УДК 519.872 DOI:10.31854/1813-324X-2021-7-4-119-127
Безопасная передача информации при помощи двух методов бесключевой криптографии
A.C. Герасимович1
!Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, Санкт-Петербург, 193232, Российская Федерация *Адрес для переписки: [email protected]
Информация о статье
Поступила в редакцию 06.12.2021 Поступила после рецензирования 21.12.2021 Принята к публикации 22.12.2021
Ссылка для цитирования: Герасимович А.С. Безопасная передача информации при помощи двух методов бесключевой криптографии // Труды учебных заведений связи. 2021. Т. 7. № 4. С. 119-127. DOI:10.31854/ 1813-324X-2021-7-4-119-127
Аннотация: В статье рассматриваются два протокола обеспечения информационной безопасности, использующие свойства каналов связи между пользователями. Первый из них основан на известном протоколе передачи конфиденциальных сообщений Шамира. Доказывается, что в нем может быть реализована криптосистема РША, но неприменимы такие криптосистемы, как Рабина, Мак-Элис, на решетках и потоковые шифры. Основное содержание статьи посвящено описанию второго протокола распределения ключей по постоянному и бесшумному каналу связи (типа Интернет). Доказано, что он может обеспечить высокую надежность распределения ключей и требуемый уровень их секретности в терминах Шенноновской информации, причем при отсутствии каких-либо дополнительных требований к каналам связи и безо всяких криптографических предположений.
Ключевые слова: криптосистемы с открытым ключом, распределение ключей, безопасность на физическом уровне, усиление секретности, квантовые компьютеры, протоколы.
1. Введение
Общеизвестно, что основным методом обеспечения информационной безопасности является стойкое шифрование сообщений. Это тем более верно сейчас, поскольку появились открытые стандарты шифрования [1, 2]: 3DES, AES, GOST, RSA и другие, которые, насколько можно судить по доступным литературным источникам, обеспечивают невозможность выделения зашифрованной информации без знания ключей дешифрования и в обозримом будущем. Однако, именно такие ключи, а также их распределение между пользователями, нуждаются в обмене конфиденциальной информацией, и оказываются «узким местом» современной криптографии.
Действительно, в современном «Цифровом Мире» такие ключи должны передаваться каким-то цифровым способом между пользователями по каналам связи, что требует их защиты от перехвата злоумышленниками. Казалось бы, такая проблема была уже решена ранее благодаря изобретению У. Диффи и М. Хеллмана [2], так называемых криптосистем с открытым ключом (КОК). Хотя более точно их можно было бы назвать криптосистемами
с открытыми ключами шифрования. В случае КОК, шифрование сообщений производится на общедоступных ключах, тогда как дешифрование выполняется на закрытых ключах; и их имеют только пользователи, которым принадлежит передаваемая конфиденциальная информация. Причем знание открытых ключей не облегчает нахождение закрытых ключей. Подобные условия обеспечиваются сложностью решения (в обозримое время) так называемых трудных математических задач. Например, таких, как факторизация целых чисел, вычисление дискретных логарифмов и так далее. Это условие называют обычно «криптографическими предположениями» (от англ. Cryptographic Assumptions).
Хотя изобретение КОК и явилось в свое время подлинной революцией в криптографии, но со временем выяснились его некоторые слабости, такие как:
- возможность простого полиномиального решения трудных задач при помощи квантовых компьютеров, которые в будущем времени возможно будут реализованы [3];
- необходимость иметь сертифицированный центр для накопления и передачи открытых ключей пользователям;
- достаточная сложность теоретико-числовых вычислений для выполнения процедур шифрования или дешифрования в системах КОК.
Для решения первой проблемы были предложены так называемые постквантовые криптосистемы, то есть такие, которые не могут быть взломаны даже при практическом появлении квантовых компьютеров. Такова, например, криптосистема Мак-Элис [1], которая, однако, требует большой длины ключа и высокой вычислительной сложности шифрования/дешифрования. Еще одним направлением возможного распределения ключей является использование квантовой криптографии [4], однако ее использование не всегда возможно, так как требует наличия специального квантового оборудования.
В последнее время развивается так же такое направление распределения ключей, или точнее обеспечения безопасности шифрования, как Keyless Cryptography, основанное на присутствии некоторых, обладающих определенными физическими свойствами, физических каналов связи (от англ. Physical Layer Security) [5]. Именно развитию этого направления и посвящена настоящая статья.
В разделе 2 исследуются алгоритмы, позволяющие обеспечить безопасность шифрования за счет использования каналов с обратной связью и, так называемых криптосистем коммутативного шифрования (КШ). В разделе 3 описывается метод распределения ключей, основанный на использовании постоянных бесшумных открытых каналов связи (типа Интернет) и концепции усиления секретности. Заключение подводит итог данной работе, и представляет возможные перспективы проведения исследований в данных направлениях в будущем.
