CC BY
24
Доклады БГУИР_DokladyBGUIR
2017, № 8 (110) 2017, No. 8 (110)
УДК 621.391.25
АТАКА НА СИНХРОНИЗИРУЕМЫЕ ИСКУССТВЕННЫЕ НЕЙРОННЫЕ СЕТИ, ФОРМИРУЮЩИЕ ОБЩИЙ СЕКРЕТ, МЕТОДОМ ОТЛОЖЕННОГО ПЕРЕБОРА
В.Ф. ГОЛИКОВ, А.Ю. КСЕНЕВИЧ
Белорусский национальный технический университет, Республика Беларусь
Поступила в редакцию 19 октября 2017
Аннотация. Рассматриваются применение синхронизируемых искусственных нейронных сетей для генерации общего криптографического ключа, а также атака методом отложенного перебора на эти сети с целью получения этого ключа.
Ключевые слова: искусственная нейронная сеть, криптографический ключ, синхронизация.
Abstract. The application of synchronized artificial neural networks for generation of a common cryptographic key and an attack by deferred search on these networks with the purpose of obtaining this key are considered.
Keywords: artificial neural network, cryptographic key, synchronization.
Doklady BGUIR. 2017, Vol. 110, ]\о. 8, pp. 48-53 Attack on synchronized artificial neural networks, forming a common secret by deferred search V.F. Golikov, A.Y. Ksenevich
Введение
Безопасная пересылка данных является одним из самых важных вопросов в современном информационном мире. Ключевую роль в этой сфере играет криптография, позволяющая шифровать важную информацию, защищая тем самим ее от несанкционированного доступа.
Безопасность криптографических систем зависит от трудности решения проблем теории чисел (например, проблема факторизации, проблема дискретного логарифмирования). Однако рост вычислительной мощности современных компьютеров требует применения все более длинных целых чисел, составляющих параметры криптографических систем. С другой стороны, использование все более длинных целых чисел ведет к росту вычислительной сложности криптографических алгоритмов. Поэтому так интересны любые новаторские криптографические системы, не использующие теорию чисел. Одной из таких новых идей является применение нейронных сетей для формирования общего криптографического ключа при обмене информацией по незащищенным каналам связи.
Общая схема синхронизируемых искусственных нейронных сетей
В работах [1-3] предложен способ формирования общего криптографического ключа с помощью двух искусственных нейронных сетей (ИНС), соединенных открытым каналом связи и синхронизируемых общими случайными воздействиями.
Наименее доказанным в этом способе, на наш взгляд, является стойкость формируемого ключа к возможным атакам на него со стороны третьей стороны, «прослушивающей» канал связи, по которому синхронизируемые сети обмениваются информацией. Это объясняется отсутствием строгих математических моделей, адекватно описывающих процесс синхронизации, ввиду высокой сложности процесса изменения весовых коэффициентов сетей как дискретных временных рядов.
Анализ процессов, происходящих при этом, возникающие проблемы и возможные атаки третьей стороны описаны в [4-7]. В этих работах рассматриваются атаки, организованные следующим образом.
Если обозначить сети абонентов, формирующих общий криптографический ключ, А и В, а третьего абонента, тайно пытающегося узнать этот ключ, - Е, то схема взаимодействия сетей абонентов представляется, как на рис. 1.
т
Рис. 1. Схема взаимодействия сетей абонентов На рис. \ I - номер такта синхронизации, X(!) - вектор синхронизирующих случайных воздействий, ХА (7), Xе (7) - выходные величины сетей А и В соответственно. Архитектура и параметры всех сетей идентичны (рис. 2). На рис. 2 каждый персептрон имеет п входов, на каждый из которых поступает случайное число х^ (7) е [—1,1] (одна из компонент
Х(/), / = 1, 2,...,«;/ =1, 2,... ,К). Каждый персептрон описывается вектором весовых коэффициентов Щ(0 с компонентами лУу{1) е [ —/., /. |, где Ь - целое положительное число.
