Научная статья на тему 'АНАЛИЗ РЕЖИМОВ ШИФРОВАНИЯ ДЛЯ РЕАЛИЗАЦИИ В УСТРОЙСТВАХ RFID'

АНАЛИЗ РЕЖИМОВ ШИФРОВАНИЯ ДЛЯ РЕАЛИЗАЦИИ В УСТРОЙСТВАХ RFID Текст научной статьи по специальности «Математика»

CC BY
123
14
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ДОКАЗУЕМАЯ СТОЙКОСТЬ / RFID / РЕЖИМ ШИФРОВАНИЯ / PROVABLE SECURITY / MODE OF OPERATION

Аннотация научной статьи по математике, автор научной работы — Царегородцев Кирилл Денисович

Технология радиочастотной идентификации (RFID) описывает способы бесконтактной идентификации и аутентификации объектов с возможным обменом зашифрованными данными. В состав RFID-системы входит радио-метка и считывающее устройство. Основная функция RFID-меток - аутентификация с передачей небольшого объёма информации между меткой и считывателем (например, платежи). С учётом аппаратных ограничений изучены режимы шифрования, для которых на метке необходимо реализовать только алгоритм зашифрования блока текста. Рассмотрены режимы CTR, OFB, CFB, модифицированный режим CBC. Для модифицированного режима CBC получена верхняя оценка стойкости в соответствующей модели противника.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ANALYSIS OF BLOCK CIPHER MODES OF OPERATION FOR RFID DEVICES

The RFID system consists of radio-tag and interrogator. The main purpose of devices is authentication with a transmission of small amount of data between tag and interrogator. We study modes that require only block encryption to be implemented in the tag (due to hardware limitations). CTR, OFB and modified CBC modes were analyzed. Modified CBC mode CBC[F] can be specified as follows: Co = IV, Ci = Fk (Ci-1 e Mi), where Fk denotes either encryption (Fk = Ek) or decryption (Fk = E-1) of one block of data on the key k, Mi is the i-th block of plaintext, Ci is the i-th block of ciphertext, IV is an initialization vector. Assume that the length of the key is k bits, the length of the one block of data is n bits, and consider an adversary that runs time no more than t, makes no more than q oracle queries, each of length no more than m blocks. Then, given an oracle access to the CBC[Ek] and CbC = CBC[E-1] modes, the maximal advantage in the LOR-experiment can be bounded from above by: LOR LOR , 3q2m2 t + q AdvCBC,CBC (t,q,m) ^ 2n _ qm + 2-1 •

Текст научной работы на тему «АНАЛИЗ РЕЖИМОВ ШИФРОВАНИЯ ДЛЯ РЕАЛИЗАЦИИ В УСТРОЙСТВАХ RFID»

УДК 004.056.55 DOI 10.17223/2226308X/13/20

АНАЛИЗ РЕЖИМОВ ШИФРОВАНИЯ ДЛЯ РЕАЛИЗАЦИИ

В УСТРОЙСТВАХ RFID

К. Д. Царегородцев

Технология радиочастотной идентификации (RFID) описывает способы бесконтактной идентификации и аутентификации объектов с возможным обменом зашифрованными данными. В состав RFID-системы входит радио-метка и считывающее устройство. Основная функция RFID-меток — аутентификация с передачей небольшого объёма информации между меткой и считывателем (например, платежи). С учётом аппаратных ограничений изучены режимы шифрования, для которых на метке необходимо реализовать только алгоритм зашифрования блока текста. Рассмотрены режимы CTR, OFB, CFB, модифицированный режим CBC. Для модифицированного режима CBC получена верхняя оценка стойкости в соответствующей модели противника.

Ключевые слова: доказуемая стойкость, RFID, режим шифрования.

RFID-система состоит из двух взаимодействующих участников: метки (с записанными на ней наборами ключей) и считывателя. Необходимо передавать зашифрованную информацию как от считывателя к метке, так и от метки к считывателю. Дополнительно налагаются ограничения на метку: на ней реализован только алгоритм зашифрования блока текста (без расшифрования).

