тогда капитан армии США , а затем начальник Корпуса связи ) признал, что последовательность символов на ключевой ленте может быть совершенно случайной, и что в этом случае криптоанализ будет более трудным. Вместе они изобрели первую систему одноразовой ленты. ^[12]

Следующей разработкой стала система бумажных блокнотов. Дипломаты долгое время использовали коды и шифры для обеспечения конфиденциальности и минимизации затрат на телеграф . Для кодов слова и фразы были преобразованы в группы чисел (обычно 4 или 5 цифр) с использованием словарной кодовой книги . Для дополнительной безопасности секретные номера можно было комбинировать (обычно модульным сложением) с каждой группой кодов перед передачей, при этом секретные номера периодически менялись (это называлось супершифрованием ). В начале 1920-х годов три немецких криптографа (Вернер Кунце, Рудольф Шауфлер и Эрих Ланглотц), занимавшиеся взломом таких систем, поняли, что их невозможно взломать, если для каждой кодовой группы использовать отдельное случайно выбранное аддитивное число. У них были дубликаты бумажных блокнотов, на которых были напечатаны строки групп случайных чисел. На каждой странице был порядковый номер и восемь строк. В каждой строке было шесть пятизначных чисел. Страница будет использоваться в качестве рабочего листа для кодирования сообщения, а затем уничтожаться. Серийный номер страницы будет отправлен вместе с закодированным сообщением. Получатель отменит процедуру, а затем уничтожит свою копию страницы. Министерство иностранных дел Германии ввело эту систему в действие к 1923 году. ^[12]

Отдельной идеей было использование одноразового блокнота для непосредственного кодирования открытого текста, как в примере ниже. Лео Маркс описывает изобретение такой системы для британского управления специальных операций во время Второй мировой войны , хотя в то время он подозревал, что она уже была известна в сильно разделенном мире криптографии, как, например, в Блетчли-Парке . ^[15]

Последнее открытие было сделано теоретиком информации Клодом Шенноном в 1940-х годах, который осознал и доказал теоретическую значимость системы одноразовых блокнотов. Шеннон представил свои результаты в секретном отчете в 1945 году и опубликовал их открыто в 1949 году. ^[5] В то же время советский теоретик информации Владимир Котельников независимо доказал абсолютную безопасность одноразового блокнота; его результаты были представлены в 1941 году в отчете, который, очевидно, остается засекреченным. ^[16]

Пример

Предположим , Алиса желает отправить сообщение helloБобу . Предположим, что два блокнота бумаги, содержащие одинаковые случайные последовательности букв, каким-то образом были заранее изготовлены и надежно выданы обоим. Алиса выбирает подходящую неиспользованную страницу из блокнота. Способ сделать это обычно оговаривается заранее, например, «использовать 12-й лист 1 мая» или «использовать следующий доступный лист для следующего сообщения».

Материал на выбранном листе является ключевым для этого сообщения. Каждая буква из блокнота будет заданным образом объединена с одной буквой сообщения. (Обычно, но не обязательно, каждой букве присваивается числовое значение , например a0, b1 и т. д.)

В этом примере техника заключается в объединении ключа и сообщения с помощью модульного сложения , мало чем отличающегося от шифра Виженера . Числовые значения соответствующего сообщения и ключевых букв складываются по модулю 26. Таким образом, если ключевой материал начинается с XMCKLи сообщение равно hello, то кодирование будет выполняться следующим образом:

 здравствуйте, сообщение 7 (з) 4 (д) 11 (л) 11 (л) 14 (о) сообщение+ 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ= 30 16 13 21 25 сообщение + ключ= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (сообщение + ключ) мод 26 EQNVZ → зашифрованный текст

Если число больше 25, то остаток после вычитания 26 вычисляется по модульной арифметике. Это просто означает, что если вычисления «пройдут мимо» Z, последовательность снова начнется с A.

Таким образом, зашифрованный текст, который будет отправлен Бобу, будет EQNVZ. Боб использует соответствующую ключевую страницу и тот же процесс, но в обратном порядке, чтобы получить открытый текст . Здесь ключ вычитается из зашифрованного текста, опять же с использованием модульной арифметики:

 Шифрованный текст EQNVZ 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст− 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ= −19 4 11 11 14 зашифрованный текст – ключ= 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) шифртекст – ключ (по модулю 26) привет → сообщение

Как и выше, если число отрицательное, к нему добавляется 26, чтобы сделать число равным нулю или выше.

Таким образом, Боб восстанавливает открытый текст Алисы, сообщение hello. И Алиса, и Боб уничтожают ключевой лист сразу после использования, тем самым предотвращая повторное использование и атаку на шифр. КГБ часто выдавал своим агентам одноразовые блокноты, напечатанные на крошечных листах флэш-бумаги, бумаги, химически преобразованной в нитроцеллюлозу , которая сгорает почти мгновенно и не оставляет пепла. ^[17]

В классическом одноразовом шпионском блокноте использовались настоящие блокноты из крохотной, легко скрываемой бумаги, острый карандаш и некоторые математические арифметические действия . Теперь этот метод можно реализовать в виде программы, используя файлы данных в качестве входных (открытый текст), выходных данных (зашифрованный текст) и ключевого материала (необходимая случайная последовательность). Исключающая операция или (XOR) часто используется для объединения открытого текста и ключевых элементов и особенно привлекательна на компьютерах, поскольку обычно это собственная машинная инструкция и, следовательно, очень быстрая. Однако трудно гарантировать, что ключевой материал действительно случайен, используется только один раз, никогда не становится известен противнику и полностью уничтожается после использования. Вспомогательные части реализации программного одноразового блокнота представляют собой реальные проблемы: безопасная обработка/передача открытого текста, действительно случайные ключи и одноразовое использование ключа.

