АСИНХРОННАЯ СИСТЕМА ЗАЩИТЫ ДАННЫХ, СОДЕРЖАЩАЯ ДИОФАНТОВЫ ТРУДНОСТИ
ASYNCHRONOUS DATA PROTECTION SYSTEM CONTAINING DIOPHANTINE DIFFICULTIES
УДК-004
Лукинов Даниил Романович, магистрант, студент Кубанского государственного университета, Россия, г. Краснодар Lukinov Daniil Romanovich, action@doctor.com
Аннотация
Цель исследования - разработка математической модели системы защиты данных, содержащей диофантовы трудности. В статье рассмотрен подход формирования модели системы защиты данных на основе математической задачи факторизации произвольного натурального числа, сводящейся к решению показательного диофантова уравнения. В результате сформирована модель асимметричности системы защиты данных, основанной на задаче о разложении произвольного положительного целого числа на взаимно простые множители. Показаны диофантовы трудности, с которыми столкнется аналитик в процессе вскрытия системы такого рода.
Annotation
The aim of the research is to develop a mathematical model of a data protection system containing Diophantine difficulties. The article considers an approach to forming a model of a data protection system based on the mathematical problem of factorization of an arbitrary natural number, which reduces to the solution of an exponential Diophantine equation. As a result, a model of data protection system asymmetry is formed based on the problem of decomposing an arbitrary positive integer into mutually Prime factors. The Diophantine difficulties that the analyst will face in the process of opening a system of this kind are shown.
Ключевые слова: криптография; модель системы защиты информации; диофантовы трудности; асинхронная криптосистема.
Keywords: cryptography; information security system model; Diophantine difficulties; asynchronous cryptosystem.
Актуальность выбранной темы исследования обусловлена тем, что в современном мире очевидна тенденция стремительного развития информационных технологий во всех сферах деятельности человека, что приводит к возникновению большого числа информационных потоков, требующих защиту от несанкционированного доступа к данным или их
обесценивания путем раскрытия. Указанные и многие другие, связанные с информационной безопасностью, проблемы частично или полностью решаются посредством применения специализированных программных и технических средств - систем защиты информации.
Исходя из секретного доклада Клода Шеннона [1], известно, что наибольшую криптостойкость имеют системы шифрования, содержащие диофантовы трудности. Данный тезис основан на доказанной в [2] теоретической неразрешимости десятой проблемы Гильберта, заключающейся в отыскании универсального алгоритма решения произвольных диофантовых уравнений.
Также последние представленные теоретические результаты доказывают практический смысл реализации систем защиты информации, содержащих диофантовы трудности.
Для более формального описания сущности и элементов систем защиты информации используется различные математические формализмы. Рассмотрим один из них, опираясь на который будет производиться математическое моделирование системы защиты информации в данной работе. В статье [3] автором представлена модель:
£0 = < М*, Q, С*, Е(т),Б(с) | У(Е(т),Б(с)) >
(
1)
где: М* - множество всех сообщений т = т1т2...тк над исходным (шифруемым) символьным алфавитом М;
Р - множество всех числовых эквивалентов символов исходного алфавита;
С* - множество всех текстов с = с1с2 ...ск (криптограмм) над алфавитом С, которые могут быть получены в результате применения алгоритма прямого преобразования;
Е(т) - алгоритм прямого преобразования;
Б (с) - алгоритм обратного преобразования.
При этом стоит заметить, что алгоритмы Е(т) и О (с) связаны следующим соотношением У(Е(т),Б(с)): произвольное сообщение т = т1т2...тк всегда однозначно преобразовывается в текст с = с1с2...ск и наоборот.
В качестве основной идеи разрабатываемой модели системы защиты информации взято противопоставление двух показательных диофантовых
уравнений: с взаимно простыми и произвольными целыми положительными основаниями.
Более точно, противопоставляются левые части двух показательных диофантовых уравнений с п неизвестными (х1,х2,... ,хп). Уравнение с произвольными взаимно простыми основаниями (s1)s2)...,sn) без повторений:
i1 * s22 * ... * = а (2)
И уравнение с произвольными основаниями (с1>с2>... ,сп), которые не обладают обязательным свойством попарной взаимной простоты:
с*1 * с22 * ... * с*п = b (3)
Еще одним требованием к паре вводится то, что область определений функции из левой части уравнения (2) должна быть включена в область определения функции из левой части уравнения (3) или совпадать с ней.