Выходные величины персептронов ^ (7) е [—1,1] перемножаются и образуют выходы сетей
X (7) е[—1,1] •
Рис. 2. Архитектура сети
Начальные значения весовых коэффициентов персептронов сетей А и В ЖА (0), IV11 (0) выбираются абонентами случайно, независимо друг от друга и сохраняются в секрете [6]. Подавая синхронно на входы своих сетей вектор Х(1), абоненты А и В вычисляют выходные величины сетей ХА (7) и 2В (7) , обмениваются ими и корректируют значения весовых коэффициентов персептронов своих сетей таким образом, что через некоторое число тактов /1(,; наступает равенство ЖА(Г) = ЖВ(Г). (1)
Атакующая сеть Е, используя значения Х(1). вычисляет 7.' (I ) и сравнивает его с перехваченными ХА (7) и 2В (7) , корректирует значения весовых коэффициентов персептронов своей сети по определенному алгоритму и через некоторое число тактов /1(,; добивается равенства
ЖБ(0 = ЖА(Г) = Жв(Г). (2)
В зависимости от выбранного абонентом Е алгоритма коррекции различают несколько видов атак. Наиболее эффективной считается «геометрическая атака» [4]. Исследования показали, что независимо от вида атаки обеспечивается
Р(гАВ < а) > Р(гАЕ < а), (3)
где й - назначенное сторонами А и В предельное число тактов, достаточное для наступления полного синхронизма их сетей. Выражение (3), однако, совсем не означает, что в процессе атаки обязательно произойдет событие 1АВ < а < 1АЕ . То есть могут иметь место успешные
атаки, при которых окажется 1АЕ < d, 1АВ < d, что приведет к выполнению (2). С наличием таких реализаций и связаны основные сомнения в безопасности анализируемого метода открытого формирования общего секрета. На рис. 3 приведены зависимости Р(?АВ < d),Р(?АЕ < d) от при п = 1000, К= 3, X = 8, полученные методом имитационного моделирования.
Р
Рис. 3. Зависимости вероятностей синхронизации
Из приведенных графиков видно, что для ИНС с выбранными параметрами для достижения синхронизма с вероятностью не менее 0,95 следует выбрать d « 3500. При этом Р(?АЕ < d) « 0,045 . То есть в четырех процентах реализаций атакующая сеть Е успевает войти в синхронизм с сетью А за отведенное число тактов аналогично сети В. Однако в [4] показано, что вероятность успешной атаки можно снизить за счет увеличения параметра Ь. Например, при
п = 1000, К = 3, Ь = 57 удается обеспечить Р(?АЕ < d)«10 4. Но при этом
для того, чтобы обеспечить синхронизм защищаемых сетей, необходимо назначить d = 1,6 • 105. С практической точки зрения столь длительный процесс обмена данными делает анализируемый метод бесперспективным, тем более, что достигаемая малая величина вероятности успешной атаки отнюдь не является безопасной.
Атака методом отложенного перебора
Проанализировав используемый процесс синхронизации сетей, можно предложить атаку, эффективную практически при любых параметрах сетей.
Как уже указывалось выше, в процессе синхронизации сетей за счет общих входных воздействий и специального алгоритма коррекции происходит постепенное сближение значений весовых коэффициентов персептронов сетей. Количество тактов синхронизации, за которое наступит равенство весов, зависит от их начальных значений
и от последовательности Х(^). Общепринято считать, что атака абонента Е методом перебора начальных значений весовых коэффициентов персептронов своей сети обречена на неудачу, так как количество этих значений даже для сети с небольшими значениями п, К, Ь требует очень больших временных затрат. Можно показать [6], что количество возможных начальных значений вектора весовых коэффициентов персептронов сети не менее М = (2Ь + 1)иК . Поэтому, например, для формирования двоичного общего секретного числа размером 256 бит нужно выбрать Ь = 4, пК = 84, при этом получим М = 984 «1,43 • 1080 « 2,145 • 2380 . То есть абоненту Е следует создать М ИНС и попытаться синхронизировать их с сетями А и В. При указанных выше количествах подобная задача не реализуема. Однако изучение процесса синхронизации сетей показало, что абоненту Е совершенно необязательно угадать истинное значение ЖА (0) или IVй (0), так как существует достаточно большое множество начальных значений вектора весовых коэффициентов IV1'' (0),
движение из которых при благоприятных траекториях Х(Т) позволяет обеспечить /1/; < / и; < с/ (рис. 4). На этом рисунке показаны условные траектории изменения векторов весовых коэффициентов сетей А, В в процессе синхронизации. Сеть Е представлена тремя траекториями.