Попытка криптоанализа

Продолжая приведенный выше пример, предположим, что Ева перехватывает зашифрованный текст Алисы: EQNVZ. Если бы Ева перепробовала все возможные ключи, она бы обнаружила, что ключ XMCKLвыдает открытый текст hello, но она также обнаружила бы, что ключ TQURIвыдает открытый текст later, столь же правдоподобное сообщение:

 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст− 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) возможный ключ= −15 0 −7 4 17 ключ зашифрованного текста= 11 (l) 0 (a) 19 (t) 4 (e) 17 (r) ключ зашифрованного текста (mod 26)

Фактически, из зашифрованного текста можно «расшифровать» любое сообщение с тем же количеством символов, просто используя другой ключ, и в зашифрованном тексте нет информации, которая позволила бы Еве выбирать среди различных возможных прочтений. зашифрованного текста. ^[18]

Если ключ не является действительно случайным, можно использовать статистический анализ, чтобы определить, какой из вероятных ключей является «наименее» случайным и, следовательно, с большей вероятностью будет правильным. Если ключ используется повторно, он, очевидно, будет единственным ключом, который создает разумные открытые тексты из обоих зашифрованных текстов (вероятность того, что какой-то случайный неправильный ключ также создаст два разумных открытых текста, очень мала).

Совершенная секретность

Одноразовые блокноты являются « теоретически безопасными » в том смысле, что зашифрованное сообщение (т. е. зашифрованный текст ) не предоставляет криптоаналитику никакой информации об исходном сообщении (за исключением максимально возможной длины ^{[примечание 1]} сообщения). Это очень строгое понятие безопасности, впервые разработанное во время Второй мировой войны Клодом Шенноном и математически подтвержденное для одноразового блокнота Шенноном примерно в то же время. Его результат был опубликован в Техническом журнале Bell System в 1949 году. ^[19] При правильном использовании одноразовые блокноты в этом смысле безопасны даже против противников с бесконечной вычислительной мощностью.

Шеннон доказал, используя соображения теории информации , что одноразовый блокнот обладает свойством, которое он назвал идеальной секретностью ; то есть зашифрованный текст C не дает абсолютно никакой дополнительной информации об открытом тексте . ^{[примечание 2]} Это связано с тем, что (интуитивно) при наличии действительно равномерно случайного ключа, который используется только один раз, зашифрованный текст может быть преобразован в любой открытый текст той же длины, и все это одинаково вероятно. Таким образом, априорная вероятность открытого текстового сообщения M равна апостериорной вероятности открытого текстового сообщения M с учетом соответствующего зашифрованного текста.

Обычные алгоритмы симметричного шифрования используют сложные шаблоны подстановки и транспозиции . Для лучших из них, используемых в настоящее время, неизвестно, существует ли криптоаналитическая процедура, которая могла бы эффективно обратить (или даже частично обратить ) эти преобразования, не зная ключа, используемого во время шифрования. Алгоритмы асимметричного шифрования зависят от математических задач, которые считаются трудными для решения, таких как факторизация целых чисел или дискретный логарифм . Однако нет никаких доказательств того, что эти проблемы сложны, и математический прорыв может сделать существующие системы уязвимыми для атак. ^{[заметка 3]}

Благодаря идеальной секретности, в отличие от обычного симметричного шифрования, одноразовый блокнот невосприимчив даже к атакам грубой силы. Попытка всех ключей просто дает все открытые тексты, причем все они с одинаковой вероятностью являются реальным открытым текстом. Даже при частично известном открытом тексте нельзя использовать грубую силу, поскольку злоумышленник не может получить никакой информации о частях ключа, необходимых для расшифровки остальной части сообщения. Известные части открытого текста откроют только соответствующие им части ключа, и они соответствуют строго взаимно однозначно ; Биты равномерно случайного ключа будут независимыми .

Питер Шор и другие показали, что квантовые компьютеры намного быстрее решают некоторые проблемы, от которых зависит безопасность традиционных алгоритмов асимметричного шифрования. Криптографические алгоритмы, которые зависят от сложности этих задач, станут устаревшими с появлением достаточно мощного квантового компьютера. Однако одноразовые блокноты останутся в безопасности, поскольку абсолютная секретность не зависит от предположений о вычислительных ресурсах злоумышленника. Квантовая криптография и постквантовая криптография предполагают изучение влияния квантовых компьютеров на информационную безопасность .

Проблемы

Несмотря на доказательства безопасности Шеннона, на практике одноразовый блокнот имеет серьезные недостатки, поскольку требует:

• Действительно случайные значения, в отличие от псевдослучайных одноразовых значений, что является нетривиальным требованием. Генерация случайных чисел в компьютерах часто является сложной задачей, и генераторы псевдослучайных чисел часто используются из-за их скорости и полезности для большинства приложений. Настоящие генераторы случайных чисел существуют, но обычно они медленнее и более специализированы.
• Безопасное создание и обмен значениями одноразового блокнота, длина которых должна быть не меньше длины сообщения. Это важно, поскольку безопасность одноразового блокнота зависит от безопасности обмена одноразового блокнота. Если злоумышленник сможет перехватить значение одноразового блокнота, он сможет расшифровать сообщения, отправленные с помощью одноразового блокнота. ^[18]
• Тщательная обработка, чтобы гарантировать, что значения одноразового блокнота продолжают оставаться секретными и правильно утилизируются, предотвращая любое повторное использование (частичное или полное) - следовательно, «одноразовое». Проблемы с сохранением данных могут затруднить полное стирание компьютерных носителей.

Одноразовые блокноты решают несколько текущих практических проблем в криптографии. Высококачественные шифры широко доступны, и их безопасность в настоящее время не вызывает серьезного беспокойства. ^[20] Такие шифры почти всегда легче использовать, чем одноразовые блокноты, поскольку объем ключевого материала, который должен быть правильно и безопасно сгенерирован, распределен и сохранен, намного меньше. ^[18] Кроме того, криптография с открытым ключом решает проблему распределения ключей.