Система основывается на том, что для решения уравнения с взаимно простыми основаниями существует линейный алгоритм решения, опирающийся на свойства простых и взаимно простых чисел, а для уравнения с произвольными основаниями универсального алгоритма нет.
В качестве исходных данных модели принимает набор взаимно простых чисел без повторений (s^^, s2,..., sn), на основе которых строятся функции, используемые для прямого Е(х1,...,хп) и обратного D(x1,...,xn) преобразований, выбирается значение модуля R и пара значений w и v -обратимого по модулю R и обратного ему.
Задача получения набора взаимно простых чисел (s1, s2,..., sn) сводится к задаче формирования набора простых чисел без повторений (р1,р2,... ,рт), где т>п, и их композиции без повторов в разных членах набора
Si = * *...* . Задача формирования набора простых чисел
подробна рассмотрена в [4, с. 143].
Для сокрытия исходных оснований функции из левой части диофантова уравнения (2) будет применен метод модульного умножения на обратимый вычет w по данному модулю R. При этом обратный для w вычет обозначим как v. Отсюда справедливо равенство w * v (mod R) = 1.
Применим операцию модульного умножения к каждому основанию st функции из левой части (2). Воспользовавшись свойством модульного
умножения, которое заключается в том, что произведение модулей равно модулю произведения [4, с. 68], получим следующее тождество:
П^(ы * Б^тоа Ю)Х1 = * П]==1 Б*1(то(1 Я)
(
4)
Очевидно, если использовать данную функцию в качестве шифрующей без изменений, для обратного преобразования потребуется произвести модульное умножение результата на V в точности £х^ раз. А это значит, что легальному пользователю необходимо знать данное значение для корректной дешифровки криптограммы. Но передача подобной информации по открытому каналу может существенно упростить задачу аналитику.
Для обхода данной уязвимости преобразуем функцию из левой части (2) и получим функцию от п — 1 переменных, используемую в алгоритме обратного преобразования:
В{Х1,Х2, ... ,хп-1) = 1 ПИМ 1.
(
5)
Как было упомянуто ранее, для сокрытия исходных оснований будет производиться модульное умножение на обратимый вычет. Произведем данное действие над функцией дешифрования с некоторыми отступлениями от классического подхода.
Если в функции (5) взаимно простые основания = 1. .п — 1
умножить по модулю Я на параметр прямого модульного умножения w, а бп -на обратный V, то будет справедливо следующее преобразование, учитывая, что w и V являются обратимым и его обратным, а их модульное произведение равно 1:
(у * 5п(той Я))£х1-1 ПТ-Цм * Б^той Я))*1 = (ш *
(
6)
Таким образом, для обратного преобразования полученного значения достаточно умножить на V по модулю Я единожды и не требуется передача по
открытому каналу каких-либо дополнительных параметров, которые могут скомпрометировать шифр.
Применим умножение на w по модулю Я к основаниям функции из левой части уравнения (5) = 1. .п — 1, а рп - на обратный V по модулю Я. Обозначив полученные основания как С1, примем полученный результат в качестве функции прямого преобразования:
Е(х1,х2,... ,хп-1) = 1(той Я)
(
7)
где: С1 = ш * Б^той Я),Ь = 1..П — 1; сп = V * Бп(той Я).
Значения С1, очевидно, теряют свойство взаимной простоты, присущее соответствующим за некоторым возможным исключением.
Рассмотрим принципы получения параметров модульного умножения: модуля Я, обратимого вычета w по модулю Я и его обратного элемента V.
Необходимо выбрать целочисленное значение модуля Я таким образом, чтобы он превосходил максимальное возможное значение функции (5):
Я > 5тах(д)*(п-1)
п 1 1 (
8)
где: тах(^) - максимальный из числовых эквивалентов символов исходного алфавита Q.
