Аппаратно-эффективный алгоритм формирования маркера начала сообщения Текст научной статьи по специальности «Математика»

АППАРАТНО-ЭФФЕКТИВНЫЙ АЛГОРИТМ ФОРМИРОВАНИЯ МАРКЕРА НАЧАЛА СООБЩЕНИЯ

Файзуллин И.Р., Файзуллин Р. Т.

Омский государственный технический университет

Аннотация

Предложен аппаратно, но не программно эффективный криптографический алгоритм для формирования маркера начала передачи информации. Предложена модификация алгоритма, позволяющая передавать информацию в виде специально встроенных ошибок в маркер. Показано, что задача, на которой основана криптографическая стойкость алгоритма, не принадлежит классу №. В наилучшем для атакующего случае дана оценка числа операций, необходимых для нахождения ключа.

Ключевые слова: мастер-ключ, маркер, криптографическая стойкость, автомат без памяти.

Введение

Постоянное увеличение скорости передачи данных и пропускной способности каналов связи приводит к качественному изменению подходов к проблеме защиты информации. Стеганография [1], скрытые каналы [2-3], сегментирование данных [4] из экзотических инструментов становятся одними из наиболее перспективных способов практической защиты информации. В связи с этим остро стоит вопрос о вычислительной эффективности шифроалго-ритмов, их доказуемой стойкости и желательном преимуществе аппаратных реализаций алгоритмов перед программными.

В настоящей работе предлагается алгоритм защиты информации, одновременно совмещающий в себе черты стандартных блочных алгоритмов и стеганографии. Оценена стойкость алгоритма и предложен эффективный метод реализации.

Рассмотрим поток данных, состоящий из бит, полученных или с помощью физического генератора псевдослучайных чисел, или с помощью программного датчика псевдослучайных чисел. Задача состоит в том, чтобы встроить в этот поток маркер сообщения, который будет содержать само сообщение. Схожая задача была рассмотрена в работе [5], но там маркер предваряет сообщение и зависит от него, как хэш-код, что представляется не совсем эффективным, т.к. требует офф-лайн обработки больших объёмов данных.

Рассмотрим последовательность байтов 21,.., < , каждый из которых состоит из К бит, и соответствующий им кортеж бит д1,...,дм. Будем называть объединение этих кортежей мастер-ключом.

Передающая сторона, или Алиса, генерирует кортеж X1, ... , Xм с условиями:

X1 > д] если д = 0, (1)

х1 < 21 если д = 1.

И маркирует начало сообщения операцией побитового сложения байтов. X1 <:

г/ = X/ ® <2/1 = 1,..к.

Получатель сообщения, или Боб, производит аналогичную операцию XOR над байтом 21 и бай-

том Q1, получая в итоге X1 . Если некоторая после— m —m +N-1

довательность битов X ,.., X удовлетворяет

условиям (1), тот Боб делает вывод о том, что с вероятностью 1-2_n эта последовательность байтов маркирует начало сообщения.

Но заметим, что Алиса может специально генерировать некоторые из XJ так, что условия (1) для них не будут выполняться. Если число таких «ошибок» будет относительно мало, например, не более четверти, и окаймлено заранее заданным числом не «ошибок», то Боб, проверяя входной поток, может сделать хорошо обоснованный вывод о наличии специально встроенных Алисой символов «ошибки». Боб должен выбрать из двух гипотез: он получает случайный поток данных или поток данных, созданный Алисой. Учитывая, что случайный поток данных, например, созданный с помощью генератора псевдослучайных чисел BBS, хорошо описывается схемой Бернулли, а при увеличении Хорошо описывается нормальным законом, то выде-

— m —m +N-1

ление кортежа X ,.. , X не представляет большого труда, с учётом, например, того, что доверенное лицо проводит тест на открытый текст для наиболее вероятного фрагмента потока данных.

В этом случае Боб может интерпретировать маркер как битовую строку q , j = 1,..N, где нулями яв-

~j 1 ляются те из q , которые совпадают с q , а единицами - места «ошибок». Длина слова в этом случае будет равна N, а «полезное пространство сообщений» 2N-1, где I сравнимо с N.

Насколько стойкой является предложенная схема шифрования?

Предположим, что аналитик каким-то образом смог выделить несколько кортежей

Z1, j = 1,..,N,s = 1,..,M M > 2, отвечающих маркерам, и ему известно, что в маркерах нет «ошибок».

С учётом независимости блоков аналитик может рассматривать только один блок j и отвечающие ему неизвестные q1, Q1, Xj1,..XlM.

В этом случае мы получаем систему линейных уравнений в Z2 и неравенств в R:

zJs, = xJs, ©QJs, i = 1,..K, s = 1,..,M

2010

Компьютерная оптика, том 34, № 4

(XJS - Q} )(-1)д > 0

Предполагая, что, например, qs = 0 , получим:

(X1' - 21') > 0.

Попытка решить эту систему прямыми методами обречена на неудачу, т.к. ассоциированные системы линейных алгебраических уравнений имеют ядро размерности, сравнимой с К, что делает задачу теоретически неразрешимой.