2. Использование коммутативного
шифрования
В [6] был описан предложенный ранее Шамиром метод шифрования/дешифрования безо всякого предварительного распределения ключевых данных. Для его использования необходимо выполнение следующего требования для алгоритмов шифрования, которое можно условно назвать коммутативным шифрованием (КШ):
(Гкв(Ю) = füB (ГкЛМ))
(1)
где /кА(М),- алгоритмы (функции) шифрования сообщения М на ключах Ка, Кв, соответственно. В словесной формулировке требование (1) означает, что результат шифрования любого сообщения М не зависит от того, в каком порядке будут использованы ключи: сначала Кв, а потом Ка, или наоборот, сначала Ка, а потом Кв.
Действительно, при выполнении условия (1) передача зашифрованного сообщения М от корреспондента А к корреспонденту В с возможностью его расшифровки последним, причем при отсутствии всякого предварительного распределения общих ключей между А и В, доказывается представленным на рисунке 1 протоколом (при наличии у А и В каналов обратной связи).
A(Ka)
B(Kb)
Ca — fKA (M)
Св — fKB (Q )
3.
Ca — f.к}(Св)
(3)
Рис. 1. Протокол секретной передачи сообщений
Fig. 1. Secret Message Transfer Protocol
Так, Св = fKe(CA) = fKBifKA{M)), и тогда:
ci = fö (CB) = fä (fKB (Jka (M))}. (2)
При выполнении условия (1), получаем из (2): ck = Г-1(Гкв(/кА(м))} = = Г-1(ГкА(/кв№)} = fKB(M).
Поскольку по определению преобразований шифрования fKA(M) и дешифрования fi-^(M) на одном и том же ключе они дают исходное М', получаем в (3) действительно fKe(M). Наконец, В восстанавливает М, выполняя преобразование дешифрования /кЦ(/кв(М} = М. Заметим, что условие (1) требуется только для преобразования шифрования, но не для обоих преобразований - шифрования и дешифрования!
Однако возникает вопрос, существуют ли какие-то преобразования шифрования, удовлетворяющие (1)? Докажем далее, что примером алгоритма, соответствующего условию (1), может служить широко известная криптосистема Райвеста - Ша-мира - Адлемана (РША), описанная в [1, 7], а также в других источниках.
Как известно, для шифра РША выполняются следующие условия:
- n = p ■ q, где p?q простые числа; n - модуль;
- ф = (p - 1)(q - 1);
- 1 < eA < ф, 1 < eB ^ ф, где eA, eB - целые положительные числа, причем gcd(eAф) = 1, gcd(eB^) = 1, 1 < M < n - 1 целые числа.
Тогда, если А и В имеют одинаковые модули n, то условие (1) может быть представлено следующим образом:
(М6А mod п)ев mod п = (Мев mod n)6A mod п. (4)
2
Справедливость (4) следует из хорошо известных свойств модульных операций, однако поскольку в источниках [2] и [6] явно это равенство отсутствует, то имеет смысл доказать его ниже еще раз для убедительности.
Очевидно, что по определению модульных операций
МеА mod п = МеА - nl, (5)
где l - некоторое целое положительное число.
Подставляя (5) в левую часть (4), получим: (МвА mod п)ев mod п = (М6А - п1)ев mod п =
= (меА"ев - п * БН)'В mod п, (6)
где БН - бином Ньютона без первого члена из с вынесенным общим множителем п.
Далее по свойству модульных операций, получим из (6):
п * БН mod п = 0, (7)
тогда из (6) и (7) получим:
(МеА mod п)ев mod п = МеА*евmod п. (8)
Аналогично (8), легко показать, что для правой части (4) будет справедливо аналогичное равенство:
(Мев mod п)ел mod п = Мев*ЁАmod п. (9)
Совпадение (8) и (9) доказывает справедливость равенства (4).
Пример. Пусть p = 3, q = 5, M = 2, ел = 3, ев = 5. Тогда можно проверить, что обе части (4) равны 8.
Поскольку, как уже было сказано выше, данный алгоритм соответствует системе РША, то очевидно, что в этом случае алгоритм шифрования в (1) будет иметь вид:
Е = Ьлт (М) = M"A(B)mod п, (10)
а алгоритм дешифрования:
fK-1(B)(E)=EdA(B) mod п, (11)
где d = е-1 mod ф.
Стойкость данной криптосистемы будет определяться криптографическим предположением о невозможности факторизации модуля п для допустимого времени криптоанализа и допустимого объема оборудования; другим требованием для обеспечения защищенности такой криптосистемы является предположение о сложности вычисления дискретных логарифмов, поскольку иначе на втором шаге протокола криптоаналитик, зная Св, сможет вычислить ключ дешифрования d [1]. Поскольку система РША является «самодостаточной», то, казалось бы, описанный выше протокол и не потребуется, если конечно, на стадии шифрования известен открытый ключ еА(В) противоположного корреспондента. Это
может быть достигнуто или при помощи открытой передачи такого ключа по каналу связи от А к В или наоборот, или же от сертифицированного центра, который предварительно получает такие ключи и гарантируют их подлинность.