Будем рассматривать следующую стандартную модель LOR-неразличимости двух режимов шифрования [1]. На каждом шаге вычислений противник (являющийся вероятностной машиной Тьюринга) подаёт запросы на вход одного из двух оракулов: O1 или O2. Первый оракул реализует режим шифрования, используемый при передаче информации от метки к считывателю, второй оракул — режим шифрования, используемый при передаче информации от считывателя к метке. Оракулы используют один и тот же ключ, выбранный случайно равновероятно в начале эксперимента. Тем самым оракулы связаны друг с другом посредством общего ключа.

На каждом шаге противник даёт одному из оракулов (любому, на его выбор) два сообщения (одинаковой длины) для обработки:

(.ML = (mf,..., mf), MR = (mR,..., mR)) .

В эксперименте Left каждый из оракулов Oi и O2 зашифровывает сообщение ML в своём режиме шифрования и возвращает вычисленный шифртекст. В эксперименте Right каждый из оракулов зашифровывает сообщение MR и возвращает вычисленный шифртекст.

Задача противника — анализируя полученные шифртексты, суметь различить два эксперимента. Если противник «думает», что оракулы зашифровывают правые тексты (эксперимент Right), то он выдаёт 1, в противном случае — 0. Если противник способен с высокой вероятностью различать эксперименты Left и Right, то это означает, что он может восстанавливать частичную информацию об открытом тексте из шифртекста. Таким образом, преимущество противника A задаётся как разность вероятностей

Adv(A) = P [Right(A) ^ 1] - P [Left(A) ^ 1],

где P[X(A) ^ 1] —вероятность того, что противник, взаимодействуя с экспериментатором X, выдаст 1. Вероятность берётся по начальному выбору ключа, внутренних

68

Прикладная дискретная математика. Приложение

выборах оракулов (случайные векторы инициализации) и случайным битам самого противника. Так, например, если противник не делает никаких запросов к оракулам и просто выдаёт результат подбрасывания случайной равновероятной монеты, то его преимущество Аёу(А) равно нулю. Если противник идеально различает два эксперимента, то его преимущество равно 1.

Обозначим: д — общее число запросов к оракулам 01 и 02; т — максимальная длина одного запроса (в блоках); £ — количество тактов вычислений противника; п — длина одного блока (в битах); к — длина используемого ключа; (£,д, т) —максимально достижимое преимущество среди всех противников, работающих за время не более £ и делающих суммарно не более д запросов, каждый из которых имеет длину не более т блоков.

Режимы шифрования СТИ (гаммирования), ОЕБ (гаммирования с обратной связью по выходу), СЕВ (гаммирования с обратной связью по шифртексту) [2] не требуют реализации алгоритма расшифрования на метке, поэтому могут использоваться непосредственно, без модификаций. Для этих режимов оракулы О1 и 02 совпадают.

Теорема 1 [3]. Для режима СТИ имеем следующую оценку:

Аналогичные оценки могут быть получены для режимов ОЕБ и СЕВ (главный член имеет порядок 0((дт)2/2п) —оценка дней рождения [4]). При доказательстве используется предположение о РИР-стойкости используемого блочного шифра.

Отдельно рассмотрим режим СБС. Для расшифрования в режиме СБС требуется реализация алгоритма расшифрования блока текста, поэтому режим СБС при передаче сообщения от считывателя к метке был модифицирован следующим образом (обозначен далее как СБС):

Сг — г-й блок шифртекста. Заметим, что для расшифрования сообщения, зашифрованного по алгоритму СБС, не требуется реализации алгоритма расшифрования блока текста.