Истинная случайность

Генерировать высококачественные случайные числа сложно. Функции генерации случайных чисел в большинстве библиотек языков программирования не подходят для криптографического использования. Даже те генераторы, которые подходят для обычного криптографического использования, включая /dev/random и многие аппаратные генераторы случайных чисел , могут в некоторой степени использовать криптографические функции, безопасность которых не была доказана. Примером метода генерации чистой случайности является измерение радиоактивных выбросов . ^[21]

В частности, абсолютно необходимо одноразовое использование. Например, если и представляют собой два отдельных сообщения открытого текста, каждое из которых зашифровано общим ключом , то соответствующие зашифрованные тексты задаются следующим образом: ${\displaystyle p_{1}}$ ${\displaystyle p_{2}}$ ${\displaystyle k}$

${\displaystyle c_{1}=p_{1}\oplus k}$

${\displaystyle c_{2}=p_{2}\oplus k}$

где означает XOR . Если злоумышленник должен иметь оба зашифрованных текста и , то простое выполнение XOR и дает XOR двух открытых текстов . (Это связано с тем, что выполнение XOR общего ключа с самим собой дает постоянный битовый поток нулей.) Тогда это эквивалент шифра с работающим ключом. ^{[ нужна цитата ]} ${\displaystyle \oplus }$ ${\displaystyle c_{1}}$ ${\displaystyle c_{2}}$ ${\displaystyle c_{1}}$ ${\displaystyle c_{2}}$ ${\displaystyle p_{1}\oplus p_{2}}$ ${\displaystyle k}$ ${\displaystyle p_{1}\oplus p_{2}}$

Если оба открытых текста написаны на естественном языке (например, английском или русском), каждый из них имеет очень высокую вероятность быть восстановленным с помощью эвристического криптоанализа, возможно, с некоторыми неоднозначностями. Конечно, более длинное сообщение можно разбить только на ту часть, которая перекрывает более короткое сообщение, плюс, возможно, еще немного, дополнив слово или фразу. Самый известный эксплойт этой уязвимости произошел с проектом Venona . ^[22]

Распределение ключей

Поскольку блокнот, как и все общие секреты , должен передаваться и храниться в безопасности, а длина блокнота должна быть не меньше длины сообщения, часто нет смысла использовать одноразовое дополнение, поскольку можно просто отправить простой текст. вместо планшета (поскольку оба могут быть одинакового размера и должны быть отправлены в безопасном месте). ^[18] Однако, как только очень длинный блокнот был безопасно отправлен (например, компьютерный диск, полный случайных данных), его можно использовать для многочисленных будущих сообщений, пока сумма размеров сообщения не сравняется с размером блокнота. Квантовое распределение ключей также предлагает решение этой проблемы, предполагая отказоустойчивые квантовые компьютеры.

Распространение очень длинных одноразовых ключей неудобно и обычно представляет значительный риск для безопасности. ^[2] Блокнот, по сути, является ключом шифрования, но в отличие от ключей современных шифров он должен быть очень длинным, и его слишком сложно запомнить людям. Носители данных, такие как флэш-накопители , DVD-R или персональные цифровые аудиоплееры, можно использовать для переноски очень большого одноразового планшета с места на место не вызывающим подозрений способом, но необходимость физической транспортировки планшета является обузой. по сравнению с протоколами согласования ключей современной криптосистемы с открытым ключом. Такие носители невозможно надежно и безопасно удалить любым способом, кроме физического уничтожения (например, сжигания). DVD-R емкостью 4,7 ГБ, полный данных одноразового блокнота, если его разделить на частицы размером 1 мм ^{2 (0,0016 кв. дюйма), на каждой частице останется более 4} мегабит данных. ^{[ нужна цитата ]} Кроме того, риск компрометации во время транспортировки (например, смахивание карманником , копирование и замена блокнота), вероятно, на практике будет намного выше, чем вероятность компрометации для такого шифра, как AES . Наконец, усилия, необходимые для управления материалом одноразовых ключей, очень плохо масштабируются для больших сетей коммуникаторов — количество требуемых блокнотов возрастает пропорционально квадрату числа пользователей, свободно обменивающихся сообщениями. Для связи между двумя людьми или в топологии сети «звезда» это не представляет проблемы.

Ключевой материал должен быть надежно утилизирован после использования, чтобы гарантировать, что ключевой материал никогда не будет использоваться повторно, и защитить отправленные сообщения. ^[2] Поскольку материал ключа должен транспортироваться от одной конечной точки к другой и сохраняться до тех пор, пока сообщение не будет отправлено или получено, он может быть более уязвим для судебно-медицинской экспертизы , чем временный открытый текст, который он защищает (из-за возможной остаточной информации).

Аутентификация

Традиционно используемые одноразовые блокноты не обеспечивают аутентификацию сообщений , отсутствие которой может представлять угрозу безопасности в реальных системах. Например, злоумышленник, который знает, что сообщение содержит фразу «встречаемся со мной и Джейн завтра в три тридцать вечера», может получить соответствующие коды клавиатуры непосредственно из двух известных элементов (зашифрованного текста и известного открытого текста). Затем злоумышленник может заменить этот текст любым другим текстом точно такой же длины, например «в три тридцать встреча отменена, оставайтесь дома». Знания злоумышленника об одноразовом блокноте ограничены этой длиной в байтах, которая должна сохраняться, чтобы любое другое содержимое сообщения оставалось действительным. Это отличается от гибкости ^[23] , где открытый текст не обязательно известен. Не зная сообщения, злоумышленник также может перевернуть биты в сообщении, отправленном с помощью одноразового блокнота, при этом получатель не сможет его обнаружить. Из-за своего сходства атаки на одноразовые блокноты аналогичны атакам на поточные шифры . ^[24]

Стандартные методы предотвращения этого, такие как использование кода аутентификации сообщения, могут использоваться вместе с системой одноразового ввода для предотвращения таких атак, как и классические методы, такие как заполнение переменной длины и русское совокупление , но всем им не хватает совершенства. безопасность, которую имеет сам OTP. Универсальное хеширование обеспечивает способ аутентификации сообщений до произвольной границы безопасности (т. е. для любого p > 0 достаточно большой хэш гарантирует, что даже для вычислительно неограниченного злоумышленника вероятность успешной подделки меньше, чем p ), но при этом используются дополнительные случайные данные. с планшета, а некоторые из этих приемов исключают возможность реализации системы без компьютера.