Некоторым преимуществом описанного выше протокола может служить факт, что корреспондент, шифрующий сообщение, может даже и не знать открытого корреспондента, которому оно предназначается, что не отменяет, конечно, необходимости аутентификации пользователей для исключения атаки имперсонализации.
В качестве еще одного претендента на выполнение условия (1), рассмотрим криптосистему Рабина [1]. В этом случае, в качестве открытого ключа выступает целое число п = р ■ ц, где р и ц - простые неизвестные числа, а в качестве секретного ключа используются именно эти числа. Шифрование выполняется по правилу:
C = M2mod п, (12)
где сообщение М - любое целое число в интервале 0 < М < п - 1.
Применительно к данному случаю условие (1) принимает следующий вид:
(M2mod n4)2mod пв = (M2mod nв)2mod пА. (13)
Легко проверить, что, по крайней мере, при некотором выборе параметров равенство (13) не выполняется. Действительно, если взять р = 3, ц = 5, что дает па = 15 и р = 11, ц = 7, а пв = 77, то при выборе сообщения М = 5 левая часть (13) оказывается равной 23, а правая - 10 и, следовательно, равенство (13) не выполняется. То есть криптосистема Рабина не годится для использования в протоколе, описанном на рисунке 1. Заметим, что доказательство равенства (4) «не проходит» из-за невозможности доказать равенство аналогичное (7).
В ряде работ последнего десятилетия, в частности в работе БИог [8], было показано, что некоторые трудные задачи (такие, например, как задача факторизации и дискретного логарифмирования) могут быть решены в полиноминальное время при использовании так называемых квантовых компьютеров. Хотя практическая реализация таких компьютеров все еще остается нерешенной проблемой [3], но не учитывать такой возможности, пусть и в далеком будущем, было бы недальновидным решением. Поэтому появились целые направления разработки так называемых постквантовых криптосистем. Такие алгоритмы гарантируют невозможность полиноминального решения трудных задач, на которых основаны эти криптосистемы, даже при практической реализации квантовых компьютеров.
К постквантовым относится, например, криптосистема Мак-Элис [1, 7]. Как следует из ее описания, ключом шифрования классической криптосистемы
Мак-Элис является матрица С = БвР, где 5 - несингулярная квадратная матрица кхк; в - порождающая матрица некоторого линейного двоичного кода; Р - перестановочная пхп матрица. Тогда преобразования шифрования сообщения М для пользователя А и В будут иметь вид, соответственно:
fKA(M) = MGA®ZA; fKB(M) = MG в Ф ZB,
(14)
(16)
Ьв (/^(М)} = М®у(КА)®у(Кв).
Однако использование в данном случае приведенного выше уравнения дает следующий протокол, показанный на рисунке 2.
А В
СА = М® у(КА)
1
где Ъа, Ъв - случайные двоичные векторы длиной п и заданного веса £ М - двоичная последовательность длиной к; ф - операция побитового сложения по mod2.
Поскольку процедура шифрования изменяет длину сообщения от к к п, то повторное шифрование с различными ключами вообще не имеет смысла. Однако даже, если пользователи предварительно согласуют свои открытые ключи так, чтобы у одного из них параметр к был бы заменен на п, а п - на п' > п, то левая и правая части выражения (1) примут вид:
Гка(ГКВ№) = (МСВ ® гв)сА ®гА =
= мсвеА®гвсА®гА, (15)
Гкв(ГкА(м)) = (меА®гА)е в ® ^в = = МСА
2.
св = Y Ш Ф СА = у(Кв) ФМФ у(КА)
Видно, что (15) и (16) не будут совпадать, хотя бы из-за несовпадения векторов Ъа и Ъв. Поэтому использование криптосистемы Мак-Элис в представленном виде оказывается невозможным.
Еще одним примером постквантовых криптосистем является криптосистема на решетках [9]. Можно также проверить, что и для таких криптосистем условие (1) не выполняется. Очевидно, что такое условие не выполняется и для симметричных блоковых криптосистем, таких, например, как ЗЭЕБ, СОБТ или ЛЕБ.
На первый взгляд кажется, что условие (1) может быть тривиально выполнено при использовании потоковых шифров [1, 7]. Действительно, пусть используется потоковый шифр с гаммированием, когда формирование криптограммы Е(М,К) задается следующим соотношением:
Е(М,К) = М®у(К), (17)
где М - произвольная двоичная последовательность; у(К) - двоичная последовательность (гамма), которая формируется как функция секретного ключа К при помощи его линейных и нелинейных преобразований; ф - поэлементное сложение по mod2.