Одним из жизнеспособных сценариев выбора модуля Я является подбор такого наименьшего простого числа, которое подходит под условие (8). С одной стороны, значение не оказывает влияние на криптостойкость системы, а его раскрытие неизбежно, так как оно является частью функции шифрования. С другой стороны, если выбрать Я простым, процесс выбора обратимого множителя w будет максимально упрощен, поскольку справедливо то, что все вычеты по простому модулю являются обратимыми.
Далее необходимо выбрать произвольные положительные значение w и V для модульного умножения таким образом, чтобы их произведение было сравнимо с единицей по модулю Я, а V было взаимно простым со значением Я:
ш*у = 1(той Я) | НОД(ш, Я) = 1.
(9
)
Данные ограничения непосредственно следуют из определения обратимых вычетов [5, с. 32].
Процесс поиска обратимого вычета является достаточно сложной вычислительной задачей. Решить ее можно с помощью расширенного алгоритма Евклида [4, с. 95]. Альтернативным решением проблемы поиска обратимых элементов является выбор в качестве Я простого числа. Согласно известным свойствам подобных классов вычетов, любой из их элементов является обратимым. Таким образом, значение w можно выбрать абсолютно случайное, но не превосходящее Я. Обратное значение V можно получить, решив тривиальное уравнение из (9), при чем решение будет единственным.
Таким образом, под закрытым ключом будем подразумевать вектор целых чисел длины п + 2, составленный из взаимно простых оснований функции дешифрования (5), обратимого вычета w по модулю Я и его обратного элемента V. То есть, s1) 52) ., sn)w)v - закрытый ключ. Данный вектор хранится в секрете у легального пользователя.
За открытый ключ примем вектор оснований функции (7) в совокупности с модулем Я: с1,с2,.,сп,Я. Данная последовательность передается по открытому каналу или публикуется в общедоступном месте в сети.
Алгоритм шифрования заключается в разбиении исходного текста на блоки длины п — 1 и применении к каждому из них функции шифрования (7). Если последний блок короче, чем необходимо, он дополнятся незначащими символами так, чтобы его длина достигла значения п — 1.
Результат применения функции шифрования к ьтой (п — 1)-грамме исходного текста обозначим за ^. Полная криптограмма исходного текста состоит из последовательности таких значений . Данная
последовательность передается по открытому каналу связи легальному пользователю.
При дешифровке легальным пользователем в первую очередь криптограмма разбивается на блоки ^. В соответствии с тождеством (6), каждый такой блок р может быть представлен в следующем виде:
£ = ы* Б%х1-1(тоа Я) Пы! я? (той Я)
(10)
Таким образом, для приведения задачи дешифрования к легкоразрешимой проблеме разложения на известные взаимно простые множители, каждый отдельный блок криптограммы легальному пользователю необходимо преобразовать посредствам умножения на V по модулю Я:
а = (у * б^1-1 * ПГ=1 Бх^)(тоа Я) = Б^1-1 * П?=1
1)
(1
То есть перед легальным пользователем стоит задача найти корни следующего диофантова уравнения:
(1
2)
Но решать это уравнение легальному пользователю не нужно, существует эффективный альтернативный способ нахождения значений х^.
Процесс нахождения х^ сводится к задаче разложения натурального числа а на множители 51) з2,..., бп. Так как они взаимно простые, наборы простых чисел из их разложений = р^ * р^2 * ... * р^к. не пересекаются. Это значит, что решить данную задачу можно за линейное время посредством последовательного целочисленного деления со счетчиком.
Применив данный алгоритм к каждому блоку ^ криптограммы, отбросив незначащие символы из конца последнего блока, легальный пользователь может составить исходное сообщение.
С другой стороны, нелегальный пользователь, перехватив криптограмму, должен решить задачу, универсального алгоритма для которой не существует, а анализ системы осложняется диофантовыми трудностями.
В соответствии с принципом Кирхгофа [5, с. 8], безопасность системы шифрования не должна зависеть от того, известен ли алгоритм шифрования аналитику. Поэтому будем считать, что противнику известны все детали шифрования, кроме закрытого ключа.
При наличии криптограммы перед злоумышленником для восстановления блока длины п — 1 исходного текста стоит задача решить показательное диофантово уравнение с произвольными основаниями:
(13)
Очевидно, данная задача нетривиальна, а общего алгоритма, как было упомянуто выше, для решения произвольных диофантовых уравнений не существует. При этом значения С1 не обладают свойством простоты или взаимной простоты, что не позволяет свести задачу к разложению на простые множители.