Распространенные ошибки реализации

Благодаря относительной простоте реализации и обещанию полной секретности одноразовый блокнот пользуется большой популярностью среди студентов, изучающих криптографию, особенно потому, что часто это первый алгоритм, который будет представлен и реализован в ходе курса. Такие «первые» реализации часто нарушают требования к теоретической безопасности информации одним или несколькими способами:

• Блокнот генерируется с помощью некоторого алгоритма, который преобразует одно или несколько небольших значений в более длинный «одноразовый блокнот». Это в равной степени относится ко всем алгоритмам: от небезопасных базовых математических операций, таких как десятичное разложение квадратного корня, до сложных, криптографически безопасных генераторов псевдослучайных чисел (CSPRNG). Ни одна из этих реализаций не является одноразовым блокнотом, а является потоковым шифрованием по определению. Все одноразовые блокноты должны генерироваться неалгоритмическим процессом, например, с помощью аппаратного генератора случайных чисел .
• Обмен блокнота осуществляется с использованием теоретически безопасных методов, не являющихся информационными. Если одноразовый блокнот зашифрован с помощью неинформационного теоретически безопасного алгоритма доставки, безопасность криптосистемы будет такой же безопасной, как и небезопасный механизм доставки. Распространенным ошибочным механизмом доставки одноразового блокнота является стандартная гибридная криптосистема , которая использует криптографию с симметричным ключом для шифрования блокнота и асимметричную криптографию для доставки симметричного ключа. Распространенными безопасными методами одноразовой доставки блокнота являются квантовое распределение ключей , скиннернет или курьерская служба, а также тайник .
• Реализация не имеет безусловно безопасного механизма аутентификации, такого как одноразовый MAC .
• Площадка используется повторно (эксплуатировалась , например, во время проекта Venona ). ^[25]
• Прокладка не уничтожается сразу после использования.

Использование

Применимость

Несмотря на свои проблемы, одноразовый блокнот сохраняет некоторый практический интерес. В некоторых гипотетических ситуациях шпионажа одноразовый блокнот может быть полезен, поскольку шифрование и дешифрование можно выполнить вручную, используя только карандаш и бумагу. Почти все другие высококачественные шифры совершенно непрактичны без компьютеров. Однако в современном мире компьютеры (например, встроенные в мобильные телефоны ) настолько распространены, что наличие компьютера, подходящего для выполнения обычного шифрования (например, телефона, на котором можно использовать скрытое криптографическое программное обеспечение), обычно не вызывает подозрений.

• Одноразовый блокнот — оптимальная криптосистема с теоретически совершенной секретностью. ^[19]
• Одноразовый блокнот — один из наиболее практичных методов шифрования, при котором одна или обе стороны должны выполнять всю работу вручную, без помощи компьютера. Это сделало его важным в докомпьютерную эпоху, и, возможно, он все еще может быть полезен в ситуациях, когда владение компьютером является незаконным или компрометирующим или когда надежные компьютеры недоступны.
• Одноразовые блокноты практичны в ситуациях, когда две стороны в безопасной среде должны иметь возможность отделиться друг от друга и общаться из двух отдельных защищенных сред с полной секретностью.
• Одноразовый блокнот можно использовать в супершифровании . ^[26]
• Алгоритм, чаще всего связанный с квантовым распределением ключей, — это одноразовый блокнот. ^[27]
• Одноразовый блокнот имитируется потоковыми шифрами . ^[24]
• Цифровые станции часто отправляют сообщения, зашифрованные с помощью одноразового блокнота. ^[2]

Квантовая и постквантовая криптография

Обычное использование одноразового блокнота в квантовой криптографии используется в сочетании с квантовым распределением ключей (QKD). QKD обычно ассоциируется с одноразовым блокнотом, поскольку он обеспечивает способ безопасного и эффективного распространения длинного общего секретного ключа (при условии существования практичного оборудования для квантовых сетей ). Алгоритм QKD использует свойства квантово-механических систем, чтобы позволить двум сторонам договориться об общей равномерно случайной строке. Алгоритмы QKD, такие как BB84 , также способны определять, пыталась ли противоборствующая сторона перехватить ключевой материал, и позволяют согласовать общий секретный ключ с относительно небольшим обменом сообщениями и относительно низкими вычислительными затратами. На высоком уровне схемы работают, используя деструктивный способ измерения квантовых состояний для обмена секретами и обнаружения взлома. В оригинальной статье BB84 было доказано, что одноразовый блокнот с ключами, распространяемыми через QKD, представляет собой совершенно безопасную схему шифрования. ^[27] Однако этот результат зависит от корректной реализации схемы КРК на практике. Атаки на реальные системы QKD существуют. Например, многие системы не отправляют ни одного фотона (или другого объекта в желаемом квантовом состоянии) на бит ключа из-за практических ограничений, и злоумышленник может перехватить и измерить некоторые фотоны, связанные с сообщением, получив информацию о ключа (т.е. утечка информации о блокноте), пропуская при этом неизмеренные фотоны, соответствующие одному и тому же биту ключа. ^[28] Объединение QKD с одноразовым блокнотом также может ослабить требования к повторному использованию ключей. В 1982 году Беннетт и Брассар показали, что если протокол QKD не обнаруживает, что злоумышленник пытался перехватить обмененный ключ, то ключ можно безопасно использовать повторно, сохраняя при этом полную секретность. ^[29]

Также существует квантовый аналог одноразового блокнота, который можно использовать для обмена квантовыми состояниями по одностороннему квантовому каналу с полной секретностью, который иногда используется в квантовых вычислениях. Можно показать, что для обмена квантовым состоянием n-кубитов по одностороннему квантовому каналу требуется общий секрет, состоящий как минимум из 2n классических битов (по аналогии, в результате чего для обмена n битами требуется ключ из n битов). сообщение с полной секретностью). Схема, предложенная в 2000 году, достигает этой границы. Один из способов реализовать этот квантовый одноразовый блокнот — разделить 2n-битный ключ на n пар битов. Чтобы зашифровать состояние, для каждой пары бит i в ключе следует применить вентиль X к кубиту i состояния тогда и только тогда, когда первый бит пары равен 1, и применить вентиль Z к кубиту i состояния. состояние тогда и только тогда, когда второй бит пары равен 1. Дешифрование предполагает повторное применение этого преобразования, поскольку X и Z являются своими собственными обратными значениями. Можно показать, что в квантовой обстановке это совершенно секретно. ^[30]

Одноразовый блокнот является примером постквантовой криптографии, поскольку идеальная секретность — это определение безопасности, которое не зависит от вычислительных ресурсов противника. Следовательно, противник с квантовым компьютером все равно не сможет получить больше информации о сообщении, зашифрованном с помощью одноразового блокнота, чем противник с обычным классическим компьютером.