Тогда для двух пользователей А и В, использующих ключи Ка и Кв, соответственно, выполнение условия (1) оказывается очевидным:
ГкА (Гкв (М))=м® у(Кв) ® у(КА), (18)
СА = Y (,КВ) ФМФ y (КА) Ф Y (КА) = Y(Kb) Ф М - -►
Рис. 2. Протокол секретной передачи сообщений для потокового шифра
Fig. 2. Secret Message Transfer Protocol for a Stream Cipher
Из рисунка 2 видно, что перехватчик, получая последовательности на третьем и втором этапах Y(KB) Ф М и y(KB)® МФ y(КА), может поэлементно сложить их по mod2, что дает у(КА), а далее -найти сообщения М после сложения по mod2 последовательности у(Ка) и последовательности, найденной им на первом этапе. Таким образом, использование потокового шифра для секретной передачи сообщений М при помощи приведенного ранее протокола также оказывается невозможным, что очевидно является следствием линейного сложения сообщения с гаммами. Заметим, что факт невозможности использования потоковых шифров в протоколе, показанном в рисунке 2, был установлен ранее в [6].
Наличие каналов обратной связи между пользователями позволяет выполнить секретное распределение между ними ключевых данных при дополнительных ограничениях на эти каналы. Так, в работе [10] предполагается, что, хотя данные каналы могут иметь или не иметь шума и быть доступными для перехвата, но они должны быть анонимными по отношению к обоим пользователям, то есть не позволять перехватчикам определить, кому принадлежат биты, наблюдаемые в каналах обмена от А к В, или наоборот. Такой сценарий рассмотрен в работе [10], где каждый из пользователей А и В генерирует случайные цепочки КА[1] .., Ка[2п], Кв[1], .., Кв[2п], которые открыто публикуются с сопровождением номера битов i = 1, 2, ..., 2n, но без описания принадлежности их к авторам А или В. По предварительному согласованию, пользователи А и В изымают из обращения совпадающие биты для каждого индекса i = 1, 2, ..., 2n, тогда как А выбирает в качестве совместного ключа Кав свои оставшиеся, упорядоченные по возрастанию i биты, причем В выбирает в качестве общего ключа К'ав его оставшиеся, но инвертированные биты, что обеспечивает равенство ключей Кав = К'ав. Основная проблема заключается именно в возможности обеспечения анонимности источника (А или В) для каждого бита. В той же работе [10] проводится несколько примеров создания
таких анонимных каналов. Одним из них оказывается использование «третьего лица», которое ретранслирует в широковещательную сеть биты ключей А и В, без указания пользователя, от которого был получен каждый бит.
3. Обмен ключами по постоянному, открытому
и бесшумному каналу связи (типа Интернет)
В фундаментальном обзоре [5] приводятся различные сценарии распределения ключей в рамках использования общего подхода к обеспечению информационной безопасности, названного авторами Physical Layer Security. Данный подход не отказывается полностью от использования криптографических методов, например, криптосистем с открытым ключом, хэш-функций, Вайнеровской концепции подслушивающего канала, открытого обсуждения [11] и т. п., но использует данные методы только в условиях естественной или даже искусственной рандомизации каналов связи.
Однако недостатком практических всех методов, представленных в настоящем обзоре, является не реализуемые на практике требования к каналам связи. Примерами таких нереальных ограничений могут служить ограничения на мощность шума в каналах перехвата или количества антенн у перехватчика при использовании технологии MIMO и т. п.
В последнее время появилось несколько публикаций [12, 13], в которых такие недоказуемые на практике требования отсутствуют. Эти методы предполагают достаточно сложную обработку сигналов. Цель же настоящей статьи состоит в том, что она показывает возможность решения задачи распределения ключей между двумя пользователями, опирающейся на «ключевую идею», что каждый пользователь обладает хотя бы частью секретов, недоступных перехватчику, но в то же время не использует какие-либо криптографические предположения.
Опишем далее протокол, предложенный недавно в работе [14], поскольку он пока не был опубликован в русскоязычных статьях. В отличие от протокола, описанного в [15], он реализуется при помощи двухшаговой процедуры обмена информацией по каналу связи, в то время как в [15] выполняется четырехшаговая процедура, требующая больших временных затрат. На рисунке 3 представлен такой протокол, где G и P - это nxn матрицы, генерируемые легальными пользователями А и В, также, как и матрицы Na, Nb искусственного шума. Элементы этих матриц представляют собой независимые гауссовские величины с нулевыми средними и заданными дисперсиями. Из рисунка 3 видно, что после взаимной передачи матриц по каналам связи, А и В вычисляют матрицы КА, Кв, соответственно, и затем находят «сырые ключи» КА,КВ, квантуя собственные числа соответствующих матриц, как EV(Ka), EV(Kb). В то же время, перехватчик
Е оптимально находит после квантования зашум-ленные биты ключа между А и В, как и показано на рисунке 3: ЕУ(КБ), где КЕ = (б + Ыа)(Р + Ын).
Моделирование протокола, представленного на рисунке 3, показывает, что расхождение бит ключей КА,КВ между легитимными пользователями оказывается даже больше, чем расхождение бит ключа между легитимными пользователями и перехватчиком Е. Для того, чтобы исправить такую ситуацию, был использован специальный протокол (Р1МС, называемый протоколом преимущественного улучшения основного канала). Суть протокола Р1МС состоит в том, что пользователь В повторяет каждый бит ключа 5-раз и посылает эти биты по каналу связи к А, в то время как А принимает 5-блоки тогда и только тогда, когда все они состоят из одинаковых бит (нулей или единиц). В противном случае А посылает В сигнал стирания этого блока.
