Анализ стойкости алгоритма ГОСТ 28147-89 при использовании подстановок случайного типа Текст научной статьи по специальности «Математика»

УДК 681.3.06: 519.248.681

АНАЛИЗ СТОЙКОСТИ АЛГОРИТМА ГОСТ 28147-89 ПРИ ИСПОЛЬЗОВАНИИ ПОДСТАНОВОК СЛУЧАЙНОГО ТИПА

ГОРБЕНКОИ.Д., ЛИСИЦКАЯИ.В., КОРЯКА.С.

В статье приведены результаты анализа статистической безопасности симметричного алгоритма криптопреобразования ГОСТ 28147-89 при использовании случайных таблиц подстановок предложенных в АО "ИИТ".

В [1,2] обсуждался вопрос применения в алгоритме ГОСТ 28147-89 подстановок случайного типа. Предложены критерии для отбора случайных подстановок и случайных таблиц подстановок, которые предлагалось использовать в этой процедуре шифрования в качестве долговременных ключей (У-блоков). В [1] также приведены аргументы в пользу развиваемой методики построения случайных таблиц подстановок, базирующиеся на простых физических и математических соображениях.

Изложим результы проведения более строгой криптографической проверки эффективности применения случайных таблиц подстановок в алгоритме ГОСТ 28147-89.

Как известно [3], статистические испытания являются единственной стратегией испытаний больших криптографических систем с секретными ключами, построенных в виде чередующихся слоёв блоков замен и перестановок, как это сделано в системах DES, ГОСТ. Это объясняется трудностью составления уравнений, связывающих входы и выходы таких систем, которые можно было бы решать строгими аналитическими методами. Поэтому статистические испытания стали главным инструментом наших исследований.

За основу взяты три показателя стойкости (статистической безопасности [3]), которые принято сейчас использовать при проверке многоцикловых процедур современных блочных систем шифрования:

1. Число циклов алгоритма, начиная с которого две криптограммы, полученные шифрованием двух отличающихся на один бит блоков данных (открытых текстов), становятся устойчиво независимыми (в том смысле, что при большем числе циклов они остаются независимыми). Другими словами, необходимо определить число циклов шифрования алгоритма, начиная с которого обеспечивается влияние любого (одного) входного бита на каждый выходной бит — лавинный эффект [4,5].

2. Число циклов шифрования, при котором один и тот же открытый текст, зашифрованный на ключах, отличающихся на один бит, порождает устойчиво независимые (некоррелированные) криптограммы.

3. Коэффициент сжатия шифрованного текста при применении процедуры архивирования Лемпе-ла-Зива, характеризующий степень его случайности.

При обосновании эффективности случайных подстановок первой стала задача — изучить влияние изменений входных бит шифруемого блока на выходные биты для каждого цикла процедуры шифро-

вания. Сначала были рассмотрены в этом отношении свойства и характеристики таблицы подстановок, представленной в [4] в качестве долговременного ключа ГОСТа. Результаты статистических экспериментов для этого случая поданы в табл. 1, где mw — математическое ожидание числа W(Dk) единичных (ненулевых) бит в булевой побитной сумме Dk (сумме по модулю 2) пары шифртекстов на к-м цикле алгоритма шифрования, открытые тексты которых

отличаются одним битом; aW — дисперсия числа

единичных бит для этой же побитной суммы.

Для того чтобы выделить в чистом виде влияние на процедуру преобразования именно долговременных ключей (У-блоков), в качестве сеансового ключа в первых двух колонках табл. 1 использовался нулевой вектор, K0 = К\ = ... = К7 = 0 (см. описание ГОСТа в [5]), что обозначено в табл.1 вектором K = о . В правых двух колонках табл.1 обозначе-

ние к ф 0 соответствует использованию в качестве сеансового ключа произвольного ненулевого вектора. Здесь отмечены позиции в парах открытых текстов с отличающимися битами.

Возникает вопрос, каким образом определять номер цикла, после которого можно считать, что изменение входного бита влияет сразу на все выходные биты цикла?