Историческое использование

Одноразовые прокладки использовались в особых случаях с начала 1900-х годов. В 1923 году они были наняты немецким дипломатическим ведомством для дипломатической связи. ^[31] Дипломатическая служба Веймарской республики начала использовать этот метод примерно в 1920 году. Взлом плохой советской криптографии британцами , когда сообщения были обнародованы по политическим мотивам в двух случаях в 1920-х годах ( дело ARCOS ), по-видимому, вызвало Союз примет на вооружение одноразовые блокноты для некоторых целей примерно к 1930 году. Известно также, что шпионы КГБ в последнее время использовали карандашные и бумажные одноразовые блокноты. Примеры включают полковника Рудольфа Абеля , который был арестован и осужден в Нью-Йорке в 1950-х годах, и «Крогеров» (то есть Морриса и Лону Коэн ), которые были арестованы и осуждены за шпионаж в Соединенном Королевстве в начале 1960-х годов. У обоих были обнаружены одноразовые блокноты.

Ряд стран использовали системы одноразовых блокнотов для конфиденциального трафика. Лео Маркс сообщает, что во время Второй мировой войны Управление специальных операций Великобритании использовало одноразовые блокноты для кодирования трафика между своими офисами. Одноразовые блокноты для использования зарубежными агентами появились в конце войны. ^[15] Несколько британских одноразовых ленточных шифровальных машин включают Rockex и Noreen . Немецкая машина Штази Спрах также могла использовать одноразовую ленту, которую Восточная Германия, Россия и даже Куба использовали для отправки зашифрованных сообщений своим агентам. ^[32]

Скремблер голоса SIGSALY времен Второй мировой войны также был разновидностью одноразовой системы. Он добавлял шум к сигналу на одном конце и удалял его на другом конце. Шум распределялся по концам каналов в виде больших шеллаковых пластинок, изготовленных уникальными парами. Возникли проблемы как с начальной синхронизацией, так и с долгосрочным дрейфом фазы, которые необходимо было решить, прежде чем систему можно было использовать. ^[33]

Горячая линия между Москвой и Вашингтоном , созданная в 1963 году после кубинского ракетного кризиса 1962 года , использовала телетайпы , защищенные коммерческой системой одноразовой ленты. Каждая страна подготовила кодирующие ленты, используемые для кодирования своих сообщений, и доставила их через свое посольство в другой стране. Уникальным преимуществом OTP в этом случае было то, что ни одна страна не должна была раскрывать другой более чувствительные методы шифрования. ^[34]

Спецназ армии США использовал одноразовые блокноты во Вьетнаме. Используя азбуку Морзе с одноразовыми блокнотами и непрерывную радиопередачу (носитель азбуки Морзе), они добились одновременно секретности и надежности связи. ^[35]

Начиная с 1988 года, Африканский национальный конгресс (АНК) использовал одноразовые блокноты на дисках как часть защищенной системы связи между лидерами АНК за пределами Южной Африки и оперативниками внутри страны в рамках операции «Вула» ^[36] — успешной попытки создать сеть сопротивления внутри Южной Африки. Случайные числа на диске после использования стирались. Бортпроводник из Бельгии выступил в качестве курьера, который доставил диски для планшетов. Требовалось регулярное пополнение запасов новых дисков, поскольку они изнашивались довольно быстро. Одна из проблем с системой заключалась в том, что ее нельзя было использовать для безопасного хранения данных. Позже Вула добавила поточный шифр, основанный на книжных кодах, чтобы решить эту проблему. ^[37]

Связанное с этим понятие — одноразовый код — сигнал, используемый только один раз; например, «Альфа» для «миссия завершена», «Браво» для «миссия провалена» или даже «Факел» для « Вторжение союзников во Французскую Северную Африку » ^[38] не могут быть «расшифрованы» в каком-либо разумном смысле этого слова. Для понимания сообщения потребуется дополнительная информация, часто «глубина» повторения или некоторый анализ трафика . Однако такие стратегии (хотя они часто используются реальными оперативниками и бейсбольными тренерами) ^{[ нужна ссылка ]} не являются криптографическим одноразовым блокнотом в каком-либо значимом смысле.

АНБ

По крайней мере, в 1970-е годы Агентство национальной безопасности США (АНБ) производило различные ручные одноразовые блокноты, как общего назначения, так и специализированные: в 1972 финансовом году было произведено 86 000 одноразовых блокнотов. АНБ назвало системы «проформы», в которых «базовая структура, форма или формат каждого текста сообщения идентичны или почти идентичны; один и тот же вид информации, сообщение за сообщением, должен быть представлен в одном и том же порядке, и только определенные значения». , как и числа, меняются с каждым сообщением». Примеры включают сообщения о ядерных запусках и отчеты радиопеленгации (COMUS). ^{[39] : стр. 16–18.}

Блокноты общего назначения выпускались в нескольких форматах: простой список случайных букв (ДИАНА) или просто цифр (КАЛИПСО), крошечные блокноты для тайных агентов (МИККИ МАУС) и блокноты, предназначенные для более быстрого кодирования коротких сообщений за счет меньшая плотность. Один пример, ORION, имел 50 рядов алфавитов открытого текста на одной стороне и соответствующие буквы случайного зашифрованного текста на другой стороне. Поместив лист поверх листа копировальной бумаги копировальной стороной вверх, можно было обвести одну букву в каждом ряду с одной стороны, а соответствующая буква на другой стороне будет обведена копировальной бумагой. Таким образом, один лист ОРИОН мог быстро закодировать или декодировать сообщение длиной до 50 символов. Производство планшетов ORION требовало печати обеих сторон с точным совмещением, а это сложный процесс, поэтому АНБ перешло на другой формат планшетов, MEDEA, с 25 рядами парных алфавитов и случайными символами. ( Иллюстрации см. в разделе Commons:Category: одноразовые блокноты АНБ.)

