Шифрсистема RSA

Система RSA была предложена в 1978 г. и в настоящее время является наиболее распространенной системой шифрования с открытым ключом. Напомним ее определение, приведенное в Теме 1 (определение 4).

Пусть п = р • q — целое число, представимое в виде произведения двух больших простых чисел p,q. Выберем числа е и d из условия

е•dº1(mod j(n)), (8.1)

где j(п) = (р – 1) • (q–1) – значение функции Эйлера от числа п. Пусть k=(n,p,q,e,d)– выбранный ключ, состоящий из открытого ключа k_з =(n,e) и секретного ключа k_р = (n,p,q,d). Пусть М – блок открытого текста и С – соответствующий блок шифрованного текста. Тогда правила зашифрования и расшифрования определяются формулами:

С = Е_k(М) = M^е(mod n), D_k(C) = C^d(mod n) . (8.2)

Заметим, что в соответствии с (2) D_k(С) = М. Это выте­кает из следующих рассуждений. Для любого целого числа М и любого простого р справедливо сравнение

М ^р º M(mod р). (8.3)

В самом деле, (8.3) равносильно сравнению

М^р – M º 0(mod р)

или сравнению

M( М^р-1– 1) º 0(mod р) (8.4)

Если НОД(М,р)=р, то р делит М, и поэтому М º 0(mod p), откуда следует (8.4). Если же НОД(М,р) = 1, то, согласно малой теореме Ферма, М^р-1ºl(modp), откуда также следует (8.4).

Согласно (8.1), существует целое число r, такое, что e× d = r×j(п)+ 1. Отсюда и из (8.3) получаем следующую це­почку равенств и сравнений:

С ^d =(M^e)^d =M^e×d = М^{r×j(п)+ 1}=M^r•^(p-l)(q-l)+l = M^r•^p(q-l)×M^-r•^q+r+l =

= M^r•^(q-l)×M^-r•^q+r+l) = M^r•^(q-l) ×M^-r•^(q+r+l º M(mod р). (8.5)

Аналогично можно показать, что

С ^d =M(mod р). (8.6)

Поскольку р и q — разные простые числа, то на основании известных свойств сравнений из (8.5), (8.6) получаем:

С ^d =M(mod n).

Отсюда и следует корректность определения (8.2). Для того чтобы лучше представить себе технические детали, возникающие при зашифровании и расшифровании, приведем пример работы с RSA.

Пример

Зашифруем аббревиатуру RSA, используя р=17, q=31. Для этого вычислим n=pq=527 и j(п) = (p–1)(q –1) =480 . Выберем, далее, в качестве е число, взаимно простое с j(п), например е = 7. С помощью алгоритма Евклида найдем целые числа и и v, удовлетворяющие соотношению e×u+j(n)×v =1:

480=7×68+4,

7=4×1+3,

4=3×1+1,

1=4–3×1=4–(7–4×1)×1=4×2–7×1=(480–7×68)•2–7×1=480×2–7×137,

v=2, и= –137.

Поскольку –137 = 343(mod 480), то d = 343. Проверка:

7×343=2401=l(mod 480).

Теперь представим данное сообщение в виде последова­тельности чисел, содержащихся в интервале 0,…,526. Для этою буквы R,S и А закодируем пятимерными двоичными векто­рами, воспользовавшись двоичной записью их порядковых номеров в английском алфавите:

R = 18 = (10010), S =19= (10011), А = 1 = (00001).

Тогда RSA= (100101001100001). Укладываясь в заданный интервал 0,…,526, получаем следующее представление:

RSA=(100101001),(100001)=(M₁ = 297, М₂ = 33).

Далее последовательно шифруем М₁ и М₂:

С₁ = Е_k(М₁) = M₁^e = 297⁷ (mod 527) = 474.

При этом мы воспользовались тем, что

297⁷ =((297²)³297)(mod 527)=((200³(mod 527)297)(mod 527),

С₂ = Е_k(М₂ )= М₂^e = ЗЗ⁷ (mod 527) = 407.

В итоге получаем шифртекст: у₁ = 474, у₂ = 407.

При расшифровании нужно выполнить следующую по­следовательность действий. Во-первых, вычислить

D_k(C₁)=(C₁)³⁴³(mod 527).

