CC BY
34
УДК 004.056.53
И.Р. Файзуллин, Р.Т. Файзуллин
Аппаратно-эффективный алгоритм формирования маркера начала сообщения
Предложен аппаратно, но не программно, эффективный криптографический алгоритм для формирования маркера начала передачи информации. Предложена модификация алгоритма, позволяющая передавать информацию в виде специально встроенных ошибок в маркер. Показано, что задача, на которой основана криптографическая стойкость алгоритма, не принадлежит классу NP. В наилучшем для атакующего случае дана оценка числа операций, необходимых для нахождения ключа.
Ключевые слова: мастер-ключ, маркер, криптографическая стойкость, автомат без памяти.
Введение
Постоянное увеличение скорости передачи данных и пропускной способности каналов связи приводит к качественному изменению подходов к проблеме защиты информации. Стеганография [1], скрытые каналы [2-3], сегментирование данных [4] из экзотических инструментов становятся одними из наиболее перспективных способов практической защиты информации. В связи с этим остро стоит вопрос о вычислительной эффективности шифроалгоритмов, их доказуемой стойкости и желательном преимуществе аппаратных реализаций алгоритмов перед программными.
В настоящей работе предлагается алгоритм защиты информации, одновременно совмещающий в себе черты стандартных блочных алгоритмов и стеганографии. Оценена стойкость алгоритма и предложен эффективный метод реализации.
Рассмотрим поток данных, состоящий из бит, полученных или с помощью физического генератора псевдослучайных чисел, или с помощью программного датчика псевдослучайных чисел. Задача состоит в том, чтобы встроить в этот поток маркер сообщения, который будет содержать само сообщение. Схожая задача была рассмотренна в работе [5], но там маркер предваряет сообщение и зависит от него, как хэш-код, что представляется не совсем эффективным, т.к. требует офф-лайн - обработки больших объемов данных.
Рассмотрим последовательность байтов Я1,..,Я' , каждый из которых состоит из K бит, и соответствующий им кортеж бит д1,...,^' . Будем называть объединение этих кортежей мастер-ключом.
Передающая сторона, или Алиса, генерирует кортеж X1,..., X' с условиями:
X' > Я1, если ^ = 0 , (1)
X1 < Я1 , если д1 = 1 и маркирует начало сообщения операцией побитового сложения байтов
X1 Я1: Zi = XI ©i = 1,...,К .
Получатель сообщения, или Боб, производим аналогичную операцию XOR над байтом ^ и байтом Я1 , получая в итоге X. Если некоторая последовательность битов
—m —m+N-1
X ,..., X удовлетворяет условиям (1), тот Боб делает вывод о том, что с вероятно-
стью 1 - 2-N эта последовательность байтов маркирует начало сообщения.
Но заметим, что Алиса может специально генерировать некоторые из Xj так, что условия (1) для них не будут выполняться. Если число таких «ошибок» будет относительно мало, например не более четверти, и окаймлено заранее заданным числом «неошибок», то Боб, проверяя входной поток, может сделать хорошо обоснованный вывод о наличии специально встроенных Алисой символов «ошибки». Боб должен выбрать из двух гипотез: он получает случайный поток данных или поток данных, созданный Алисой. Учитывая, что случайный поток данных, например созданный с помощью генератора псевдослучайных чисел BBS, хорошо описывается схемой Бернулли, а при увеличении N хорошо описывается нормальным законом, то выделение кортежа
246 УПРАВЛЕНИЕ, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И ИНФОРМАТИКА
—т —т+N-1
X ,..., X не представляет большого труда, с учетом, например, того, что дове-
ренное лицо проводит тест на открытый текст для наиболее вероятного фрагмента потока данных.
В этом случае Боб может интерпретировать маркер как битовую строку ^, j = 1,...,N , где нулями являются те из ^ , которые совпадают с qj , а единицами - места «ошибок».
Длина слова в этом случае будет равна N , а «полезное пространство сообщений» 2N-l, где I сравнимо с N .
Насколько стойкой является предложенная схема шифрования?