КА
Ке
Рис. 3. Двухшаговый протокол, выполняемый по открытому и бесшумному каналу связи (типа Интернет)
Fig. 3. Two-Step Protocol Performedthrough an Open and Silent Communication Channel (Such as the Internet)
Для получения хорошей статистики бит ключа используется схема, показанная на рисунке 4, из которого видно, что В генерирует шумовые биты у, как биты ключа между А и В, используя физический генератор шума. Биты у складываются с битами ключа Кв, выделенными по правилу, показанному на рисунке 3.
Рис. 4. Схема генерирования и пересылки бит ключа от пользователя В к пользователю А
Fig. 4. Scheme for Generating and Sending Key Bits from User B to User A.
в
Далее А формирует свой ключ КА по правилу:
КА = КВ®У®% =
= ^©£лВ©^©У = У©£лВ,
(20)
где гАВ - битовый шум между КА, Кв.
В то же время перехватчик Е, зная схему, показанную на рисунке 4, формирует свои ключи по правилу:
КЕ=ТЕ 0у0 Тв = = ^0eM0Y® TB=y®EBE.
(21)
Р, =
Pf
Pi + (1
Pi)s'
(22)
где Р1 - вероятность ошибок (вероятность появления единицы) в образце шума еав .
Перехватчик Е принимает КЕ по (21) и контролирует сообщения от А к В о стирании бит. Тогда, как показано в [14], вероятность ошибок у Е относительно бит ключа у будет определяться соотношением:
Р'= I (!) (23)
. 5+1
где Ре - вероятность ошибок в векторе еве.
Поскольку в действительности ключевые потоки Ка и Ке имеют зависимые ошибки, то для уточнения дальнейших расчетов необходимо было провести их моделирование. В работе [14] было произведено моделирование протокола, показанного на рисунке 3, и Р1МС для различных параметров 5 и величин дисперсии а2 искусственного шума, с целью вычисления вероятности ошибок Рг и Ре. Наиболее предпочтительным оказался выбор размеров матриц 64x64. В таблице 1 приведены результаты такого моделирования.
Из таблицы 1 видно, что при некотором выборе параметров 5 и а2 вероятности ошибок в битах ключей для основного канала (Рг) и канала перехвата (Ре) значительно расходятся между собой после использования Р1МС протокола. Однако такое расхождение оказывается недостаточным, как для обеспечения надежного совпадения ключей в основном канале, так и для пренебрежимой утечки в канале перехвата. Поэтому целесообразно повысить надежность совпадения ключей Ка и Кв при помощи использования корректирующего кода, передавая проверочные биты такого кода по открытому каналу связи.
В качестве такого кода целесообразным оказалось выбрать линейный код с малой плотностью
проверок (LDPC-код), поскольку он, с одной стороны, приближается к «пределу Шеннона», а с другой стороны, обеспечивает реализуемый по сложности метод исправления ошибок [16, 17].
ТАБЛИЦА 1. Результаты моделирования вероятности ошибок Р, и Ре для различных параметров S и а2
TABLE 1. Simulation Results for Error Probabilities Pl and Pe with Various Parameters S и a2
В работе [14] показано, что после применения протокола Р1МС вероятность ошибок Р1 между ключами А и В, будет определяться соотношением:
\а2 S \ 0,1 0,2 0,3 0,4 Pl.Pe
1 0,0816 0,0851 0,0859 0,0963 р
0,0922 0,117 0,140 0,154 р
3 0,00362 0,00402 0,00407 0,00396 р
0,0185 0,0439 0,0673 0,0822 р
5 0,000193 0,000294 0,000258 0,000226 р
0,00875 0,0314 0,053 0,0699 р
7 1,44 • 10-5 3 • 10-5 1,79 • 10-5 1,68 • 10-5 р
0,00529 0,0256 0,0455 0,059 р
Что же касается требования уменьшения утечки информации по каналу перехвата, то для этого целесообразно использовать процедуру, называемую усилением секретности. Она подробно описана в работе [18] и заключается в применении хэширования при помощи хэш-функций, выбранных из универсальное класса и последующего «выкалывания» некоторых элементов. В работе [18] была выведена граница для количества Шенноновской информации, утекающей к перехватчику после такой процедуры (с учетом передачи проверочных бит по
каналу связи). Эта граница имеет следующий вид: / < 2-р;—, (24)
а 1п2
где к - длина цепочки бит ключа, разделенного между пользователями А и В после выполнения протокола Р1МС; 1о - фактическая длина ключа после выполнения процедуры усиления секретности; Ъ - информация Реньи (или коллизионная информация), полученная по каналу перехватчика с вероятностью ошибки Ре; г - количество проверочных бит LDPC кода, передаваемых между легальными пользователями по открытому каналу связи; а -коэффициент, приближающиеся к 0,42 при больших к, к - г.