АНБ также создало автоматизированные системы для «централизованных штабов ЦРУ и подразделений специального назначения, чтобы они могли эффективно обрабатывать множество отдельных одноразовых сообщений с планшетов, поступающих и исходящих от отдельных держателей планшетов на местах». ^{[39] : стр. 21–26.}

Во время Второй мировой войны и в 1950-е годы США широко использовали одноразовые магнитофонные системы. Помимо обеспечения конфиденциальности, каналы, защищенные одноразовой лентой, работали непрерывно, даже при отсутствии трафика, защищая таким образом от анализа трафика . В 1955 году АНБ произвело около 1 660 000 рулонов одноразовой ленты. Каждый рулон имел диаметр 8 дюймов, содержал 100 000 символов, длился 166 минут и стоил 4,55 доллара за производство. К 1972 году было выпущено всего 55 000 рулонов, поскольку одноразовые ленты были заменены роторными машинами типа SIGTOT, а позже и электронными устройствами на основе сдвиговых регистров . ^{[39] : стр. 39–44} АНБ описывает системы одноразовой ленты, такие как 5-UCO и SIGTOT, как используемые для передачи разведывательных данных до появления в 1957 году электронного шифрования на основе KW-26 ^{. [40]}

Эксплойты

Хотя одноразовые блокноты обеспечивают идеальную секретность, если они созданы и используются правильно, небольшие ошибки могут привести к успешному криптоанализу:

• В 1944–1945 годах Служба радиоразведки армии США смогла взломать систему одноразового блокнота, используемую министерством иностранных дел Германии для трафика высокого уровня под кодовым названием GEE. ^[41] GEE была небезопасной, потому что контактные площадки не были достаточно случайными — машина, используемая для создания контактных площадок, выдавала предсказуемый результат.
• В 1945 году США обнаружили, что сообщения Канберра - Москва сначала шифровались с помощью кодовой книги, а затем с помощью одноразового блокнота. Однако использовался тот же одноразовый блокнот, который Москва использовала для сообщений Вашингтон -Москва. В сочетании с тем фактом, что некоторые сообщения Канберра-Москва включали известные документы британского правительства, это позволило взломать некоторые из зашифрованных сообщений. ^{[ нужна цитата ]}
• Одноразовые блокноты использовались советскими шпионскими агентствами для тайной связи с агентами и контролерами агентов. Анализ показал, что эти блокноты были созданы машинистками, использующими настоящие пишущие машинки. Этот метод не является по-настоящему случайным, поскольку он повышает вероятность того, что пэды будут чаще содержать определенные удобные последовательности клавиш. В целом это оказалось эффективным, поскольку подушечки все еще были несколько непредсказуемыми, поскольку машинистки не соблюдали правила, а разные машинистки создавали разные рисунки подушечек. Без копий использованного ключевого материала только некоторые дефекты в методе генерации или повторного использования ключей давали большие надежды на криптоанализ. Начиная с конца 1940-х годов, спецслужбы США и Великобритании смогли прервать часть советского одноразового трафика в Москву во время Второй мировой войны из-за ошибок, допущенных при создании и распространении ключевых материалов. Одно из предположений состоит в том, что сотрудники Московского центра были несколько сбиты с толку присутствием немецких войск недалеко от Москвы в конце 1941 и начале 1942 года, и за этот период они произвели более одной копии одного и того же ключевого материала. Эта многолетняя работа наконец получила кодовое название VENONA (ранее было BRIDE); он дал значительный объем информации. Несмотря на это, лишь небольшой процент перехваченных сообщений был полностью или частично расшифрован (несколько тысяч из нескольких сотен тысяч). ^[25]
• В системах одноразовой ленты, используемых в США, использовались электромеханические микшеры для объединения битов сообщения и одноразовой ленты. Эти смесители излучали значительную электромагнитную энергию, которую мог уловить противник, находящийся на некотором расстоянии от шифровального оборудования. Этот эффект, впервые замеченный Bell Labs во время Второй мировой войны, может позволить перехватывать и восстанавливать открытый текст передаваемых сообщений — уязвимость под кодовым названием Tempest . ^{[39] : стр. 89 и далее.}

Смотрите также

• Агриппа (Книга мертвых)
• Информационная безопасность
• Номера станции
• Одноразовый пароль
• Сеансовый ключ
• стеганография
• Торговля
• Расстояние уникальности
• Теорема о несокрытии

Примечания

1. Фактическая длина открытого текстового сообщения может быть скрыта путем добавления посторонних частей, называемых заполнением . Например, 21-символьный зашифрованный текст может скрывать 5-символьное сообщение с некоторым соглашением о заполнении (например, «-PADDING-HELLO -XYZ-») так же, как и фактическое 21-символьное сообщение: таким образом, наблюдатель может вывести только максимально возможное значение. длина значимого текста, а не его точная длина.
2. То есть « выигрыш информации » или расхождение Кульбака – Лейблера открытого текстового сообщения от зашифрованного сообщения равно нулю.
3. Большинство алгоритмов асимметричного шифрования основаны на том факте, что наиболее известные алгоритмы факторизации простых чисел и вычисления дискретных логарифмов имеют суперполиномиальное время. Существует твердое убеждение, что эти проблемы не могут быть решены с помощью машины Тьюринга, которая полиномиально масштабируется в зависимости от длины входных данных, что делает их трудными (надеюсь, непозволительными) для взлома с помощью криптографических атак. Однако это не доказано.