Кроме того, факторизация оснований С1 при неизвестных простых числах, входящих в их разложения уже создает трудности аналитику. Эта задача сложна, но разрешима. Поэтому покажем трудности, возникающие в случае успешной факторизации всех оснований уравнения и дальнейшего анализа
(13).
Наборы простых чисел из разложения оснований данного уравнения
ил и2 ик;
С1 = Рц1 * .шш*Рцс- могут как пересекаться, так и включаться один в
другой. Например, произвольное основание С1 может совпадать с произведением нескольких других оснований с^ = с^ * с^ * ... * с^. Или возможна ситуация, что произвольный набор простых чисел из разложения может соответствовать нескольким наборам оснований С1.
Таким образом, все возможные комбинации таких разложений для всех блоков ^ криптограммы со всеми возможными приращениями кЯ, которые имеют место, так как ^ вычисляется по модулю Я, создают чрезвычайно большое число возможных решений, но только одно из них верно. При этом коэффициент приращения принимает все возможные целочисленные значения, подходящие под условие:
^ ^ У п ^^l-1 I ) ^ ^2*(п-1)*тах(@)-1 Я ~
(1
4)
Прямое решение уравнения (13) невозможно, так как не существует универсального алгоритма, согласно доказанной проблеме Гильберта. А атаки на произвольный показатель х^ должны производиться при всех возможных приращениях кЯ, количество которых критически высоко даже для малых значений п, согласно неравенству (14).
Одним из наиболее эффективных способов криптоанализа разработанной системы является частотный анализ блоков длины п — 1. Возможным
решением может выступить предварительное применение к исходному сообщению самосинхронизирующегося потокового шифра. Данный вопрос является темой дальнейших исследований.
Литература
1. Shannon, C. Communication theory of secrecy systems / C. Shannon. J. : Bell System Techn, 1949. P. 656-715.
2. Матиясевич Ю. В. Диофантовы множества // Успехи мат. наук. 1972. Т. 27, вып. 5. С. 185-222.
3. Осипян В.О., Осипян К.В. Система защиты информации на основе решений многопараметрических систем диофантовых уравнений/ Сб. тез. докл. per. межвед. конф. по защите информации Краснодар, 2000 -с.44-45.
4. Шнайер Б. Прикладная криптография. / Б. Шнайер - Киев: Диалектика, 2017.
5. Саломаа А. Криптография с открытым ключом. / А. Саломаа - М.: ИЛ, 1995. 380с.
6. Diffie, W., Hellman, M.: New direction in cryptography. Trans. Inf. Theory. 22, 1976. P. 644-654.
7. Okumura, S. A public key cryptosystem based on diophantine equations of degree increasing type. / S. Okumura Pacific Journal of Mathematics for Industry. 2015.
8. Mordell L. J. Diophantine equations / L. J. Mordell - Bull. Amer. Math. Soc. 76, 1970. P. 1230-1234.
Literature
1. Shannon, C. Communication theory of secret systems / C. Shannon. J.: Bell System Techn, 1949. P. 656-715.
2. Matiyasevich Yu. V. Diofantov sets // The successes of the Mat. Sciences. 1972. T. 27, vol. 5. Pp. 185-222.
3. Osipyan V. O., Osipyan K. V. information protection System based on solutions of multiparametric systems of Diophantine equations / SB. TEZ. Dokl. per. lived. Conf. on information protection Krasnodar, 2000-p. 44-45.
4. Schneier B. Applied cryptography / B. Schneier-Kiev: Dialectics, 2017.
5. Salomaa A. Cryptography with a public key. / A. Salomaa-M.: IL, 1995. 380s.
6. Diffie, W., Hellman, M.: New directions in cryptography. Trans. Inf. Theory. 22, 1976. P. 644-654.
7. Okumura, S. A public key cryptosystem based on diophantine equations of degree increasing type. / S. Okumura Pacific Journal of Mathematics for Industry. 2015.
8. Mordell L. J. Diophantine equations / L. J. Mordell - Bull. Amur. Math. Soc. 76, 1970. P. 1230-1234.