Траектории IV'1 (/) и IV"(1) совпали при / = ¿/-2. траектории IV'1 (1) и IV/' (У) не совпали за
назначенное время синхронизации ¿/. траектории IV 1 (/) и Ж2Л' (/), Ж,'1' (7) совпали, причем время достижения синхронизации второй сети Е меньше, чем у сетей АмВ.
Рис. 4. Условные траектории изменения векторов весовых коэффициентов
Кроме того, абоненту Е нет необходимости строить модель, состоящую из М ИНС, используя для этого огромные вычислительные ресурсы. Атаку на сформированное А и В общее число можно организовать, располагая одной или относительно небольшим числом ИНС, в «отложенном» по времени режиме. Для этого абонент Е, прослушивая канал связи между А и В,
запоминает значения Х(!\ гА(!), г"(!),с1. Затем случайным образом генерирует (0),
используяХ{\), формирует ZA (1) и сравнивает его с Z l( l ). проводит коррекцию Ж/ЧО) —>IV/'(I) в соответствии с выбранным алгоритмом. Этот процесс продолжается такт за тактом.
Если к моменту назначенного конечного такта 7 = а устанавливается факт наступления синхронизации по одному из принятых критериев [7], то Е принимается решение о совпадении Ж^с/) = IV \'( с/) = IV¡'(с/). В противном случае следует выбрать другое значение IV1'' (0) и вновь провести синхронизацию. Процесс повторяется до первой успеха.
Оценим необходимый объем отложенного моделирования. Обозначим вероятность успешной синхронизации абонента Е в одной попытке Р\Е. С учетом предыдущих обозначений
Р\Е = Р(< а) . Вероятность того, что в т попытках событие < а произойдет не менее одного раза, равна
Рт (I > 1) = 1 — Рт (I = 0) = 1 — (1 — РАЕЕ )т .
Потребуем, чтобы эта вероятность была не менее заданной у. Тогда
1 — (1 — Р1е)т >у .
Из (5) найдем
т =
1п(1 — у)
(4)
(5)
(6)
1п(1 — Р1е )'
Используя (6), можно оценить объем отложенного моделированного, например, для выше рассмотренных данных, в которых РХАЕ = 10~4. Зададимся у = 0,98, получим
т =
1п(1 — 0,98) 1п(1 —10—4)
¡3,9-104
Такое количество экспериментов легко реализуется за очень короткое время. Из (6) несложно вывести значение Р1 , при котором объем отложенного моделирования будет соизмерим с объемом перебора значений ключа длиной 256 бит симметричного алгоритма шифрования, то есть сложность вычисления атакуемого ключа соизмерима со сложностью взлома симметричного алгоритма полным перебором. Для этого упростим (6). Известно,
что при х < 1 справедливо 1п(1 — х) «— х, т. е. 1п(1 — Р^) ~—Р\е ■ С учетом этого из (6) получим Р1Е =— —у). При т = 2256 имеем Р^ = 3,9 • 2 256. Такое значение вероятности Р\Е практически
т
невозможно обеспечить подбором параметров ИНС.
Заключение
Проведенный анализ позволяет сделать вывод о высокой эффективности атаки
с отложенным перебором. Противостояние такой атаке является весьма затруднительным.
Следовательно, вопрос о повышении стойкости формируемого ключа к возможным атакам на него
с третьей стороны остается открытым и требует дальнейшего исследования, как и вопрос о более
эффективных атаках.