В работе [14] были выбраны следующие первичные параметры протокола, обеспечивающие его требуемые свойства п = 64, а2 = 0,4, S = 5, что позволило получить следующие вероятности ошибок для основного канала и для канала перехвата Р1 = 0,0002, Ре = 0,0699. (см. таблицу 1). В этой же работе, путем расчетов и моделирования был выбран ЬЭРС код с параметрами: к = 24039, г = 961, который обеспечивает основную длину ключа 1о = 3659 бит, а также вероятность блоковой ошибки после декодирования Рей = 2,5 • 10-3 и утечку информации к перехватчику I = 9 • 10-4 бита.
При выборе других параметров LDPC кода к = 50001, г = 1999 можно получить финальную длину ключа 1о = 7624, Ped = 8 • 10-4 и I = 1,4 • 10-3 бита.
В работе [14] была выведена формула для объема трафика (Тг), требуемого для данного протокола выработки совместного ключа и представленного на рисунке 1 с учетом дополнительного выполнения протокола Р1МС:
Тг = 2,66 • 10-
Skn
((1-P;)S+P;S)2
(25)
Расчет объема трафика по этой формуле при выборе LDPC кода с параметрами к = 24039, г = 961 дает величину 32 МБ, что является приемлемым для практики.
Как уже отмечалось ранее, для выработки чисто случайной двоичной последовательности у, показанной на рисунке 4, рекомендуется использовать аппаратно реализованный генератор. В качестве такого генератора предложено использовать генератор Crypton USB-DRN, производимый фирмой «Анкад» [19]. На рисунке 5 показан внешний вид этого генератора, выполненного в размерах памяти.
Рис. 5. Вид генератора Crypton USB-DRN фирмы «Анкад»
Fig. 5. View of the Crypton USB-DRN Generator by "Ankad"
В работе [14] было произведено дополнительное тестирование статистических свойств этого генератора при помощи NIST тестов, которые показали его близость к чисто случайный (и непредсказуемой) двоичной последовательности.
Представленный выше протокол распределения ключевых данных между пользователями требует, как и любой другой протокол распределения ключей, обеспечения аутентификации легитимных
пользователей. В противном случае активный перехватчик Е может, используя такой же протокол, навязать легитимным пользователям общие с ними ключи. Для воспрепятствования таким возможным действиям перехватчика, можно использовать различные методы аутентификации, начиная с простых, когда подлинность пользователя, выполняющего протокол, подтверждается его известным голосовым сообщением, переданным по дополнительному телефонному каналу [6] или такими более надежными методами, как протокол Нидхама - Шредера [20] или при помощи процедуры «спаривания» устройств, когда возможно их предварительное физическое взаимодействие [21].
4. Заключение
В настоящей работе были исследованы некоторые методы обеспечения информационной безопасности при помощи такого, появившегося сравнительно недавно, направления, как бесключевая криптография. Доказано, что один из таких методов обеспечивает возможность передачи зашифрованных криптосистем РША информации без предварительного распределения как закрытых, так и открытых ключей. С другой стороны, показано, что при использовании таких криптосистем с открытым ключом как Рабина, Мак-Элис, а также потокового шифра, получить такой же результат оказывается невозможным. Подробно описан и исследован протокол распределения ключей для его выполнения в общедоступных и бесшумных каналах с постоянными параметрами (типа Интернет). В отличие от похожего протокола, описанного в [15], он требует меньшего объем трафика, выполняемого по каналам связи. Для обеспечения хорошей статистики ключевых данных было предложено использовать аппаратный датчик случайных чисел и схему выработки сырого ключа, показанную на рисунке 4.
В дальнейшем перспективным может оказаться переход от передачи матриц по каналам связи к обмену обычными случайными числами, что обеспечит значительное уменьшение объема трафика для такого обмена. Однако такая модернизация требует проведения дальнейших углубленных исследований.
БЛАГОДАРНОСТЬ
Автор выражает благодарность профессору Коржику В.И. за помощь при подготовке и обсуждении работы.
Список используемых источников
1. Коржик В.И., Яковлев В.А. Основы криптографии. СПб: Интермедия, 2016. 312 с.
2. Diffie W., Hellman M. New directions in cryptography // IEEE Transactions on Information Theory. 1976. Vol. 22. Iss. 6. PP. 644-654. D01:10.1109/TIT. 1976.1055638
3. Dyakonov M.I. Is Fault-Tolerant Quantum Computation Really Possible? // In Luryi S., Xu J., Zaslavsky A. Future Trends in Microelectronics. John Wiley & Sons, 2007. PP. 4-18.
4. Bennett C.H., Bessette F., Brassard G., Salvail L., Smolin J. Experimental Quantum Cryptography // Journal of Cryptology. 1992. Vol. 5. PP. 3-28.
