Научная статья на тему 'Автоматизированные средства анализа протоколов'

Автоматизированные средства анализа протоколов Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
341
78
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Черемушкин Александр Васильевич

report contains an overview of modern protocol verification tools.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Protocol verification tools

report contains an overview of modern protocol verification tools.

Текст научной работы на тему «Автоматизированные средства анализа протоколов»

Выводы

1) Последовательность выходных функций генератора гаммы, построенного на основе полноцикловой подстановки множества состояний Vn, имеет высокую линейную сложность Л, а именно 2n-1 + 1 ^ Л ^ 2n.

2) Для порядка множества мономов на периоде последовательности выходных функций генератора верны оценки: 2n-1 ^ |M(f(H))| ^ 2n — 1. При n ^ ж и при случайном равновероятном выборе функции переходов h из класса всех полноцикловых подстановок множества Vn математическое ожидание величины |M(f (H)) |/(2n — 1) стремится к 1.

3) Сложность Tn определения начального состояния методом формального кодирования оценивается как TL(2n-1) < Tn < TL(2n), где TL(m) — сложность решения над GF(2) системы линейных уравнений размера m х m.

ЛИТЕРАТУРА

1. Фомичёв В. М. Дискретная математика и криптология. М.: ДИАЛОГ-МИФИ, 2003.

2. Shamir A., Patarin J., Courtois N., and Klimov A. Efficient Algorithms for solving Overdefined

Systems of Multivariate Polynomial Equations // Eurocrypt’2000. Springer. LNCS. 2001.

V. 1807.

УДК 65.012.810(075.8)

АВТОМАТИЗИРОВАННЫЕ СРЕДСТВА АНАЛИЗА ПРОТОКОЛОВ1

А. В. Черемушкин

Приведем примеры средств автоматизированного анализа криптографических протоколов, которые в настоящее время можно отнести к наиболее эффективным, и рассмотрим математические аспекты работы этих систем. Подчеркнем, что данные средства позволяют не только проверять заданные свойства протоколов, но и находить конкретные атаки на протоколы в случае, когда эти свойства не выполнены. Поскольку информация о конкретных механизмах работы этих систем не всегда доступна, то при их оценке будем опираться только на те сведения, которые опубликованы в печати. AVISPA

Программный продукт AVISPA появился в начале осени 2005 года. Разработка данного средства проводилась в рамках единого европейского проекта, в котором участвовали LORIA-INRIA (Франция), ETH Цюрих (Швейцария), университет г. Генуя (Италия), Siemens AG (Германия).

Архитектура AVISPA допускает анализ протокола одним из четырех выходных модулей (TA4SP, SATMC, OFMC, CL-AtSe). Спецификация протокола, основанная на ролевом представлении, записывается на языке высокого уровня HLPSL, а затем транслируется во внутренний язык IF. Проверяемые свойства записываются в терминах темпоральной логики. Модуль TA4SP реализует технику, основанную на построении древовидных автоматов и развитую для систем автоматического доказательства. Строится верхняя аппроксимация древовидного автомата, реализующего систему переписывания термов, которая описывает максимальные знания нарушителя. Исследование свойства конфиденциальности теперь сводится к проверке наличия в этом множестве терма, содержащего секрет. Модули SATMC, OFMC, CL-AtSe осуществляют верификацию методом проверки на модели (model checking). Протокол представля-

хРабота выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.

ется как бесконечная система переходов, а задача верификации сводится к проверке выполнимости формулы, решения которой соответствуют атакам на протокол. Для сведения к конечному случаю применяются разные подходы. В модуле SATMC используются методы, разработанные в рамках теории решения задач планирования, в модуле OFMC — символический метод, позволяющий группировать различные состояния в бесконечные классы, а в CL-AtSe — применяется техника, основанная на построении ограничений.

С помощью AVISPA проанализировано большинство протоколов, встречающихся в документах IETF. Полная информация о разработке и публикациях, лежащих в его основе, а также исполняемый программный код этого средства вместе с удобной графической оболочкой SPAN доступны на интернет-сайте http://www.avispa-project.org.

Scyther

Создан в ETH (Цюрих). Верифицирует ограниченное и неограниченное число сеансов протокола. Использует символический анализ в сочетании с обратным поиском, основанный на частично упорядоченных шаблонах. Scyther не требует задания сценария атаки. Он требует только задания параметров, ограничивающих либо максимальное число запусков, либо пространства перебираемых траекторий. В первом случае всегда дает результат и показывает найденные траектории атаки. Во втором случае завершение не гарантировано. В качестве ответа возможна одна из трех ситуаций: установлено, что проверяемое свойство выполнено; свойство не выполнено, так как найдена атака; свойство может быть корректно для заданного пространства траекторий.

HERMES

Разработан лабораторией VERIMAG из IMAG (Франция) в рамках объединенного проекта EVA и PROUVE. Использует язык LaEva верхнего уровня для задания спецификаций протоколов и их свойств, аналогичный языку HLPSL. Затем этот язык транслируется во внутреннее представление на языке cpl, которое является общим языком для нескольких продуктов, таких, как Securify, Cpv и HERMES.