Отметим, что при возведении в степень удобно восполь­зоваться тем, что 343 =256+64+16+4+2+1. На основа­нии этого представления получаем:

474² = 174(mod 527), 474⁴(mod 527) = 237, 474⁸ (mod 527) = 307,

474¹⁶ (mod 527) = 443, 474³² (mod 527) = 205, 474⁶⁴ (mod 527) = 392,

474¹²⁸ (mod 527) = 307, 474²⁵⁶ (mod 527) = 443,

в силу чего

474³⁴³ (mod 527) = (443 • 392 • 443 • 237 • 174 • 474)(mod 527) = 297.

Аналогично

407³⁴³ (mod 527) =33.

Возвращаясь к буквенной записи, получаем после рас­шифрования RSA.

Проанализируем вопрос о стойкости системы RSA. Нетрудно показать, что сложность нахождения секретно­го ключа системы RSA определяется сложностью разложения числа п на простые множители. В связи с этим нужно выбирать числа р и q таким образом, чтобы задача разложения числа п была достаточно сложна в вычислительном плане. Для этого рекомендуются следующие требования:

1) числа р и q должны быть достаточно большими, не слишком сильно отличаться друг от друга и в то же время быть не слишком близкими друг другу;

2) числа р и q должны быть такими, чтобы наибольший общий делитель чисел р–1 и q– 1 был небольшим; жела­тельно, чтобы НОД(р–1, q–1) = 2 ;

3) р и q должны быть сильно простыми числами (силь­но простым называется такое простое число r, что r+1имеет большой простой делитель, r-1 имеет большой про­стой делитель s, такой, что число s – 1 также обладает доста­точно большим простым делителем).

В случае когда не выполнено хотя бы одно из указанных условий, имеются эффективные алгоритмы разложения п на простые множители.

В настоящее время самые большие простые числа, вида п = р • q, которые удается разложить на множители известными методами, содержат в своей записи 140 десятичных знаков. Поэтому, согласно указанным рекомендациям, числа р и q в системе RSA должны содержать не менее 100 деся­тичных знаков.

Следует подчеркнуть необходимость соблюдения осто­рожности в выборе модуля RSA (числа п) для каждого из корреспондентов сети. В связи с этим можно сказать следую­щее.

Самостоятельно можно убедиться в том, что, зная одну из трех величин: р, q или j(п), можно легко най­ти секретный ключ RSA. Известно также, что, зная секретную экспоненту расшифрования d, можно легко разложить мо­дуль п на множители. В этом случае удается построить веро­ятностный алгоритм разложения п. Отсюда следует, что ка­ждый корреспондент сети, в которой для шифрования исполь­зуется система RSA, должен иметь свой уникальный модуль.

В самом деле, если в сети используется единый для всех модуль п, то такая организация связи не обеспечивает кон­фиденциальности, несмотря на то, что базовая система RSA может быть стойкой. Выражаясь другими словами, говорят о несостоятельности протокола с общим модулем. Несостоятельность следует из того, что знание произвольной пары экспонент (e_i,d_i) позволяет, как было отмечено, разложить п на множители. Поэтому любой корреспондент данной сети имеет возможность найти секретный ключ любого другого корреспондента. Более того, это можно сделать даже без разложения п на множители.

Как отмечалось ранее, системы шифрования с открытыми ключами работают сравнительно медленно. Для повышения скорости шифрования RSA на практике используют малую экспоненту зашифрования.

Если выбрать число е небольшим или таким, чтобы в его двоичной записи было мало единиц, то процедуру шифрова­ния можно значительно ускорить. Например, выбрав е=3 (при этом ни р–1, ни q–1 не должны делиться на 3), мы можем реализовать шифрование с помощью одного возведе­ния в квадрат по модулю п и одного перемножения. Выбрав е = 2¹⁶ +1=65537 – число, двоичная запись которого содержит только две 1, мы сможем реализовать шифрование с помощью 16 возведений в квадрат по модулю п и одного пе­ремножения. Если экспонента е выбирается случайно, то реализация шифрования по алгоритму RSA потребует s возведений в квадрат по модулю п и в среднем s/2 умножений по тому же модулю, где s – длина двоичной записи числа п. Вместе с тем выбор небольшой экспоненты е может привести к негативным последствиям. Дело в том, что у несколь­ких корреспондентов могут оказаться одинаковые экспоненты е.