Таким образом, у противника есть доступ к оракулу зашифрования по алгоритму СБС (оракул 01) и по алгоритму СВС (оракул 02) на одном и том же ключе к. Основным результатом является следующая

Теорема 2. Для пары режимов СБС и СБС выполнена оценка

Доказательство основано на идее из работы [5]: если выходы двух оракулов могут быть промоделированы генератором, которому на вход подаются лишь длины сообщений (но не их содержание), то режим является ЬОИ-стойким.

На первом шаге доказательства, используя свойство яРИР-стойкости блочного шифра (стандартное предположение, см., например, [6]), мы заменяем каждое вхождение блочного шифрования Ек (ж) и Е-1 (ж) на применение случайной подстановки п(х) и п-1(ж) соответственно.

Аиустк, ста

На втором шаге анализируем полученную конструкцию и показываем, что выходы обоих оракулов можно промоделировать без знания открытого текста. Итоговые оценки получаются из предположения, что множества, на которых вычисляются значения подстановок п(х) и п-1(х), не пересекаются.

Полученная оценка близка к оптимальной для стандартного режима CBC: член вида O((qm)2 /2n) отражает тот факт, что для режима CBC всегда существует атака дней рождения, предполагающая возникновение коллизии для векторов инициализации IV.

ЛИТЕРАТУРА

1. Katz J. and Lindell Y. Introduction to Modern Cryptography, 2nd Ed. Chapman & Hall/CRC, 2014.

2. Межгосударственный стандарт ГОСТ 34.13-2018 Информационная технология (ИТ). Криптографическая защита информации. Режимы работы блочных шифров. М.: Стан-дартинформ, 2018.

3. Ahmetzyanova L. R., Alekseev E. K., Oshkin I. B., et al. On the properties of the CTR encryption mode of Magma and Kuznyechik block ciphers with re-keying method based on CryptoPro Key Meshing // Матем. вопр. криптогр. 2017. Т. 8. №2. С. 39-50.

4. Rogaway P. Evaluation of Some Block Cipher Modes of Operation. 2011. https://web.cs. ucdavis.edu/~rogaway/papers/modes.pdf

5. Wooding M. New Proofs for Old Modes. IACR Cryptology ePrint Archive. 2008.

6. Bellare M., Desai A., Jokipii E., and Rogaway P. A concrete security treatment of symmetric encryption // Proc. 38th Ann. Symp. Foundations of Computer Science, IEEE, 1997. P. 394-403.

УДК 519.714.5 Б01 10.17223/2226308Х/13/21

ОБ ОДНОМ ПОДХОДЕ К ПОСТРОЕНИЮ КРАТНО ТРАНЗИТИВНОГО МНОЖЕСТВА БЛОЧНЫХ ПРЕОБРАЗОВАНИЙ

И. В. Чередник

Пусть О — произвольное конечное множество; 3(0) — семейство всех бинарных операций, определённых на О; х1,...,хп — переменные, принимающие значения из О; *1,..., — общие символы бинарных операций. Фиксированный набор Ш = ..., ,шт) формул в алфавите {х1,..., хп, *1,..., *к} при замене *1,..., *к на произвольные бинарные операции € 3(0) соответственно реали-

зует отображение : 0п ^ 0т. Исследованы криптографические свой-

ства (биективность и кратная транзитивность) семейств блочных преобразований {ШР1'...'Рк : € К}, К С 3(0), которые могут быть использованы при

построении хэш-функций и блочных шифров.

Ключевые слова: блочные преобразования, кратная транзитивность множества блочных преобразований, функциональная бинарная сеть.

В последнее время при разработке систем защиты информации активно исследуется возможность использования неассоциативных алгебраических структур, особое место в таких исследованиях занимают квазигруппы. Например, в ряде схем поточных шифров, хеш-функций и др. [1-3] используются семейства блочных преобразований, реализуемых наборами «цепных» формул вида

С(жь ... ,жп) = (а * х1, (а * х1) * ж2,..., ((а * х1) * ...) * жп), а € П,

i Надоели баннеры? Вы всегда можете отключить рекламу.