Позволяет проверять свойства протокола при неограниченной длине сообщения и неограниченном числе участников. Дает на выходе условия на исходные знания противника, которые гарантируют, что он не сможет узнать секрета. HERMES не оценивает знания нарушителя, а исследует множество безопасных сообщений. Для аппроксимации бесконечного множества сообщений используется символическое представление, основанное на шаблонах. Если в результате найдена атака, то предоставляет траекторию атаки. В случае, когда в результате получается ответ, что свойство доказано, выдает также дерево полного доказательства, что бывает полезным при сертификации протокола. Доступен в интерактивном онлайновом режиме на сайте http://www.rverimag.imag.fr/~async/hermes/.

ProVerif

Разработан в рамках проекта, финасируемого INRIA (Франция). Анализирует неограниченное число сеансов протокола с использованием верхней аппроксимации и представления протокола с помощью хорновских выражений. ProVerif предлагает два типа входных файлов: хорновские выражения и подмножество Pi-исчисления. При использовании Pi-исчисления ProVerif основывается на описании множества процессов, каждый из которых может выполняться неограниченное число раз. На выходе возможны четыре ситуации: свойство не выполнено; доказано, что свойство выполнено; свойство не может быть доказано, так как есть пример атаки (могут быть найдены ложные атаки); работа не завершается. ProVerif корректно моделирует множество тра-

екторий, соответствующих определенному сценарию, и осуществляет полный перебор возможных траекторий. Исходный код доступен по адресу http://www.proverif.ens.fr/.

УДК 519.725

ОБОБЩЕННЫЕ АВТОМОРФИЗМЫ КОДА РИДА-МАЛЛЕРА И КРИПТОСИСТЕМА МАК-ЭЛИСА-СИДЕЛЬНИКОВА

И. В. Чижов

Криптосистема Мак-Элиса-Сидельникова относится к классу кодовых криптосистем с открытым ключом. Криптосистема была предложена В. М. Сидельниковым в работе [1].

Кратко опишем устройство криптосистемы Мак-Элиса-Сидельникова. Пусть Я — (к х п)-порождающая матрица кода Рида-Маллера ЯМ (г, т). Секретным ключом криптосистемы является кортеж (Н^ Н2,..., Ни, Г). Здесь Н1, Н2,... , Ни — невырожденные к х к-матрицы над полем Р2 = {0,1}, которые выбираются случайно и равновероятно из множества ОЬк (Р2) всех двоичных невырожденных к х к-матриц над полем Р2. Матрица Г — перестановочная (и • п х и • п)-матрица.

Открытым ключом криптосистемы Мак-Элиса-Сидельникова является матрица С = (Н1ЯЦН2ЯЦ ... ||НиЯ) • Г, где символом || обозначена конкатенация матриц по столбцам. Алгоритмы шифрования и расшифрования подробно описаны в [1].

Два секретных ключа (Н1, Н2,... , Ни, Г) и (Н1, Н2,... , Н'и, Г') назовем эквивалентными, если соответствующие им открытые ключи совпадают, то есть выполняется соотношение (Н1Я|Н2Я| ... ||НиЯ) • Г = (Н1 Я||Н2Я|| ... ||Н'Я) • Г'.

Рассмотрим множество $(Н1, Н2,... , Ни), состоящее из перестановок Г Е £ип, для которых существуют невырожденные двоичные матрицы Н1, Н2,..., Н', такие, что (Н1Я|Н2Я| ... ||НиЯ)Г = (Н1 Я|Н2Я|| ... ||Н'Я). В работе такие множества называются множествами обобщенных автоморфизмов кода Рида-Маллера. Отметим, что эти множества, в отличие от множества обычных автоморфизмов, не всегда являются группами.

Вопрос изучения эквивалентных секретных ключей, а значит, и вопрос изучения множества открытых ключей, сводится к изучению множеств $(Н1, . . . , Ни), то есть обобщенных автоморфизмов.

Обобщенные автоморфизмы и структура множества открытых ключей могут оказаться полезными для криптоанализа криптосистемы Мак-Элиса-Сидельникова. Так, знание некоторой структуры группы автоморфизмов обощенных кодов Рида-Соломона позволило В. М. Сидельникову и С. О. Шестакову [2] произвести взлом криптосистемы Мак-Элиса на основе этих кодов.

Перейдем к описанию множеств обобщенных автоморфизмов.

В случае произвольного и справедлива следующая теорема.

Теорема 1. Пусть для невырожденных матриц Д1, Е2,... , Еи существуют такие перестановки РД1 ^ г ^ п) из $п, что Д1Я = Я • Р1, Е2Я = Я • Р2,... , ЕиЯ = Я • Ри. Обозначим через Р1[1],Р2[2],.. .,Ри[и] перестановки из Аи(ЯМ(г,т)), соответствующие перестановкам Р1, Р2 . . . , Р . И пусть Н — любая невырожденная матрица.

Тогда $ (Е, ...,Е) = Р1[1] • Рг[2] ... Ри [и] • $ (НЯЬ... , НЕи).

Описание множества $(Е,... , Е) получено Г. А. Карпуниным [3].

Рассмотрим теперь случай и = 2.

i Надоели баннеры? Вы всегда можете отключить рекламу.