Пусть, например, три корреспондента имеют попарно взаимно простые модули п₁, п₂, п₃, и общую экспоненту е = 3. Если еще один пользователь посылает им некое цирку­лярное сообщение М, то криптоаналитик противника может получить в свое распоряжение три шифрованных текста y_iº М³ (mod n_i), i = 1,2,3. Далее он может найти решение у системы сравнений

y º y₁(mod n₁),

у º y₂(mod n₂),

y º y₃(mod n₃),

лежащее в интервале 0 < у < n₁ • п₂ • n₃. По китайской теореме об остатках такое решение единственно, а так как М³ <n₁ • n₂ • п₃, то у=М³. Само М можно найти, вычисляя кубический корень: М = .

Отметим, что выбор малой экспоненты расшифрования d также нежелателен в связи с возможностью определения d простым перебором. Известно также, что если d < , то экспоненту d легко найти, используя непрерывные дроби.

8.2. Шифрсистема Эль-Гамаля

Шифрсистема Эль-Гамаля была предложена в 1985г. и является фактически одним из вариантов метода выработки открытых ключей Диффи-Хеллмана (который бу­дет рассмотрен далее). Криптографическая стойкость данной системы основана на сложности проблемы логарифмирования в мультипликативной группе конечного простого поля.

В соответствии с терминологией, введенной в 2, шифрсистема Эль-Гамаля (X, К, Y ,E,D) определяется следую­щим образом. Для нее

Х= Z^*_p, Y =Z^*_p´Z^*_p, K={(p,a,b,g)êa ^gºb (mod p)},

где p – достаточно большое простое число, a – порождающий элемент группы Z^*_p, g – целое число из интервала 1£ g £ p–2. Ключ k=(p,a,b,g) представляется в виде открытого ключа k_з = (p,a,b) и секретного ключа k_р=(g). Правило зашифрованияна ключе k определяется формулой

Е_k(M)=(C₁,C₂),

где С₁º a ^r (mod p), С₂ = М • b ^r(mod p),

и r – случайно выбираемое число (рандомизатор) из интервала 0£ r£ р –2.

Правило расшифрования на ключе k определяется фор­мулой

D_k(C₁,C₂)=C₂(C₁^g)^–1(mod p).

Несложно проверить, что такое определение корректно, то есть что выполняется равенство D_k(E_k(M)) = М при любых k Î К и М Î Х .

Введение в правило зашифрования рандомизатора r делает шифр Эль-Гамаля шифром многозначной замены (см. 4). В связи со случайным характером выбора параметра r подобную схему шифрования называют еще схемой вероят­ностного шифрования. Для нее открытый текст и ключ не определяют шифртекст однозначно.

Для выработки открытого и секретного ключей каждый из абонентов системы осуществляет следующие операции:

1) выбирает большое простое число р и некоторый по­рождающий элемент a группы Z^*_p;

2) случайно выбирает целое число g, 1£ g£ p-2, и вы­числяет b ºa^g(mod p);

3) публикует открытый ключ (р,a,b), оставляя в секре­те число g.

Следует отметить, что в приведенной системе необходи­мо использовать различные значения рандомизатора r для зашифрования различных открытых текстов М и М'. В самом деле, в противном случае соответствующие шифртексты (C₁,C₂) и (Ć₁,Ć₂) оказываются связанными соотноше­нием C₂•(Ć₂)^–1=M•(M') ^–1 и М' может быть легко вы­числен, если известен М.

Как уже отмечалось, стойкость системы Эль-Гамаля оп­ределяется сложностью решения задачи дискретного лога­рифмирования в Z^*_p. В настоящее время эта задача практиче­ски нереализуема для значений р, содержащих не менее 150 десятичных знаков. Рекомендуется также, чтобы число р –1 содержало большой простой делитель.

Система Эль-Гамаля может быть обобщена для примене­ния в любой конечной циклической группе G. Криптогра­фическая стойкость такой обобщенной схемы определяется сложностью задачи логарифмирования в группе G . При этом групповая операция в G должна быть легко реализуемой. В качестве G чаще всего выбираются следующие три группы:

1) мультипликативная группа Z целых чисел по модулю простого числа p;

2) мультипликативная группа GF(2^m)^* конечного поля GF(2^m) характеристики 2;

3) группа точек эллиптической кривой над конечным по­лем.