Список литературы
1. Kanter I., Kinzel W. The Theory of Neural Networks and Cryptography, Quantum Computers and Computing. 2005. Vol. 5, № 1. P. 130-140.
2. Kinzel W., Kanter I. Neural Cryptography // 9th International Conference on Neural Information Processing. Singapore, 2002.
3. Kanter I., Kinzel W., Kanter E. Secure exchange of information by synchronization of neural networks //arxiv: cond/0202112v1 [cond-mat.stat-mech]. 2002.
4. Ruttor A., Kanter I., Kinzel W. Dynamics of neural cryptography // Phys. Rev. E. 2007. 75(5):056104.
5. Голиков, В.Ф., Брич Н.В. Механизм синхронизации весовых коэффициентов в искусственных нейронных сетях Кинцеля и проблемы безопасности // Электроника ИНФО. № 6 (96). С. 185-188.
6. Голиков В.Ф., Брич Н.В. Вероятностные свойства начальных значений весовых коэффициентов в синхронизируемых искусственных нейронных сетях Кинцеля // Системный анализ и прикладная информатика. 2013. № 1-2. С. 33-37.
7. Голиков В.Ф., Брич Н.В., Пивоваров В.Л. О некоторых проблемах в задачах распределения криптографических ключей с помощью искусственных нейронных сетей // Системный анализ и прикладная информатика. 2014. № 1-3. С. 42-46.
References
1. Kanter I., Kinzel W. The Theory of Neural Networks and Cryptography, Quantum Computers and Computing. 2005. Vol. 5, № 1. P. 130-140.
2.
3.
4.
5.
6.
7.
Kinzel W., Kanter I. Neural Cryptography // 9th International Conference on Neural Information Processing. Singapore, 2002.
Kanter I., Kinzel W., Kanter E. Secure exchange of information by synchronization of neural networks //arxiv: cond/0202112v1 [cond-mat.stat-mech]. 2002.
Ruttor A., Kanter I., Kinzel W. Dynamics of neural cryptography // Phys. Rev. E. 2007. 75(5):056104. Golikov, V.F., Brich N.V. Mehanizm sinhronizacii vesovyh kojefficientov v iskusstvennyh nejronnyh setjah Kincelja i problemy bezopasnosti // Jelektronika INFO. № 6 (96). S. 185-188. (in Russ.) Golikov V.F., Brich N.V. Verojatnostnye svojstva nachal'nyh znachenij vesovyh kojefficientov v sinhroniziruemyh iskusstvennyh nejronnyh setjah Kincelja // Sistemnyj analiz i prikladnaja informatika. 2013. № 1-2. S. 33-37. (in Russ.)
Golikov V.F., Brich N.V., Pivovarov V.L. O nekotoryh problemah v zadachah raspredelenija kriptograficheskih kljuchej s pomoshh'ju iskusstvennyh nejronnyh setej // Sistemnyj analiz i prikladnaja informatika. 2014. № 1-3. S. 42-46. (in Russ.)
Сведения об авторах
Голиков В.Ф., д.т.н., профессор, заведующий кафедрой информационных технологий в управлении Белорусского национального технического университета.
Information about the authors
Golikov V.F., D.Sci., professor, head of the department of information technologies in the management of Belarusian national technical university.
Ксеневич А.Ю., магистрант Белорусского национального технического университета.
Ksenevich A.Y., master student of Belarusian national technical university.
Адрес для корреспонденции
220114, Республика Беларусь, г. Минск, ул. Ф. Скорины, д. 25/3, Белорусский национальный технический университет тел. +375-33-649-45-74; e-mail: vgolikov@bntu.by Голиков Владимир Федорович
Address for correspondence
220114, Republic of Belarus, Minsk, F. Skaryna str., 25/3, Belarusian national technical university tel. +375-33-649-45-74; e-mail: vgolikov@bntu.by Golikov Vladimir Fedorovich