С одной стороны, математическим свидетельством влияния изменения бита в открытом тексте одновременно на все выходные биты цикла является ортогональность (некоррелированность) пары шифрованных текстов, соответствующих отличающимся

на один бит открытым текстам, т.е. значение mw = 32 (для ГОСТа). Действительно, если рассматривать чисто случайный 64-битный блок (состоящий из независимых и равновероятных двоичных символов), то закон распределения числа ненулевых (нулевых) бит в таких блоках будет биномиальным с параметрами

mw = про = 64- - = 32,

aW = nP0(1 - P0) = 64 '(jJ = 16

2

При значении про(1 - ро) > 10 биномиальное распределение с высокой степенью приближения аппроксимируется нормальным законом распределения вероятностей (формула Муавра-Лапласа [6]).

С другой стороны, формируемые оценки mw являются случайными и редко равны точно 32. Однозначный ответ на поставленный выше вопрос можно получить, если воспользоваться методом доверительных интервалов, т.е. методом математической статистики, специально предназначенным для построения множества приближенных значений неизвестных параметров вероятностных распределений. В кратком изложении сущность этого метода состоит в следующем.

ПустьXі, X2,..., Хп, п > 2, - независимые случайные величины, подчиняющиеся одному и тому же нормальному закону с неизвестными пара-

РИ, 1998, № 1

39

Таблица 1 не зависящая 0т в = {в\,02}.

№ п/п K = 0, изменен 1-й бит K = 0, изменен 64-й бит K ф 0, изменен 13-й бит K ф 0, изменен 33-й бит

к mw 2 aw mw 2 aw mw 2 aw mw 2 aw

1 3,49 0,49 1 0 2,84 0,49 11 0

2 6,80 4,24 3,00 0,72 5,74 3,69 3,51 2,13

3 10,37 13,47 5,82 2,56 9,60 13,15 7,97 8,85

4 15,54 22,75 9,243 9,19 15,04 23,82 13,17 23

5 21,11 28,20 13,56 19,21 21,81 34,83 19,20 34,98

6 26,27 30,36 19,07 28,72 27,29 30,15 25,33 32,34

7 29,86 24,25 23,81 32,73 30,56 20,61 29,49 23,8

8 31,08 18,70 27,54 28,93 31,71 16,79 31,52 18,91

9 31,73 17,37 30,15 21,32 32,01 15,94 31,88 16,65

10 31,9 15,89 31,36 17,70 32,06 16,55 31,98 15,66

11 32,16 16,46 31,86 17,49 32,13 16,15 31,86 15,66

12 32,2 15,16 32,04 16,29 32,07 14,62 31,79 14,95

13 32,08 15,52 31,90 16,25 32,02 16,08 31,91 16,10

14 32,12 16,22 31,76 16,31 31,97 15,85 31,98 15,97

15 32,04 15,98 31,92 15,74 31,89 16,49 31,87 15,41

16 31,83 15,44 31,96 16,15 31,96 16,36 31,74 15,79

17 32,00 15,98 31,90 16,16 32,06 15,86 31,82 16,81

18 32,18 15,33 31,87 15,15 32,01 16,79 31,93 15,47

19 32,04 16,69 31,81 16,35 32 16,26 31,67 15,76

20 32,00 16,49 31,86 15,75 32,06 16,28 31,68 15,64

21 32,12 15,58 31,96 16,93 31,98 16,93 31,94 15,25

22 32,11 15,84 31,99 14,74 32,13 15,15 32,09 15,94

23 32,02 15,78 32,02 14,98 32,24 15,82 32,28 16,46

24 31,99 15,62 31,94 16,08 32,15 15,86 32,05 15,79

25 32,12 15,29 31,93 15,96 32,02 15,8 31,79 15,26

26 32,15 15,67 31,95 16,03 31,89 15,06 31,88 16,44

27 32,12 15,62 31,96 16,76 31,82 16,22 31,92 14,82

28 32,21 16,77 31,87 16,01 31,94 15,56 32,01 15,83

29 32,37 15,87 31,83 15,12 32,00 15,36 32,12 16,66

30 32,27 15,71 31,93 16,69 32,13 15,45 32,20 14,92

31 31,98 16,10 31,94 15,65 32,12 14,54 31,95 15,86

метрами EXi =в\ и DXj = 02, причём требуется построить интервальную оценку и(в) = в\. Пусть

Такую интервальную оценку называют доверительным интервалом, а его концевые точки — доверительными пределами.