Вероятностный характер шифрования можно отнести к достоинствам системы Эль-Гамаля, так как схемы вероятно­стного шифрования обладают, как правило, большей стойкостью по сравнению со схемами с детерминированным про­цессом шифрования. Недостатком системы является удвоение длины открытого текста при шифровании.

8.3. Шифрсистема Мак-Элиса

Идея, лежащая в основе данной системы, состоит в вы­боре корректирующего кода, исправляющего определенное число ошибок, для которого существует эффективный алго­ритм декодирования. С помощью секретного ключа этот код "маскируется" под общий линейный код, для которого, как известно, задача декодирования не имеет эффективного ре­шения.

В системе Мак-Элиса параметрами системы, общими для всех абонентов, являются целые числа k, п и t. Для получе­ния открытого и соответствующего секретного ключа каждо­му из абонентов системы следует осуществить следующую последовательность действий:

1) выбрать порождающую матрицу G=G_{k´ n} двоичного (n,k) -линейного кода, исправляющего t ошибок, для кото­рого известен эффективный алгоритм декодирования;

2) случайно выбрать двоичную невырожденную матрицу S = S_{k´ k} ;

3) случайно выбрать подстановочную матрицу Р = Р_{n´ n} ;

4) вычислить произведение матриц G₁ = S • G • Р .

Открытым ключом является пара (G₁, t), секретным — тройка (S, G, Р).

Для того чтобы зашифровать сообщение М , предназна­ченное для абонента А, абоненту В следует выполнить сле­дующие действия:

1) представить М в виде двоичного вектора длины k;

2) выбрать случайный бинарный вектор ошибок Z дли­ны п, содержащий не более t единиц;

3) вычислить бинарный вектор С = М • G_A + Z и напра­вить его абоненту А.

Получив сообщение С, абонент А вычисляет вектор С₁ = С • Р^-1, с помощью которого, используя алгоритм деко­дирования кода с порождающей матрицей G, получает далее векторы М₁ и М = М₁ • S^-1.

Чтобы убедиться в корректности приведенного алгоритма расшифрования, достаточно заметить, что

C₁=C•P^-1 =(M•C_A+Z) •Р^-1 =(M•S•G•P+Z)•P^-1 =(M•S) •G+Z•P^-1,

где Z•Р^-1 – вектор, содержащий не более t единиц. Поэто­му алгоритм декодирования кода с порождающей матрицей G декодирует С в М₁ = М • S.

В качестве кода, исправляющего ошибки в системе Мак-Элиса, можно использовать код Гоппы (см., например, [Пит64]). Известно, что для любого неприводимого полинома g(x) степени t над полем GF(2^m) существует бинарный код Гоппы длины п = 2^m и размерности k ³ п – mt, исправ­ляющий до t ошибок включительно, для которого имеется эффективный алгоритм декодирования. В настоящее время не известны эффективные алгоритмы дешифрования системы Мак-Элиса, использующей код Гоппы, при правильном выборе параметров системы.

Вместе с тем рекомендуемые параметры для этой системы – п=1024, t=38, k>644– приводят к тому, что открытый ключ имеет размер около 2¹⁹ бит, а длина сообщения увеличивается при шифровании примерно в 1,6 раза, к связи с чем данная система не получила широкого распространения.

8.4. Шифрсистемы на основе "проблемы рюкзака"

''Проблема рюкзака" (или "ранца") может быть сформулирована следующим образом. Пусть задано множество натуральных чисел А={а₁,а₂,...,а_п} и натуральное число S. Требуется установить, имеется ли такое подмножество множества А, сумма элементов которого была бы равна S. Эквивалентной является следующая формулировка: существует ли такой набор чисел х_iÎ{0,1}, i£n, для которого

Данная проблема получила свое название в связи с тем, что поставленная задача может быть переформулирована также в следующем виде. Имеется набор предметов с известными весами и рюкзак, который может выдержать вес, не превышающий заданной величины. Можно ли выбрать набор предметов для погрузки в рюкзак так, чтобы они в точности имели максимально возможный вес.

"Проблема рюкзака" является весьма сложной, ее решение с полиномиальной сложностью в настоящее время не известно.