Предположим, что аналитик каким-то образом смог выделить несколько кортежей Zjs, j = 1,..., N, в = 1,..., ММ > 2, отвечающих маркерам, и ему известно, что в маркерах нет «ошибок».
С учетом независимости блоков аналитик может рассматривать только один блок j и отвечающие ему неизвестные qj, Qj, X-'1,..., .
В этом случае мы получаем систему линейных уравнений в Z2 и неравенств в Я :
— = —
i © Qjsii = 1,..., К, в = 1,..., М ,
(Х- - Qj )(-1/ > 0 .
Предполагая, что, например, qs = 0 получим:
(Х- - Qjs) > 0.
Попытка решить эту систему прямыми методами обречена на неудачу, т.к. ассоциированные системы линейных алгебраических уравнений имеют ядро размерности, сравнимой с К , что делает задачу теоретически неразрешимой.
Предположим, что мы точно знаем расположение М кортежей в потоке данных и тем самым знаем = х11>1 ©QjSl i = 1,...,К, s = 1,...,М, ' = 1,...,N для каждых . Зафиксируем некоторое ' и оценим трудоемкость определения битов Qj,...,QK при неизвестном q.
Оказывается, что в этом случае верна следующая лемма.
Лемма 1:
В наилучшем для атакующего случае, трудоемкость определения мастер-ключа
Ql,...,Q1N и q1,...,qN не меньше чем CNK2K.
Рассмотрим все возможные значения Qj , которые, возможно, являются битами
К
маркера без ошибок, очевидно, что их число оценивается величиной 2 . Для каждого такого Qj по известному ^ однозначно определяется X' и проверяется, например, условие (X' - Qj) > 0. Заметим, что априори нельзя выделить множество таких пробных Qj , для которых всегда будет выполняться только условие (X' - Qj) > 0, кроме, конечно, тривиального случая нулевого вектора. Поэтому мы вынуждены проверять условие в 2 -1 случаях.
По результатам проверки Qj заносится в одно из множеств А = |Qj, X' - Qj > 0| или В = , X' - ^ < 0} .
Выберем из М кортежей другой байт Qj и также образуем множества А' = , X'1 - ^ > 0} , В = , X'1 - ^ < 0} .
Предположим, что все пересечение А П А' состоит только из одного Н', а пересечение В П В' пусто.
В этом случае Н' будет искомым байтом, а искомый бит qj будет определяться однозначно.
Даже в этом простейшем случае мы вынуждены решить системы два раза, для каждого кортежа, и число операций побитового сложения для определения
X' пропорционально К , т.е. длине байта.
Циклический сдвиг кортежа q1,...,qN и встраивание «ошибок» или сообщения решает эту проблему практически, но лемма по существу остается верной. Мы с вероятностью 0,25 «успешно» попадаем в отрезок Голомба [6] длины больше чем единица. Отметим, что мы рассматриваем идеальный случай, в котором выборка и распределение данных в памяти производятся мгновенно.
Из леммы следует другой практический вывод о том, что гарантированная на сего-
о80 г-
дняшний момент стойкость, равная 2 , без учета операций записи и считывания из памяти, будет обеспечиваться выбором длины байта K , большей или равной 64 .
Также можно сформулировать очевидную лемму о классе сложности, к которому принадлежит задача криптоанализа данного алогритма.
Лемма 2:
Задача определения мастер-ключа при известных кортежах Z1 не принадлежит классу NP.
Допустим, что нам известны несколько кортежей и необходимо проверить, что наборы Ql,...,qN и q1,...,qN являются ключом. Покажем, что даже если все
Xj = Zj ©Qj i = 1,...,K удовлетворяют (1) это не означает, что Qf ,...,qN и q1,...,qN мастер-ключ. Допустим, что
и Qj на нескольких общих позициях имеют совпадающие нулевые биты. Тогда Q , полученное произвольной расстановкой единиц в этих позициях, так же позволит сгенерировать Xi = Zj ©Qj i = 1,..K удовлетворяющие неравенствам
(1). Единственный выход - это увеличение числа M в общем случае до величины 2r, где r - это число нулевых бит, стоящих в общих позициях у
и Qj .