В соответствии с изложенным методом, задаваясь доверительной вероятностью

Pc (01,02) = 0,999 ^ (а = 0,001) , на основании таблицы распределения Стьюдента для заданных значений а и n = 1024 (в наших опытах) получаем t = 3,291 и, следовательно,

t • s = 3,291 • 4 = 04

4n V1023 , .

Это значит, что можно считать попавшими в доверительный интервал все значения mw, удовлетворяющие следующим условиям:

32 - 0,4 < mw < 32 + 0,4 .

В результате отсчёт числа циклов для алгоритма ГОСТ, при котором считается, что изменение входного бита практически не влияет на все выходные биты, можно вести по моменту “накрытия” случайного интервала

(X - 0,4, X + 0,4), выступающего в качестве доверительной оценки математического ожидания

X с мерой надёжности 1 -а = 0,999, значение mw = 32. Оно соответствует полной сбалансированности (ортогональности) шифрованныхтекстов сообщений, отличающихся для рассматриваемого цикла одним битом.

Имея теперь методику оценки результатов, перейдём к их анализу. Как следует из табл. 1, при использовании в алгоритме ГОСТ его "родной" таблицы подстановок и ненулевого сеансо -

- 1 "

X = -•!Xi • s

n i=1

2

1

n -1

n

I (X - X )2.

i = 1

Поскольку случайная величина T = 4n (X - в) / s подчиняется распределению Стьюдента с n - 1 степенями свободы и не зависит от неизвестных параметров q1 и q2 (| 011 < да, 02 > 0), то при любом положительном t вероятность события

вого ключа (К ф 0), для обеспечения зависимости всех выходных бит от любого входного бита требуется вхождения в алгоритм на 8-9 циклов. Результат, приведенный для 1-го и 64-го битов, практически сохраняется и для других бит.

При нулевом сеансовом ключе К = 0 появляется ещё один дополнительный “этаж”. В целом получается, что характеристики перемешивания в статисти-

X-tis<0 <X+

■yjn Vn

зависит лишь от t. Если указанный интервал принять за оценку с для qb ему будет соответствовать доверительная вероятность

Pc(01,02) = P{\ T| <t} = 1 -а,

ческом смысле мало зависят от сеансового ключа К (цена — один цикл).

Аналогичные статистические эксперименты были проведены и при использовании в качестве долговременных ключей в алгоритме ГОСТ таблицы из подстановок вырожденного типа (составленной из тождественных подстановок) и таблиц подстановок, отобранных (сформированных) по предложенным в работе [1] критериям. Для наглядности и компакт-

40

РИ, 1998, № 1

ности эти результаты представлены на рис. 1 в графическом изображении, здесь же приведены и результаты для ГОСТ-подстановки из табл.1.

На рис. 1 показана зависимость математического

ожидания числа ненулевых бит mw в побитовой булевой сумме двух шифрованных текстов, исходные тексты которых отличаются на один бит от числа циклов алгоритма. Глубина вхождения в алгоритм для таблицы, составленной из тождественных подстановок, при ненулевом сеансовом ключе увеличилась до 14 циклов. К тому же, здесь оказывается

существенным применение ненулевого сеансового

ключа (К ф 0), так как при К = 0 получается вырожденный результат. Результаты экспериментов при изменении других бит и использовании других сеансовых ключей оказались статистически эквивалентными представленным на рис. 1. Здесь же даны результаты испытаний для одной из таблиц подстановок, прошедших предложенную в работе [1] методику проверки. Общим является то, что при изменении долговременного ключа (рассматривались в том числе и таблицы, составленные из противоречивых и одноцикловых подстановок, прошедших проверки на случайность) характеристики случайных таблиц подстановок в целом оказываются очень близкими к свойствам таблиц из представленных примеров (для ГОСТ-овской и сгенерированной по правилам [1]).

Очередным этапом статистических испытаний стала оценка числа циклов алгоритма, при котором наступает статистическая независимость выходных текстов в процессе шифрования сообщений с помощью ключей K , отличающихся одним битом.