Предположим, что мы точно знаем расположение М кортежей 21 в потоке данных и тем самым знаем = хр! 8д1') I = 1,..К, 5 = 1,..,М, 1 = 1,.., N для каждых 1,5 . Зафиксируем некоторое 1 и оценим трудоёмкость определения битов <2/,...,2К при неизвестном q.

Оказывается, что в этом случае верна следующая лемма.

Лемма 1:

В наилучшем для атакующего случае трудоёмкость определения мастер-ключа 2/,..., QN и q1,..., qN не меньше, чем CNK2к.

Рассмотрим все возможные значения 2 1, которые, возможно, являются битами маркера без ошибок. Очевидно, что их число оценивается величиной 2К. Для каждого такого 2 1 по известному I1 однозначно определяется X1 и проверяется, например, условие (X1 - 21) > 0. Заметим, что априори нельзя выделить множество таких пробных 2 1, для которых всегда будет выполняться только условие

(X1 -21) > 0, кроме, конечно, тривиального случая нулевого вектора. Поэтому мы вынуждены проверять условие в 2К -1 случаях.

По результатам проверки 21 заносится в одно из множеств А = {)], X1 - 21 > 0} или

в = 2, X1 - 2 < 0}.

Выберем из М кортежей другой байт 21 и так же образуем множества А ={21, X11 - 21 > 0}, В = , X1 -21 < 0}. Предположим, что всё пересечение А П А состоит только из одного Н1, а пересечение В ПВ пусто.

В этом случае Н будет искомым байтом, а искомый бит q1 будет определяться однозначно.

Даже в этом простейшем случае мы вынуждены решить системы два раза, для каждого кортежа и число операций побитового сложения для определения X1 пропорционально К , т.е. длине байта.

Циклический сдвиг кортежа q1,..., д1^ и встраивание «ошибок» или сообщения решает эту проблему практически, но лемма по существу остаётся верной. Мы с вероятностью 0,25 «успешно» попадаем в отрезок Голомба [6] длины больше, чем единица. Отметим, что мы рассматриваем идеальный слу-

чай, в котором выборка и распределение данных в памяти производится мгновенно.

Из леммы следует другой практический вывод о том, что гарантированная на сегодняшний день стойкость, равная 280, без учёта операций записи и считывания из памяти, будет обеспечиваться выбором длины байта К большей или равной 64.

Также можно сформулировать очевидную лемму о классе сложности, к которому принадлежит задача криптоанализа данного алгоритма.

Лемма 2:

Задача определения мастер-ключа при известных кортежах 21 не принадлежит классу ^. Допустим, что нам известны несколько кортежей

21 и необходимо проверить, что наборы 2/,..., 21¥!

и д1,..., д1^ являются ключом. Покажем, что, даже

если все X- = 2- 8 2/ 1 = 1,..К удовлетворяют (1),

это не означает, что 2/,..., 2} и д1,..., д1^ мастер-

ключ. Допустим, что 21 и 21 на нескольких общих позициях имеют совпадающие нулевые биты. Тогда

2 , полученное произвольной расстановкой единиц в этих позициях, так же позволит сгенерировать

Xi = 21 © I = 1,..К , удовлетворяющие неравенствам (1). Единственный выход - это увеличение

числа М в общем случае до величины 2Г, где г -это число нулевых бит, стоящих в общих позициях у

21 и 21. Только в этом случае можно выбрать

единственное 21 из всех возможных 2 . Доказательство завершено.

Заметим, что реализация кодирования информа-

у1 у}

ции, или создание последовательности X ,...л , может быть осуществлена инвертированием бит, например, применением операций И, ИЛИ с битами байта 2 и содержимым некоего регистра сдвига с линейной обратной связью. Если, например, д]=0, то некоторые нулевые биты 2] необходимо инвертировать на единичные (ИЛИ), если же д3=\, то наоборот, необходимо инвертировать единичные биты 2 (И). Принимающая сторона может определить набор

1 N

д ,.., д , пропуская его через регистр сдвига и тестируя байты на предмет проверки

(X1 ' - 2} )(-1)д > 0, так же с помощью автомата без памяти (конъюнктивную нормальную форму (КНФ)), предложенного в [7].

Обратим внимание на то немаловажное обстоятельство, что аппаратное шифрование и дешифрование происходит за 0(1) время, необходимое для прохождения сигнала через автомат, реализующий КНФ, а программная реализация требует СKN числа операций. Это позволяет сделать вывод о перспективности использования данного подхода в практике корпораций и неэффективности программных реализаций частными лицами.

Заключение

Компьютерное моделирование формирования и распознавания маркера показало, что система работоспособна и не возникает гонок автоматов.

Можно сделать вывод о том, что разработан эффективный алгоритм формирования маркера начала сообщения, доказана его криптографическая стойкость, основанная на решении задачи из класса EXP, и определены нижние пределы применимости (по длине ключа). Проведено компьютерное моделирование работы протокола и предложены схемы аппаратной реализации.