Идея построения системы шифрования на основе "про­блемы рюкзака" заключается в выделении некоторого под­класса задач об укладке рюкзака, решаемых сравнительно легко, и "маскировки" задач этого класса (с помощью некото­рого преобразования параметров) под общий случай. Пара­метры подкласса определяют секретный ключ, а параметры модифицированной задачи – открытый ключ. В качестве легко решаемой задачи Р.Меркль и М.Хеллман в 1978г. предложили задачу об укладке "супервозрастающего" рюкзака. Изложим ее суть.

Назовем супервозрастающей последовательность нату­ральных чисел (b₁,b₂,...,b_п), обладающую свойством

Можно убедиться в том, что "проблема рюкзака" для су­первозрастающей последовательности может быть решена с помощью процедуры, состоящей в выполнении следующих шагов:

1. Положить i = п.

2. Если i > 1, то положить х_i равным 1 и S равным S – b_i, если S>b_i, и положить х_i равным 0 в противном случае.

3. Положить i равным i –1 и возвратиться к шагу 2.

В системе, основанной на проблеме рюкзака, величина п является параметром системы.

Для вычисления открытого и соответствующего секрет­ного ключа каждый из абонентов системы осуществляет сле­дующую последовательность действий.

1. Выбирает супервозрастающую последовательность (b₁,b₂,...,b_п) и модуль т, такой, что

2. Выбирает случайное число W, 1<W <т-1, такое, что Н0Д(W,m)=1.

3. Выбирает случайную перестановку л чисел {1,2,...,n}.

4. Вычисляет a_i=W b_p(i) mod m для i = 1,…,п.

Открытым ключом является набор (а₁,а₂,...,а_п), секретным ключом – набор (p,m,W,(b₁,b₂,...,b_п)).

Чтобы зашифровать сообщение М, предназначенное для абонента А, абонент В осуществляет следующие шаги с помощью открытого ключа (а₁,а₂,...,а_п) абонента А:

1. Представляет М в виде бинарной последовательности М=М₁М₂...М_п длины п.

2. Вычисляет С = и направляет его к А.

Абонент А, получив С, вычисляет Н =W^-1•C mod m, a затем, решая "проблему рюкзака" для супервозрастающей " последовательности, находит числа z_i Î{0,1}, такие, что

Биты последовательности М вычисляются по формуле

М_i= z_p(i) , i = 1,…,п.

Корректность проведенной процедуры расшифрования вытекает из следующих рассуждений. Поскольку

и 0 < Н < т, то Н= и, следовательно, алгоритм решения "проблемы рюкзака" действительно находит биты открытого текста, переставленные в соответствии с переста­новкой л.

Вместе с тем доказано, что существует алгоритм полино­миальной сложности, который может быть использован про­тивником для получения открытого текста М по шифртексту С. Этот алгоритм, исходя из а_i , находит пару таких целых чисел и₁ , т₁, что отношение и₁ /т₁ близко к отношению и/т

(где u=W^-1modm, a W,m являются частью секретного ключа). Кроме того, числа В_i=u_i•a_i(modm), 1<i<n, обра­зуют супервозрастающую последовательность. Эта последо­вательность затем используется противником вместо (b₁,b₂,...,b_п) для дешифрования сообщения.

Контрольные вопросы

1. В чем состоят преимущества систем с открытыми ключа­ми перед симметричными шифрсистемами?

2. Сложностью какой математической задачи определяется стойкость системы RSA?

3. К какому типу принадлежит схема шифрования, исполь­зуемая в системе Эль-Гамаля? В чем ее преимущества?

4. Чем вызваны трудности в практической реализации сис­темы Мак-Элиса?

5. Придумайте алгоритм вычисления а^d(тоd п), имеющий сложность 0(ln п).

6. Постройте пример шифра Эль-Гамаля для р = 127. За­шифруйте и расшифруйте выбранное Вами т £ 126.

Литература

1. А.В. Аграновский. Р.А. Хади. Практическая криптография. М., Солон-Р, 2002.

2. Алфёров, А.П., Зубов, А.Ю., Кузьмин, А.С., Черёмушкин, А.В. Основы криптографии. -М.: Гелиос АРВ, 2005.

3. Андрончик, А. Н. и др. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков, М. Ю. Щербаков; Под ред. Н. И.Синадского – Екатеринбург: ГОУ ВПО УГТУ - УПИ, 2008. – 246 с.