Рекомендации

1. Лугрин, Томас (2023), Малдер, Валентин; Мермуд, Ален; Кредиторы, Винсент; Телленбах, Бернхард (ред.), «Одноразовый блокнот», Тенденции в области защиты данных и технологий шифрования , Cham: Springer Nature Switzerland, стр. 3–6, doi : 10.1007/978-3-031-33386-6_1 , ISBN 978-3-031-33386-6, получено 12 сентября 2023 г.
2. «Введение в числовые станции». Архивировано из оригинала 18 октября 2014 года . Проверено 13 сентября 2014 г.
3. «Одноразовый блокнот (OTP)» . Криптомузей.com. Архивировано из оригинала 14 марта 2014 г. Проверено 17 марта 2014 г.
4. Чайтин, Грегори (1966). «О длине программ вычисления конечных двоичных последовательностей». Дж. АКМ . 13 (4): 547–569. дои : 10.1145/321356.321363. S2CID  207698337.
5. Шеннон, Клод (1949). «Теория связи секретных систем» (PDF) . Технический журнал Bell System . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x.
6. Миллер, Фрэнк (1882). Телеграфный код для обеспечения конфиденциальности и тайны при передаче телеграмм . КМ Корнуэлл.
7. Белловин, Стивен М. (2011). «Фрэнк Миллер: изобретатель одноразового блокнота». Криптология . 35 (3): 203–222. дои : 10.1080/01611194.2011.583711. ISSN  0161-1194. S2CID  35541360.
8. «' Патент на секретную систему сигнализации' на Google.Com» . гугл.com . Архивировано из оригинала 11 марта 2016 года . Проверено 3 февраля 2016 г.
9. Кан, Дэвид (1996). Взломщики кодов . Макмиллан . стр. 397–8. ISBN 978-0-684-83130-5.
10. «Одноразовый блокнот (шифр Вернама), часто задаваемые вопросы, с фотографией» . Архивировано из оригинала 7 мая 2006 г. Проверено 12 мая 2006 г.
11. Сэвори, Стюарт (2001). «Chiffriergerätebau: одноразовый блокнот с фотографией» (на немецком языке). Архивировано из оригинала 30 мая 2011 г. Проверено 24 июля 2006 г.
12. Кан, Дэвид (1967). Взломщики кодов . Макмиллан . стр. 398 и далее. ISBN 978-0-684-83130-5.
13. Джон Маркофф (25 июля 2011 г.). «Кодовая книга показывает, что форма шифрования восходит к телеграфам». Нью-Йорк Таймс . Архивировано из оригинала 21 мая 2013 года . Проверено 26 июля 2011 г.
14. Пэн, Вэйпин; Цуй, Шуан; Сун, Ченг (20 января 2021 г.). Раджа, Гулистан (ред.). «Алгоритм одноразового шифрования, основанный на картировании путаницы и технологии хранения ДНК». ПЛОС ОДИН . 16 (1): e0245506. Бибкод : 2021PLoSO..1645506P. дои : 10.1371/journal.pone.0245506 . ISSN  1932-6203. ПМК 7817086 . ПМИД  33471849. 
15. Маркс, Лео (1998). Между шелком и цианидом: история кодировщика, 1941–1945. ХарперКоллинз. ISBN 978-0-684-86780-9.
16. Сергей Н Молотков (Институт физики твердого тела РАН, Черноголовка, Московская область, Российская Федерация) (22 февраля 2006 г.). "Квантовая криптография и теоремы о одноразовом ключе и выборке В.А. Котельникова". Успехи физики . 49 (7): 750–761. Бибкод : 2006PhyU...49..750M. doi : 10.1070/PU2006v049n07ABEH006050. S2CID  118764598. Архивировано из оригинала 10 декабря 2008 г. Проверено 3 мая 2009 г.{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )Номера PACS: 01.10.Fv, 03.67.Dd, 89.70.+c и открыто на русском языке Квантовая криптография и выводы В.А. Котельникова об одноразовых ключах и об отсчетах. УФН
17. Роберт Уоллес и Х. Кейт Мелтон с Генри Р. Шлезингером (2008). Spycraft: Тайная история шпионских технологий ЦРУ, от коммунизма до Аль-Каиды. Нью-Йорк: Даттон . п. 452. ИСБН 978-0-525-94980-0.
18. Шнайер, Брюс. «Одноразовые блокноты». Архивировано из оригинала 3 апреля 2005 г.
19. Шеннон, Клод Э. (октябрь 1949 г.). «Теория связи секретных систем» (PDF) . Технический журнал Bell System . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x. hdl :10338.dmlcz/119717. Архивировано из оригинала (PDF) 20 января 2012 г. Проверено 21 декабря 2011 г.
20. Ларс Р. Кнудсен и Мэтью Робшоу (2011). Компаньон по блочным шифрам. Springer Science & Business Media. стр. 1–14. ISBN 978-3642173424. Проверено 26 июля 2017 г.
21. Сингх, Саймон (2000). Кодовая книга. США: Anchor Books. стр. 123. ISBN 978-0-385-49532-5.
22. «Переводы и криптографические системы КГБ» (PDF) . История Веноны . Форт Мид, Мэриленд : Агентство национальной безопасности . 15 января 2004 г. стр. 26–27 (28–29 из 63 в PDF). Архивировано из оригинала (PDF) 10 мая 2009 г. Проверено 3 мая 2009 г. Центр по производству криптографических материалов КГБ в Советском Союзе, очевидно, повторно использовал некоторые страницы из одноразовых блокнотов. Это дало Арлингтон-холлу возможность.
23. Сафави-Наини, Рейхане (2008). Теоретико-информационная безопасность: Третья международная конференция, ICITS 2008, Калгари, Канада, 10–13 августа 2008 г., Материалы. Springer Science & Business Media. ISBN 978-3540850922– через Google Книги.
24. Боне, Дэн. «Атаки на потоковые шифры и одноразовый блокнот - обзор курса и потоковые шифры». Курсера . Проверено 21 марта 2022 г.