Литература

1. Грибунин, В.Г. Цифровая стеганография / В.Г. Гри-бунин, И.Н. Оков, И.В. Туринцев. - М.: Солон-Пресс, 2002. - С. 6-16.

2. Столлингс, В. Криптография и защита сетей: принципы и практика / В. Столлингс. - 2-е изд. - М.: Виль-ямс, 2003. - С. 123-130.

3. Грушо, А. А Методы защиты информации от атак с помощью скрытых каналов и враждебных программно-аппаратных агентов в распределенных системах / А.А. Грушо, Н.А. Грушо, Е.Е. Тимонина // Вестник РГГУ. - 2009. - № 10. - С. 33-45.

4. Конахович, Г.Ф. Компьютерная стеганография. Теория и практика / Г.Ф. Конахович, А.Ю. Пузыренко. -Киев: МК-Пресс, 2006. - 288 с.

5. Файзуллин, И.Р. Крипто-стеганографический алгоритм с использованием хэш-функции для маркировки начала сообщения / И.Р. Файзуллин // Научная сессия МИФИ. Томск. Компьютерные науки. Информационные технологии. - 2007. - № 16. - С. 149-150.

6. Golomb, S.W. Run-length encodings / S.W. Golomb // IEEE Trans. Inf Theor., - 1996. - ГГ-12, No. 3 - P. 399-401.

7. Файзуллин, Р. Т. Алгоритм минимизации функционала, ассоциированного с задачей 3-SAT и его практические применения / Р.Т. Файзуллин, ИГ. Хныкин, В.И Дуль-кейт, Е.В. Салаев - Челябинск, 2007. - C. 68-72.

References

1. Gribunin, V.G. Digital steganography / V.G. Gribunin, I.N. Okov, I.V. Turintsev - Мoscow: "Solon-press" Publisher, 2002 - P. 6-16. - (in Russian).

2. Stollings, V. Cryptography and protection of networks: principles and practice / V. Stollings (2 ed.). - Мoscow: "Williams" Publisher, 2003. - P. 123-130. - (in Russian).

3. Grusho, A.A. Methods of protection of the information from attacks by means of the latent channels and hostile hardware-software agents in the distributed systems / A.A. Grusho, N.A. Grusho, E.E. Timonina // Bulletin RGTU. - 2009. - No. 10. - P. 33-45. - (in Russian).

4. Konahovich, G.F. Kompjuternaja steganografija. The theory and practice / G.F. Konahovich, A.J. Puzyrenko -Kiev: "MK-PRESS" Publisher, 2006. - 288 p. - (in Ukraine).

5. Fayzullin, I.R. Crypto-algorithm with use of hesh-func-tion for marks of the beginning of the message / I.R. Fayzullin // Scientific session of MEPhI, Computer sciences. Information technology. - 2007. - V. 16 - P. 149-150. -(in Russian).

6. Golomb, S.W. Run-length encodings / S.W. Golomb // IEEE Trans. Inf. Theor. - 1996. - IT-12, No. 3. - P. 399401.

7. Fajzullin, R.T. Algorithm of minimization function, associated with a problem 3-SAT and its practical applications, /R.T. Fajzullin, I.G. Hnykin, V.I. Dulkejt, E.V. Salaev - Chelyabinsk, 2007. - P. 68-72. - (in Russian).

HARDWARE-EFFECTIVE ALGORITHM OF FORMATION OF THE MARKER OF THE BEGINNING OF THE MESSAGE R. T. Fayzullin1, I.R. Fayzullin2

1 Omsk State Technical University, 2Joint-Stock Company TD Perekrostok

Abstract

It is offered it is hardware, but not software, effective cryptographic algorithm for formation of a marker of the beginning of information transfer. The algorithm updating, allowing to hand over the information, in the form of specially built in errors in a marker is offered.

Key words: master key, marker, cryptographic firmness, the automatic machine without memories.

Сведения об авторах

Файзуллин Рашит Тагирович, 1956 года рождения. В 1978 г. окончил математический факультет Новосибирского государственного университета. Доктор технических наук (1999 г.). В списке научных работ Р.Т. Файзуллина более 100 статей, 2 монографии. E-mail: r.t.faizullin@mail.ru

Rashit Tagirovich Fayzullin (b. 1956) graduated with honours (1978) from the Novosibirsk State University (NSU). He received his Doctor in engineering science in (1999) degrees. He is co-author of more when 100 scientific papers, 2 monographs.

Файзуллин Ильдар Рашитович, 1985 года рождения. В 2001 г. окончил факультет компьютерных наук Омского государственного университета. В списке научных работ 8 статей. Область научных интересов: сжатие данных. E-mail: blackildar@list.ru

Ildar Rashitovich Fayzullin (b. 1985) graduated (2001) from the Omsk State University (OmSU). He is co-author of 8 scientific papers. His research interests is data compression.

Поступила в редакцию 20 февраля 2010 г. 554