4. Анохин М. И., Варновский Н. П., Сидельников В. М., Ященко В. В. Криптография в банковском деле. —М.: Изд-во МИФИ, 1997.

5. Аршинов М. Н., Садовский Л. Е. Коды и матема­тика. — М.: Наука, 1983.

6. А.В. Бабаш, Г.П. Шанкин. Криптография. М., Солон-Р, 2002.

7. А.П. Баранов, Н.П. Борисенко, П.Д. Зегжда, С.С. Корт, А.Г. Ростовцев "Математические основы информационной безопасности" .

8. С. Баричев, Р. Серов "Основы современной криптографии"

9. A.A-Большаков, А.Б. Петряев, В.В. Платонов, Л.М. Ухлинов. "Основы обеспечения безопасности данных в компьютерных системах и сетях. Часть 1. Методы, средства и механизмы защиты данных", ВИККА им. Можайского, СПБ, 1995.

10. Брассар Ж. Современная криптология. М.: Полимед, 1999.

11. Бейкер А. Введение в теорию чисел. Мн.: Вышэйш. шк., 1995.

12. Березин Б. В., Дорошкевич П. В. Цифровая под­пись на основе традиционной криптографии // Защита информации.— 1992.— Вып. 2.— С.148—167.

13. Болл У., Коксетер Г. Математические эссе и развлечения (криптография и криптографиче­ский анализ). —М.; Мир, 1986.

14. Брассар Ж. Современная криптология. — М.:Полимед,1999.

15. Варфоломеев А. А., Пеленицын М. Б. Методы криптографии и их применение в банковских технологиях. — М.: Изд-во МИФИ, 1995.

16. Варфоломеев А. А., Жуков А. Е., Пудовкина М. А. Поточные криптосистемы. Основные свойства и методы анализа стойкости. — М.: Изд-во МИФИ, 2000.

17. Варфоломеев А. А., Домнина О. С., Пелени­цын М. Б, Управление ключами в системах криптографической защиты банковской инфор­мации. — М.: Изд-во МИФИ, 1996.

18. Введение в криптографию / Под ред. В.В. Ященко. М.: МЦНМО, 2001.

19. М. Вельшенбах. Криптография на Си и C++ в действии. Под редакцией П.В. Семьянова. М., Триумф, 2004.

20. Гайкович В., Першин А. Безопасность электрон­ных банковских систем.— М.: Единая Европа, 1994.

21. Герасименкo В.А., Малюк A.A. Основы защиты информации: Учеб. пособие. М.:МИФИ, 1997.

22. Диффи У., Хеллман М. Э. Защищенность и имитостойкость. Введение в криптографию // ТИИЭР. — 1979. — Т. 67. — № 3.

23. Духан, Е. И. Применение программно-аппаратных средств защиты компьютерной информации: учеб. пособие / Е. И. Духан, И. Н. Синадский, Д. А. Хорьков. – Екатеринбург: ГОУ ВПО УГТУ-УПИ, 2007. – 174 с.

24. Жельников В. Криптография от папируса до компьютера. М.: ABF, 1996.

25. Зубов, А.Ю. Криптографические методы защиты информации. Совершенные шифры. -М.: Гелиос АРВ, 2005.

26. Дэвид Кан. Взломщики кодов. - М.: Центрполиграф, 2000.

27. Д.Кан "Разведчики и цензура"

28. Нил Коблиц, Курс теории чисел и криптографии, М. ТВП, 2001

29. Конхейм А. Г. Основы криптографии. — М.: Ра­дио и связь, 1987.

30. Кузьминов Т. В. Криптографические методы за­щиты информации. — Новосибирск: Наука, 1998.

31. Лидл Р., Нидеррайтер Г. Конечные поля: В 2 т. М.: Мир, 1988.

32. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика, 1997.

33. Молдовян Н.А. Проблематика и методы криптологии. СПб.: Изд-во СПбГУ, 1998.

34. Молдовян Н.А. Скоростные и блочные шифры. СПб.: Изд-во СПбГУ, 1998.

35. А.А. Молдовян, Н.А. Молдовян, Б.Я. Советов. Криптография. М.. Лань, 2001.