Простые рассуждения показывают, что в соответствии с полученными выше результатами и процедурами преобразований в каждом цикле [8] в рассматриваемом случае необходимо ожидать, что “глубина” Tw вхождения в алгоритм будет зависеть от позиции измененного бита в матрице КЗУ.

Если изменяется бит в строке, которая используется уже на первом цикле, следует ожидать значения Tw близкого к 9 (воздействие измененного бита ключа эквивалентно изменению одного бита сообщения). Если же изменяется бит в последней строке, которая используется в алгоритме, начиная с 8-го цикла, ожидаемым значением Tw будет величина 9 + 7 = 16. Естественно, что во всех циклах, предшествующих циклу с измененным значением ключевого бита, результат побитного суммирования шифртекстов для одного и того же сообщения будет давать

значения mw = 0, о* = о . Ре-

зультаты экспериментов, представленные на рис. 2, 3, полностью подтвердили эти предположения. Здесь показана зависимость математического ожидания числа ненулевых бит mw в побитовой булевой сумме двух текстов, зашифрованных с помощью сеансовых ключей, отличающихся одним битом от числа циклов алгоритма

Общим результатом можно считать увеличение значения Tw до 21 (для тождественной подстановки), т.е. до конца процедуры еще остается 11 циклов со сбалансированным перемешиванием.

На рис. 4 представлены результаты статистических испытаний для случая, когда переменными параметрами брались уже символы долговременного ключа (ненулевые строки таблицы подстановок Sm,n). Ожидалось, что при изменении долговременного ключа он будет влиять на процедуру шифрования многократно (вносить новые изменения на каждом цикле), т.е. лавинный эффект размножения ошибок будет усиливаться. Это, однако, оказалось верным только при существенных изменениях долговременного ключа (кривые 2,3 на рис. 4). В то же время при небольших изменениях в таблице Smn (при перестановке двух, трех, четырех символов) оказалось, что не удается дойти до заданного уровня и при всех 32 циклах алгоритма. Более того, как показывает анализ, в этом случае с большой вероятностью возможны ситуации, когда получается значение различия шифрованных текстов, равное нулю на всех циклах преобразования (искаженный ключ приводит при шифровании и расшифровании к тому же результату, что и действительный).

Такие ситуации возможны, когда в процессе шифрования (дешифрования) не используются искаженные переходы таблицы подстановок. Например, если в какой-то из строк переставлены местами два символа, то вероятность события, заключающе-

34

32

30

28

26

24

22

20

18

16

14

12

10

8

6

4

2

0

1 mW

№ п/п Таблица Сеансовый ключ

1 по ГОСТ К = 0

2 по ГОСТ (К ф 0)

3 тождественная К = 0

4 тождественная (К ф 0)

5 подстановок по [1] К = 0

6 подстановок по [1] (К ф 0)

т—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—і—к

0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30

Рис. 1. Зависимость математического ожидания при изменении одного бита исходного текста от числа циклов

3

РИ, 1998, № 1

41

изменении одного бита строки сеансового ключа и тождественной таблицы подстановок от числа циклов

- в разных строках:

16)

64

2•10 4.

Транспозиция в каждой из строк:

14/32 -8 16 )

1,3 • 10 13.

Для того чтобы сделать вероятность такой вырожденной ситуации меньше чем 264, необходимо иметь в таблице более трех искаженных переходов в каждой из строк:

^-32-8

(—j = 0,82 -1023

Можно сделать вывод, что таблица, составленная из подстановок, выбранных наугад, с большой вероятностью будет обеспечивать высокие харак-

гося в том, что на данном цикле при прохождении искаженной строки подстановок она не повлияет на результат, будет равна вероятности выпадения (появления) на входе этого ^-блока (задаваемого строкой с искаженными элементами) чисел, не дающих искаженного результата. Эта вероятность равна 14/16 (14 чисел из 16 не дают искажения). Для получения нулевого различия в шифрованных текстах необходимо, чтобы эта ситуация состоялась на каждом из 32 циклов, что дает результирующую вероятность (в предположении независимости рассматриваемых событий), равную

(16)32

случаях из 1000 искаженная подстановка будет шифровать текст точно так же, как и не искаженная. Приведем примеры просчетов и для некоторых других характерных случаев.