5. Mukherjee A., Fakoorian S.A.A., Huang J., Swindlehurst A.L. Principles of Physical Layer Security in Multiuser Wireless Networks: A Survey // IEEE Communications Surveys & Tutorials. 2014. Vol. 16. Iss. 3. PP. 1550-1573. D0I:10.1109/SURV. 2014.012314.00178
6
6. Schneier B. Applied Cryptography. Montreal: JW Publ. Inc., 1994.
7. Menezes A.J., van Oorschot P.C., Vanstone S.A. Handbook of Applied Cryptography. Boca Raton: CRC Press, 1997. D01:10.1201/9780429466335
8. Shor P.W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer // Proceedings of the 35th Annual Symposium on Foundations of Computer Science (Santa Fe, USA, 20-22 November 1994). IEEE Computer Society Press, 1994. PP. 124-134.
9. Goldreich 0., Goldwasser S., Halevi S. Public-key cryptography from lattice reduction problems // Proceedings of the 17th Annual International Cryptology Conference (Santa Barbara, USA, 17-21 August 1997). Lecture Notes in Computer Science. Vol. 1291. Berlin, Heidelberg: Springer, 1997. PP. 112-131. D0I:10.1007/BFb0052231
10. Alpern B., Schneider F.B. Key exchange using 'keyless cryptography' // Information Processing Letters. 1983. Vol. 16. Iss. 2. PP. 79-81. D0I:10.1016/0020-0190(83)90029-7
11. Maurer U.M. Secrete key agreement by public discussion from common information // IEEE Transactions on Information Theory. 1993. Vol. 39. Iss. 3. PP. 733-742. D0I:10.1109/18.256484
12. Yakovlev V., Korzhik V., Morales-Luna G. Key Distribution Protocols Based on Noisy Channels in Presence of an Active Adversary: Conventional and New Versions with Parameter 0ptimization // IEEE Transactions on Information Theory. 2008. Vol. 54. Iss. 6. PP. 2535-2549. D0I:10.1109/TIT.2008.921689
13. Korzhik V., Starostin V., Kabardov M., Gerasimovich A., Yakovlev V., Zhuvikin A. Protocol of key distribution over public noiseless channels executing without cryptographic assumptions // International Journal of Computer Science and Application. 2020. Vol. 17. Iss. 1. PP. 1-14.
14. Korzhik V., Starostin V., Kabardov M., Gerasimovich A., Yakovlev V., Zhuvikin A. 0ptimization of the Key Sharing Protocol for Noiseless Public Channels without the Use of Cryptographic Assumptions // Proceedings of the 44th International Convention on Information, Communication and Electronic Technology (MIPRO, Opatija, Croatia, 27 September-1 October 2021). IEEE, 2021. PP. 1202-1207. D0I:10.23919/MIPR052101.2021.9596703
15. Korzhik V.I., Starostin V.S., Kabardov M.M., Gerasimovich A.M., Yakovlev V.A., Zhuvikin A.G. Information theoretically secure key sharing protocol executing with constant noiseless public channels // Matematicheskie Voprosy Kriptografii. 2021. Vol. 12. Iss. 3. PP. 125-141. D0I:10.4213/mvk378
16. MacKay D.J.C., Neal R.M. Near Shannon Limit Performance of Low Density Parity Check Codes // Electronics Letters. 1997. Vol. 33. Iss. 18. PP. 457-458.
17. Fossorier M. P.C., Mihaljevic M., Imai H. Reduced complexity iterative decoding of low density parity check codes based on belief propagation // IEEE Transactions on Communications 1999. Vol. 47. Iss. 5. PP. 673-680. D0I:10.1109/26.768759
18. Korjik V., Morales-Luna G., Balakirsky V.B. Privacy Amplfication Theorem for Noisy Main Channel // Proceedings of the 4th International Conference on Information Security (ISC 2001, Malaga, Spain, 1-3 0ctober 2001). Lecture Notes in Computer Science. Vol. 2200. Berlin, Heidelberg: Springer, 2001. PP. 18-26. D0I:10.1007/3-540-45439-X_2
19. Подорожный И.В. Обзор аппаратных генераторов случайных чисел // Молодой ученый. 2015. № 1(105). URL: http://moluch.ru/archive/105/24688 (дата обращения 24.06.2020)
20. Needham R.M., Schroeder M.D. Using encryption for authentication in large network of computers // Communications of the ACM. 1978. Vol. 21. Iss. 12. PP. 993-999. D0I:10.1145/359657.359659
21. Jin R., Shi L., Zeng K., Pande A., Mohapatra P. MagPairing: Pairing Smartphones in Close Proximity Using Magnetometer //
IEEE Transactions on Information Forensics and Security. 2016. Vol. 11. Iss. 6. PP. 1306-1320. D0I:10.1109/TIFS.2015.2505626
* * *
Secure Information Transfer Using Two Keyless
Cryptography Methods
A. Gerasimovich1
1rrhe Bonch-Bruevich Saint-Petersburg State University of Telecommunications, St. Petersburg, 193232, Russian Federation
Article info
D0I:10.31854/1813-324X-2021-7-4-119-127 Received 6th December 2021 Revised 21st December 2021 Accepted 22th December 2021
For citation: Gerasimovich A. Secure Information Transfer Using Two Keyless Cryptography Methods. Proc. of Telecom. Universities. 2021;7(4):119-127. (in Russ.) D0I:10.31854/1813-324X-2021-7-4-119-127
Abstract: In the current paper, some methods of information security protocols based on physical layer security are considered. It is proved that well known Shamir's protocol can be applied to RSA cryptosystem but not to Rabin, MacEllice and trellis based cryptosystems.