36. МэссиДж.Л. Современная криптология: введе­ние // ТИИЭР. — 1988. — Т. 76. — № 5.

37. Нечаев В.И. Элементыкриптографии. Основы теории защиты информации. М.: Высш. шк., 1999.

38. Ноден П., Китте К. Алгебраическая алгоритмика. М.: Мир, 1999.

39. ОрловВ.А., Филиппов Л.И. Теория информации в упражнениях и задачах. М.: Высш. шк., 1976.

40. Петров А. А. Компьютерная безопасность. Криптографические методы защиты. — М.:ДМК, 2000.

41. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М.: Радио и связь, 1999.

42. Ростовцев А.Г., Матвеев В.А. Защита информации в компьютерных системах. Элементы криптологии. Под редакцией П. Д. Зегжды. Издание СПбГТУ, 1993.

40. РостовцевА.Г. Алгебраические основы криптографии. СПб, Мир и Семья, 2000.

41. Ростовцев А.Г.. Маховенко Е.Б. Введение в криптографию с открытым ключом. СПб, Мир и Семья, 2001.

42. Саломаа А. Криптография с открытым клю­чом.—М.:Мир, 1996.

43. Сачков В.Н, Введение в комбинаторные методы дискретной математики. М.: Наука, 1982.

44. Сингх, С. Книга шифров. Тайная история шифров и их расшифровки. -М.: АСТ - Астрель, 2006.

45. Словарь криптографических терминов. Под ред. Погорелова Б.А., Сачкова В.Н. -М.: МЦНМО, 2006.

46. Соболева Т. А. Тайнопись в истории России. Ис­тория криптографической службы России XVIII-начала XX в. -М.: Международные отношения, 1994.

47. Столлингс В. Криптография и защита сетей. Принципы и практика. -М.: Изд. Дом "Виль­яме" 2-е изд., 2001.

48. Утешев А.Ю., Черкасов Т.М.. Шапошников А.А. Цифры и шифры. СПб.: Изд-во СПбГУ. 2001.

49. Фомичёв, В.М. Дискретная математика и криптология. 2-е изд. -М.: “ДИАЛОГ-МИФИ”, 2009.

50. Харин Ю.С., Агиевич С.В. Компьютерный практикум по математическим методам защиты информации. Мн.: БГУ, 2001.

51. ХаринЮ.С., Берник В.И., Матвеев Г.А. Математические основы криптологии. Мн.: БГУ, 1999.

52. Хинчин А.Я. Цепные дроби. M.: Физматгиз, 1964.

53. Хоффман Л. Современные методы защиты информации. – М.:Мир,1970.

54. А.Чмора. Современная прикладная криптография. М., Гелиос, 2002.

55. Шеннон К. Теория связи в секретных системах//В кн.: Работы по теории информации и кибернетике.- М.: ИЛ,1963.

56. Брюс Шнайер. Прикладная криптография, 2-е издание: протоколы, алгоритмы.исходные тексты на языке Си. Под редакцией П.В. Семьянова. М., Триумф, 2002.

• Периодические издания

журнал "Защита информации. Конфидент"

журнал "Проблемы информационной безопасности. Компьютерные системы"

ИНТЕРНЕТ-ИСТОЧНИКИ

А. В. Бабаш, Г.П. Шанкин, Криптография, 2007, 511 стр., DJVU, 9.5 мб

http://ifolder.ru/19035938

Панасенко Сергей, Алгоритмы шифрования. Специальный справочник. 2009 г., 576 стр., djvu, 7,41Mb

http://ifolder.ru/14970991

Московский Государственный Технический Университет им. Н.Э. Баумана, Кафедра ИУ-8, Жуков А.Е. Системы блочного шифрования. Пособие по курсу «Криптографические методы защиты информации»

http://stream.ifolder.ru/13203588

Московский Государственный Технический Университет им. Н.Э. Баумана, Кафедра ИУ-8, Жуков А.Е. Системы поточного шифрования. Пособие по курсу «Криптографические методы защиты информации»

http://stream.ifolder.ru/13203676

Практическая Криптография, Нильс Фергюсон, Брюс Шнайер, Изд. Вильямс, 2005,416 стр.

http://www.onlinedisk.ru/file/41482/

"Handbook of Applied Cryptography".

http://www.cacr.math.uwaterloo.ca/hac/