Две транспозиции различных элементов уже дают результаты:

- в одной строке:

т)32 = 10-3

16

= 0,014 , т.е. в 14-ти

Рис. 3. Зависимость математического ожидания при изменении одного бита строки сеансового ключа от числа циклов

теристики защиты информации. Однако в этом случае существуют хоть и маловероятные, но неблагоприятные ситуации (вырожденные ключи), для которых необходимые характеристики стойкости алгоритма не гарантируются.

Была также проверена степень сжатия текстов, зашифрованных на ключах — подстановках случайного типа, с помощью процедуры Лемпела-Зива

42

РИ, 1998, № 1

Рис. 4. Зависимость математического ожидания при изменении долговременной таблицы по ГОСТ и (К ф 0) от числа циклов

(проверка меры случайности текстов [3]). Испытывались три варианта текстов: exe-файл, как пример очень избыточного (с повторениями) текста, word-файл, как текст усредненного типа, и обыкновенный текстовый файл. Результаты этой проверки иллюстрирует табл. 2.

Как видно из представленных результатов, во всех случаях, кроме ситуации с шифрованием exe-файла, даже при шифровании на одних и тех же ключах (сеансовом и долговременном) обеспечивается сжатие шифрованного текста менее чем на 10 % [3].

Результат с exe -файлом свидетельствует лишь о том, что в этом случае имеется значительная часть повторяющихся (одинаковых) сообщений (при шифровании exe-файла на разных сеансовых ключах он уже не сжимается).

В итоге можно сделать вывод, что по всем приведенным выше показателям стойкости (статистической безопасности) случайные таблицы подстановок, построенные с помощью предлагаемой в [1] методики, не уступают свойствам долговременного ключа, приведенного в [4]. Литература: 1. Горбенко И.В., Лисицкая И.В. Критерии отбора случайных таблиц подстановок для алгоритма шифрования по ГОСТ 2847-89// Радиотехника. 1997. Вып. 103. С. 121130. 2. Горбенко И.Б, Лисицкая И.В. К оценке метрических характеристик таблиц подстановок для алгоритма криптографического преобразования по ГОСТ 2847-89 // Радиотехника. 1997. Вып 104. С. 97. 3. Жильников В. Криптография от компьютера до папируса. М.: ABF, 1996. 336с. 4. Sheier B. Applied Cryptography. Second Edition: protocols, algorithms, and source code in C. Published by John Wiley & Sons. Inc. New York: Chichester Brisbane Toronto Singapore, 1996. 158 p.

5. Фаль A.M. Алгоритм шифрования по ГОСТ 28147-89 и способы применения блочных шифров // Безопасность информации. 1995. №3. С. 8-11. 6. Вентцель Е.С. Теория вероятностей. М.: Наука, 1964. 564 с. 7. Бронштейн И.Н. Семендяев K.A. Справочник по математике для инженеров и учащихся ВТУЗов. М.: Наука, 1980. 976 с. 8. ГОСТ 29147-89. Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования. Введ. 01.01.89. М.: Изд-во стандартов. 1989. 78 с.

Поступила в редколлегию 12.03.98

Горбенко Иван Дмитриевич, д-р техн. наук., профессор, проректор по научной работе ХТУРЭ. Научные интересы: защита информации в компьютерных системах и сетях. Адрес: 310726, Украина, Харьков, пр.Ленина 14, тел.30-24-50,37-56-39.

Лисицкая Ирина Викторовна, ассистент кафедры прикладной математики ХВУ. Научные интересы: защита информации. Адрес: 310000, Украина, Харьков, пр. Ленина, 82, кв. 32, тел. 32-08-38.

Таблица 2

Тип текста Сжатие открытого текста, % Сжатие шифрованного текста, %

Exe-файл 59 18

Word-овский файл 63 9

Текстовый файл 63 6

Коряк Алексей Сергеевич, студент ХТУРЭ. Научные интересы: компьютеры и программирование. Адрес: 310000, Украина, Харьков, пр. Гагарина, 48, кв. 24, тел. 27-18-80.

РИ, 1998, № 1

43