Только в этом случае можно выбрать единственное Qj из всех возможных Q . Доказательство завершено.
Заметим, что реализация кодирования информации, или создание последовательности X1,..., XN, может быть осуществлена инвертированием бит, например, применением операций И, ИЛИ с битами байта Q и содержимым некоего регистра сдвига с линейной обратной связью. Если, например, qj = 0, то некоторые нулевые биты Qj необходимо инвертировать на единичные (ИЛИ), если же qj = 1, то, наоборот, необходимо инвертировать единичные биты Qj (И).
Принимающая сторона может определить набор q1,..., qN, пропуская его через регистр сдвига и тестируя байты на предмет проверки (Xjs - Qj )(-1)q7 > 0 , также с помощью автомата без памяти (конъюнктивную нормальную форму КНФ), предложенного в [7].
Обратим внимание на то немаловажное обстоятельство, что аппаратное шифрование и дешифрование происходит за 0(1) время, необходимое для прохождения сигнала через автомат, реализующий КНФ, а программная реализация требует CKN числа операций. Это позволяет сделать вывод о перспективности использования данного подхода в практике корпораций и неэффективности программных реализаций частными лицами.
Компьютерное моделирование формирования и распознавания маркера показало, что система работоспособна и не возникает гонок автоматов.
Можно сделать вывод о том, что разработан эффективный алгоритм формирования маркера начала сообщения, доказана его криптографическая стойкость, основанная на решении задачи из класса EXP , и определены нижние пределы применимости (по длине ключа). Проведено компьютерное моделирование работы протокола и предложены схемы аппаратной реализации.
Литература
1. Грибунин В.Г. Цифровая стеганография / В.Г. Грибунин, И.Н. Оков, И.В. Ту-ринцев. - М.: Солон-Пресс, 2002.
2. Столлингс В. Криптография и защита сетей: принципы и практика. - 2-е изд. -М.: Вильямс, 2003.
248
УПРАВЛЕНИЕ, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И ИНФОРМАТИКА
3. Методы защиты информации от атак с помощью скрытых каналов и враждебных программно-аппаратных агентов в распределенных системах / А.А. Грушо, Н.А. Грушо, Е.Е. Тимонина // Вестник РГГУ. - 2009. № 10. - С. 33-45.
4. Конахович Г.Ф., Пузыренко А.Ю. Компютерная стеганография. Теория и практика. - К.: МК-Пресс, 2006. - 288 с.
5. Файзуллин И.Р. Крипто-стеганографический алгоритм с использованием хэш-функции для маркировки начала сообщения // Научная сессия МИФИ-2007. - Т. 16. Компьютерные науки. Информационные технологии. - М.: МИФИ, 2007. - С. 149-150.
6. Golomb S.W. Run-length encodings // IEEE Trans. Inf. Theor. - 1996. - IT-12, № 3. - P. 399-401.
7. Дулькейт В.И. Алгоритм минимизации функционала, ассоциированного с задачей 3-SAT, и его практические применения // В.И. Дулькейт, Р.Т. Файзуллин, И.Г. Хны-кин // Компьютерная оптика. - 2008. - Т. 32, № 1. - С. 68-73.
Файзуллин Ильдар Рашитович
Начальник отдела функциональной разработки Департамента SAP, Компания ЗАО «ТД Перекресток» Тел.:+7 (495) 662-88-88 Эл. почта: blackildar@list.ru
Файзуллин Рашит Тагирович
Проф. каф. средств связи и информационной безопасности Омского государственного технического университета Тел.: +7(381-2) 73-03-34 Эл. почта: r.t.faizullin@mail.ru
Faizullin I.R., Faizullin R.T.
Hardware effective algorithm for mark formation of the data transmission beginning
Hardware (not software) effective cryptographic algorithm for mark formation of the data transmission beginning. A modification of the algorithm, which allows the data transmitting in the form of errors specially built-in marker, is suggested. It is shown that the problem, on which the algorithm cryptographic firmness is based,does not belong to NP class. The estimation of a number of operations needed for finding a key is given for the best (in the viewpoint of an attacker) case. Keywords: master-key, marker, cryptographic firmness, memoryless automaton.