The main stream of this paper is a description of key sharing protocol on constant public and noiseless channels (like Internet). It is shown that it is able to provide a high reliability and control of security in terms of Shannon's information providing nothing-additional requirements to communication channels and without any cryptographic assumptions.
Keywords: public key cryptosystem, key distribution, Shannon's information, privacy amplification, physical layer security quantum computers.
References
1. Korzhik V.I., Yakovlev V.A. Fundamentals of Cryptography. St. Petersburg: Intermediia Publ.; 2016. 312 p. (in Russ.)
2. Diffie W., Hellman M. New directions in cryptography. IEEE Transactions on Information Theory. 1976;22(6):644-654. D01:10.1109/TIT.1976.1055638
3. Dyakonov M.I. Is Fault-Tolerant Quantum Computation Really Possible? In Luryi S., Xu J., Zaslavsky A. Future Trends in Microelectronics. John Wiley & Sons; 2007. p.4-18.
4. Bennett C.H., Bessette F., Brassard G., Salvail L., Smolin J. Experimental Quantum Cryptography. Journal of Cryptology. 1992;5:3-28
5. Mukherjee A., Fakoorian S.A.A., Huang J., Swindlehurst A.L. Principles of Physical Layer Security in Multiuser Wireless Networks: A Survey. IEEE Communications Surveys & Tutorials. 2014;16(3):1550-1573. D0I:10.1109/SURV.2014.012314.00178
6. Schneier B. Applied Cryptography. Montreal: JW Publ. Inc.; 1994
7. Menezes A.J., van Oorschot P.C., Vanstone S.A. Handbook of Applied Cryptography. Boca Raton: CRC Press; 1997. D0I:10.1201/9780429466335
8. Shor P.W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. Proceedings of the 35th Annual Symposium on Foundations of Computer Science, 20-22 November 1994, Santa Fe, USA. IEEE Computer Society Press; 1994. p.124-134.
9. Goldreich 0., Goldwasser S., Halevi S. Public-key cryptography from lattice reduction problems. Proceedings of the 17th Annual International Cryptology Conference, 17-21 August 1997, Santa Barbara, USA. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer, 1997. vol.1291. p.112-131. DOI:10.1007/BFb0052231
10. Alpern B., Schneider F.B. Key exchange using 'keyless cryptography'. Information Processing Letters. 1983;16(2):79-81. D0I:10.1016/0020-0190(83)90029-7
11. Maurer U.M. Secrete key agreement by public discussion from common information. IEEE Transactions on Information Theory. 1993;39(3):733-742. D0I:10.1109/18.256484
12. Yakovlev V., Korzhik V., Morales-Luna G. Key Distribution Protocols Based on Noisy Channels in Presence of an Active Adversary: Conventional and New Versions with Parameter Optimization. IEEE Transactions on Information Theory. 2008;54(6):2535-2549. D0I:10.1109/TIT.2008.921689
13. Korzhik V., Starostin V., Kabardov M., Gerasimovich A., Yakovlev V., Zhuvikin A. Protocol of key distribution over public noiseless channels executing without cryptographic assumptions. International Journal of Computer Science and Application. 2020;17(1):1-14.
14. Korzhik V., Starostin V., Kabardov M., Gerasimovich A., Yakovlev V., Zhuvikin A. 0ptimization of the Key Sharing Protocol for Noiseless Public Channels without the Use of Cryptographic Assumptions. Proceedings of the 44th International Convention on Information, Communication and Electronic Technology, MIPRO, 27 September-1 October 2021, Opatija, Croatia. IEEE; 2021. p.1202-1207. D0I:10.23919/MIPR052101.2021.9596703
15. Korzhik V.I., Starostin V.S., Kabardov M.M., Gerasimovich A.M., Yakovlev V.A., Zhuvikin A.G. Information theoretically secure key sharing protocol executing with constant noiseless public channels. Matematicheskie Voprosy Kriptografii. 2021;12(3):125-141. D0I:10.4213/mvk378
16. MacKay D.J.C., Neal R.M. Near Shannon Limit Performance of Low Density Parity Check Codes. Electronics Letters. 1997;33(18):457-458.
17. Fossorier M. P.C., Mihaljevic M., Imai H. Reduced complexity iterative decoding of low density parity check codes based on belief propagation. IEEE Transactions on Communications. 1999;47(5):673-680. D0I:10.1109/26.768759
18. Korjik V., Morales-Luna G., Balakirsky V.B. Privacy Amplfication Theorem for Noisy Main Channel. Proceedings of the 4th International Conference on Information Security, ISC 2001, 1-3 October 2001, Malaga, