CC BY
14ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
COMPUTER SCIENCE, COMPUTER ENGINEERING AND MANAGEMENT
УДК 004.9:622.276
АНАЛИЗ МОДИФИКАЦИЙ КРИПТОЗАЩИТЫ ИНФОРМАЦИОННО-УПРАВЛЯЮЩИХ СИСТЕМ НА ЛИНЕЙНЫХ КОДАХ
С.Н. Шевцов, А.П. Титов, Н.Ф. Кузнецов
Аннотация. Произведен сравнительный анализ модификаций криптоподси-стем ИУС на линейных кодах. Рассмотрено решение по уменьшению размера ключа при сохранении высокой криптостойкости криптоподсистемы, предложенной Э. Габидулиным, А. Парамоновым и О. Третьяковым (ГПТ криптопод-система). Проанализирована сложность прямых атак на ГПТ криптосистему. Показано, что классическая ГПТ немодифицированная криптоподсистема ИУС может считать нестойкой при приемлемых размерах ключей.
Ключевые слова: информационно-управляющая система (ИУС), криптоподсистема, криптостойкость, шифр, код.
THE ANALYSIS OF THE MODIFICATIONS OF CRYPTOGRAPHIC PROTECTION OF INFORMATION MANAGEMENT SYSTEMS FOR LINEAR CODES
S.N. Shevtsov, A.P. Titov, N.F. Kuznetsov
Abstract. The comparative analysis of modifications of cryptosystem of information control systems on linear codes is made. The solution to reduce the key size while maintaining high reliability of cryptopecten proposed by E. Gabidulin, A. Paramonov, and O. Tretyakov (GPT cryptophagidae). The complexity of direct attacks on GPT cryptosystem is analyzed. It is shown that the classic GPT is not modified cryptopecten information management systems may be considered to be unstable with reasonable key sizes.
Keywords: information management system, cryptographic system, cryptographic resistance, cipher, code.
Известен ряд модификаций криптоподсистем ИУС, в котором возможно выделить три основных направления, одним из которых
<4Ь
МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ МФЮА
является зашумление проверочной матрицы кода введением дополнительной скрывающей матрицы. Например, в работе [1] в качестве скрывающей матрицы применяется матрица единичного ранга, в работе [2] используются скрывающие матрицы ранга больше единицы. Другой подход к модификации криптоподсистем
ИУС заключается в использовании различных метрик, отличных от классической метрики Хэмминга. Третьим вариантом модификации классического алгоритма Никдеррайтера может являться построение кодов с набором специальных возможностей. Следует отметить возможность применения сочетания нескольких из описанных выше способов модификации.
Основой модификации алгоритма Никдеррайтера является алгоритм сокрытия структуры закрытого ключа. Он разрабатывается для того, чтобы противодействовать структурным атакам, например, таким как атаки Шестакова или Сидельникова. Структура закрытого ключа совершенствуется так, что родительское состояние выступает в роли искусственно созданной ошибки нового кода в новой метрике. В [2] шифртекст, имеющий вид с = НиЬт = S(F + 0Ти)Рт, представляется в виде суммы векторов g + е, умноженной на матрицу шума S. Для расшифровывания необходимо найти сначала вектор ошибки, применив алгоритм быстрого декодирования нового кода, далее применить алгоритм быстрого декодирования в родительском коде, в результате получив открытый текст.
Таблица 1
Примеры модификаций криптоподсистем ИУС на линейных кодах
Код Метрика Вид шифртекста Криптосистема
Коды с максимальным ранговым расстоянием Ранговая метрика mNpub = mSH Исследовалась Т. Berger и Р. Loidreau, 2004 г.
Обобщенные коды Рида-Соломона Метрика на основе матрицы Вандермонда Hpubm + S(F + GTU)Pm Предложена Э. Габидулиным и В. Обернихи-ным, 2002 г.
Модифицированные ранговые коды Метрика на основе матрицы Фробениуса Hpubm = S(F + GTU)Pm Предложена Э.М. Габидулиным и М.А. Самохиной, 2005 г.
<jb
МФЮА МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ
Таблица 1 показывает примеры систем с использованием более одного типа модификации, в которых применялся комплексный подход.
Криптоподсистема ИУС с ранговой метрикой и кодами с максимальным ранговым расстоянием (первая строка таблицы 1) разработана авторами Т. Berger и Р. Loidreau [3]. Криптоподсистема ИУС с обобщенными кодами Рида-Соломона, построенными на основе матрицы Вандермонда (строка два таблицы 1), представлена в работе [2]. Криптоподсистема Нидеррайтера с модифицированными ранговыми кодами в проектной метрике на основе матрицы Фро-бениуса представлена в работе [4]. Кроме того в криптоподсистемах ИУС с открытым ключом, основанных на линейных кодах, использовались и другие коды, например, двоичные коды Рида-Маллера [5], алгеброгеометрические коды [6], низкоплотностные коды с проверками на четность или нечетность [7]. Но все эти модификации не были подробно исследованы или имели существенные недостатки.
Большой размер открытого ключа является одним из основных факторов, ограничивающих практическое применение криптоподси-стемы МакЭлиса. Классическая система МакЭлиса при криптостой-кости порядка 260 двоичных операций для взлома имеет открытый ключ более 500 кбит.
Одним из успешных решений по уменьшению размера ключа при сохранении высокой криптостойкости стала разработка системы, предложенной Габидулиным, Парамоновым и Третьяковым (ГПТ) [8].
Криптоподсистема ГПТ имеет две особенности. Применяются два способа модификации классической системы на линейных кодах. Во-первых, в системе ГПТ предлагается использовать криптокоды в ранговой, а не в метрике хэмминга. Во-вторых, в этой системе впервые была представлена возможность добавлять к открытому криптоключу шумовую матрицу, которая довольно прилично искажает имеющуюся структуру открытого кода. Криптоподсистема ГПТ с объемом ключа 5 кбит должна обеспечивать стойкость не менее 260 операций для противодействия криптоатакам. Однако в работе [9] Дж. Гибсон у.К. Gibson) показал, как вскрыть подобную криптопод-систему даже для ключей размера 10-20 кбит.
Открытым ключом ГПТ криптоподсистемы является матрица со следующей структурой Gpub = S(G + Х). Матрица G пози-
<4Ь
МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ МФЮА
ционируется как порождающая к X п матрица МРР кода над полем GF(qN), п < N [10]:
I 8г
G =
\
М
[к-1]
£2 М
£
[к-1]
К К К К
£п £ [1]
п
М
£
[к-1]
/
Матрица S - невырожденная над полем GF(qN) размером к X к. Х - шумовая к X п матрица, такая, что
г(т+=ч < х [----]
Скрытый ключ состоит из матриц G и S и включает в себя быстрый алгоритм декодирования кода.
Открытым текстом является любой к - вектор т = (т т К,тк), компоненты которого относятся к полю GF(qN). Для любого вектора открытого текста т имеет место соотношение
г(тЕХ + ф) < г(ш$Хч) + г(е\д) < Х1 + г < X, (1)
где е - вектор искусственных ошибок, п - вектор с компонентами из поля GF(qN) и ранг е < X - X Вектор искусственных ошибок следует выбирать случайно и равномерно среди всех векторов длины, равной п, и ранга, равного г.
Шифртекст задается формулой с = ЩрриЬ + е = mSG + (тЕХ + е). При расшифровке к шифртексту с применяется алгоритм быстрого декодирования кода МРР, в результате чего из (1) получается вектор тЕ. Затем полученное произведение умножается на матрицу Е-1, в результате получается открытый текст т.
Матрица X используется только для вычисления открытого ключа, а далее при шифровании и при расшифровании используется только знание ее столбцевого ранга над GF(q). Поэтому Xне является частью секретного ключа, необходимо лишь сделать ее недоступной для анализа. Тем не менее матрица X для кодов с максимальным ранговым расстоянием Габидулина необходима. Если матрица X нулевая, то открытый ключ можно разложить на секретные составляющие за О(№) базовых операций в GF(qN).
<4Ь
МФЮА МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ
Для создания порождающей матрицы Фробениуса О кода с максимальным ранговым расстоянием Габидулина длины п сначала фиксируется базис й= (ш1, ш2, К, ш) поля над полем О^(^), далее выбирается невырожденная матрица Q размера п х п случайным образом с элементами из О^(^). Вычисляется вектор q и выбираются его первые п компонент в качестве порождающего вектора ^ матрицы О.
Для получения невырожденной матрицы с элементами из некоторого конечного поля Е размером т х т достаточно случайным образом сгенерировать т2 элементов из поля Е, составить из них требуемую матрицу и проверить, что матрица является невырожденной.
Рассмотрим некоторые прямые атаки для ГПТ системы. При атаке перебором по искусственным ошибкам на ГПТ криптоподси-стему необходимо выполнить 0(к(п + к^{к+л-г)г) q - х операций. Атака заключается в подборе искусственной ошибки, добавленной к кодовому вектору при шифровании. Сложность перебора по сообщениям составляет 0(k2qNk). Используемые в криптосистеме ранговые коды построены для исправления ошибок в ранговой метрике, они же могут исправлять ошибки в метрике Хэмминга. Поэтому к ним, как и к другим линейным кодам возможно применять декодирование по информационным совокупностям.
Декодирование в криптоподсистеме с применением информационных совокупностей требует перебора искусственных ошибок ранга г и длины к и со сложностью не менее 0(к(п + к^(к+л-г)г). Если рассматривать открытый код как случайный, то к нему применимы методы декодирования произвольных ранговых кодов. Такое решение является частным для атаки декодирования открытого кода. Деко -дирование линейного (п,к) рангового кода, исправляющего ошибки ранга г, требует порядка ((rN)3q(г-1)(k+1)+2) операций.
Множество атак на ГПТ криптоподсистему может быть разделено на два класса, - структурные и прямые. К классу прямых атак относятся: перебор по сообщениям, перебор по искусственным ошибкам, атака с использованием информационных совокупностей, декодирование открытого кода как случайного. Перебор по искусственным ошибкам заключается в подборе при зашифровывании ошибки, добавленной к кодовому вектору, сложность атаки составляет порядка 0(к(п + к^(к+л-г)г). Перебор по сообщениям позволяет по шифртексту за 0(к2цлк) операций вычислить открытый текст.
<4Ь
МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ МФЮА
Таблица 2
Сложность прямых атак на ГПТ криптосистему
Виды прямых атак Количество операций
Перебор по искусственным ошибкам 2187
Перебор по сообщениям 2520
Декодирование открытого кода как случайного 290
Атака с применением информационных совокупностей основана на использовании в системе ранговых кодов по средствам исправления ошибок в метрике Хэмминга. В качестве искусственных ошибок могут выбираться векторы определенного ранга и максимального веса Хэмминга. В данном случае, декодирование с применением информационных совокупностей требует перебора искусственных ошибок ранга г и длины к и имеет сложность не менее 0(к(п + к^(кш-г)г).
Если рассматривать опубликованный код как случайный, то к нему применимы методы декодирования произвольных ранговых кодов. Декодирование линейного (п,к) рангового кода, исправляющего ошибки ранга г, требует количества базовых операций в GF(q), равного шт((г^3^г-1)(к+1)+2, (к + г)3г^(г-1)(к+1)+2).
Например, при q = 2, N = 32, п = 32, к = 16, г = 4. Сложности прямых атак представлены в таблице 2.
Известны некоторые виды атак, такие как Гибсона и Овер-бека [9, 11]. Атака Гибсона основывается на предположении о том, что шумовая матрица X выбирается определенным образом. Такая атака не может считаться успешной, так как в общем случае в ГПТ криптоподсистеме матрица X может быть произвольной невырожденной матрицей.
После модификации ГПТ криптосистемы ИУС для повышения стойкости Гибсон предложил также модифицированную структуру атаки. Атака оказалась успешной для размера ключей меньше 40 кбит. Овербеком был предложен другой метод для вскрытия криптоподсистемы ИУС, основанный на том, что при выборе параметров т = 48, к = 24, X = 8, 5 = 2 время вскрытия криптоподсистемы ИУС с использованием его алгоритма на маломощной ЭВМ
<jb
МФЮА МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ
составляет примерно 2 часа. При таких же значениях параметров ГПТ криптоподсистемы ИУС для выполнения алгоритма Гибсона потребовалось бы 2122 операций.
Таким образом, можно заключить, что классическую не-модифицированную ГПТ криптоподсистему ИУС можно считать нестойкой при приемлемых размерах ключей.
Библиографический список
1. Габидулин Э.М. Теория кодов с максимальным ранговым расстоянием // Проблемы передачи информации. 1985. Т. XXI. Вып. 1.
2. Габидулип Э.М., Обернихип В.А. Коды в F-метрике Вандермонда и их применение // Proc. Eighth Int. Workshop on Algebraic and Combinatorial Coding Theory / Tsarskoe Selo. M., 2002.
3. Габидулин Э.М., Парамонов А.В., Третьяков О.В. Применение оптимальных кодов в ранговой метрике и других нехэмминговых метриках для криптозащиты и борьбы с ошибками сложной конфигурации в параллельных каналах // Перспективные средства телекоммуникаций и интегрированные системы связи / под ред. В.В. Зяблова. М., 1992.
4. СамохинаМ.А., Габидулин Э.М. Модификация криптосистемы Нидер-райтера, основанная на новой метрике // Научный вестник Московского государственного института радиотехники, электроники и автоматики. М., 2005.
5. Сидельников В.М. Открытое шифрование на основе двоичных кодов Рида-Маллера // Дискретная математика. 1994. Т. 6. Вып. 2. С. 3-20, 71, 95, 153.
6. Berger T., Loidreau P. Niderrciter version of the GPT cryptosystem // Progress in Cryptology. INDOCRYPT. 2004.
7. Gabidulin E., Ourivski A., Pavlouchkov V. On the modified Niederreiter cryptosystem // Proc. Information Theory and Networking Workshop,. Metsovo, Greece. 1999.
8. Gibson J.K. The Security of the Gabidulin Public Key Cryptosystem // Advances in Cryptology - EUROCRYPT'96 / Ed. by U.M. Maurer, LNCS 1070/ 1996. P. 212-223.
9. Janwa Moreno О. McEliece Public Key Cryptosystems Using Algebraic-Geometric Codes // Designs, Codes and Cryptography. 1996. V. 8.
10. Monico C., Rosenthal J., Shokrollahi A. Using Low Density Parity Check Codes in the McEliece Cryptosystem. // Proceedings of the IEEE International Symposium on Information Theory - ISIT-00. 2000.
МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ МФЮА
11. Overbeck R. A New Structural Attack for GPT and Variants // Progress in Cryptology - Mycrypt 2005 - Springer Berlin. Heidelberg, 2005. V. 3715/2005.
С.Н. Шевцов
кандидат технических наук доцент кафедры информационных технологий Московского финансово-юридического университета МФЮА E-mail: sshvc@hotmail.com
А.П. Титов
кандидат технических наук
заведующий кафедрой информационных технологий Московского финансово-юридического университета МФЮА E-mail: titov.a@mfua.ru
Н.Ф. Кузнецов
кандидат военных наук
старший научный сотрудник Военного учебно-научного центра Сухопутных войск РФ (ВУНЦ СВ РФ), г. Москва E-mail: sshvc@hotmail.com