25. "Переводы Веноны" (PDF) . История Веноны . Форт Мид, Мэриленд : Агентство национальной безопасности . 15 января 2004 г. п. 17-е место (из 63 в PDF), но отмечено 15. Архивировано из оригинала (PDF) 10 мая 2009 г. Проверено 3 мая 2009 г. Способность Арлингтона Холла читать сообщения VENONA была нестабильной, что зависело от базового кода, ключевых изменений и отсутствия объема. Из потока сообщений из нью-йоркского офиса КГБ в Москву 49 процентов сообщений 1944 года и 15 процентов сообщений 1943 года были читабельными, но это было верно только для 1,8 процентов сообщений 1942 года. Из сообщений вашингтонского офиса КГБ в Москву в 1945 году только 1,5 процента были читабельными. Около 50 процентов сообщений ГРУ-ВМС Вашингтон-Москва/Москва-Вашингтон за 1943 год были прочитаны, но ни одного сообщения за какой-либо другой год.
26. «Способ объединения нескольких блочных алгоритмов», чтобы «криптоаналитик должен взломать оба алгоритма» в §15.8 книги Брюса Шнайера «Прикладная криптография, второе издание: протоколы, алгоритмы и исходный код на языке C ». Wiley Computer Publishing, John Wiley & Sons, Inc.
27. Беннетт, Чарльз; Брассар, Джайлз (1984). «Квантовая криптография: распределение открытых ключей и подбрасывание монеты». Теоретическая информатика . 560 : 7–11. arXiv : 2003.06557 . дои : 10.1016/j.tcs.2014.05.025. S2CID  27022972.Примечание. Эта статья была первоначально опубликована в 1984 году, но была отозвана, а версия на ArXiv представляет собой перепечатку статьи 1984 года за 2014 год.
28. Душек, Милослав; Хадерка, Ондржей; Хендрик, Мартин (1 октября 1999 г.). «Обобщенная атака с расщеплением луча в квантовой криптографии с тусклыми когерентными состояниями». Оптические коммуникации . 169 (1): 103–108. Бибкод : 1999OptCo.169..103D. дои : 10.1016/S0030-4018(99)00419-8. ISSN  0030-4018.
29. Беннетт, Чарльз; Брассар, Джайлз; Брейдбарт, Сет (2014). «Квантовая криптография II: Как безопасно повторно использовать одноразовый блокнот, даже если P = NP». Естественные вычисления . 13 (4): 453–458. дои : 10.1007/s11047-014-9453-6. ПМЦ 4224740 . PMID  25400534. S2CID  3121156. Примечание. Это также перепечатка оригинальной статьи 1982 года.
30. Моска, Мишель; Тапп, Ален; де Вольф, Рональд (27 марта 2000 г.). «Частные квантовые каналы и стоимость рандомизации квантовой информации». arXiv : Quant-ph/0003101 .
31. Кан, Дэвид (1996). Взломщики кодов . Макмиллан . стр. 402–3. ISBN 978-0-684-83130-5.
32. "Машина Морзе Штази Спрач" . Исследовательский и информационный центр номерных станций. Архивировано из оригинала 13 марта 2015 года . Проверено 1 марта 2015 г.
33. «Агентство национальной безопасности | Центральная служба безопасности > О нас > Криптологическое наследие > Исторические деятели и публикации > Публикации > Вторая мировая война > История Сигсалы» . 24 февраля 2019 г. Архивировано из оригинала 24 февраля 2019 г. Проверено 27 марта 2022 г.
34. Кан, Дэвид (1967). Взломщики кодов . Макмиллан . стр. 715 и далее. ISBN 978-0-684-83130-5.
35. Хьеу, Фан Зыонг (апрель 2007 г.). «Криптология во время французской и американской войн во Вьетнаме» (PDF) . Криптология . 41 (6): 1–21. дои : 10.1080/01611194.2017.1292825. S2CID  3780267 . Проверено 14 апреля 2020 г.
36. «Операция Вула: секретная голландская сеть против апартеида», Архив Радио Нидерландов, 9 сентября 1999 г.
37. Дженкин, Тим (май – октябрь 1995 г.). «Разговор с Вулой: история секретной подземной сети связи операции Вула». Майибуе . Архивировано из оригинала 26 августа 2014 г. Проверено 24 августа 2014 г. Наша система была основана на одноразовом блокноте, хотя вместо бумажных блокнотов случайные числа записывались на диск.
38. Пиджон, Джеффри (2003). «Глава 28: Билл Миллер - Чай с немцами». Тайная беспроводная война – история коммуникаций МИ-6 1939-1945 гг . ООО УПСО с. 249. ИСБН 978-1-84375-252-3.
39. Боак, Дэвид Г. (июль 1973 г.) [1966]. История безопасности связи в США; Лекции Дэвида Г. Боака, Том. I (PDF) (обзор рассекречивания, 2015 г., ред.). футов. Джордж Г. Мид, доктор медицинских наук: Агентство национальной безопасности США. Архивировано из оригинала (PDF) 25 мая 2017 г. Проверено 23 апреля 2017 г.
40. Кляйн, Мелвилл (2003). «Защита протокольной связи: TSEC/KW-26» (PDF) . АНБ. Архивировано из оригинала (PDF) 13 февраля 2006 г. Проверено 12 мая 2006 г.
41. Эрскин, Ральф, «Безопасность Энигмы: что на самом деле знали немцы», в действии в этот день , под редакцией Ральфа Эрскина и Майкла Смита, стр. 370–386, 2001.

дальнейшее чтение

• Рубина, Франк (1996). «Шифрование одноразового блокнота». Криптология . 20 (4): 359–364. дои : 10.1080/0161-119691885040. ISSN  0161-1194.
• Фостера, Кэкстон К. (1997). «Недостатки одноразового блокнота». Криптология . 21 (4): 350–352. дои : 10.1080/0161-119791885986. ISSN  0161-1194.

Внешние ссылки

• Подробное описание и история одноразового блокнота с примерами и изображениями шифровальных машин и криптологии.
• Запись в глоссарии FreeS /WAN с обсуждением слабых сторон OTP.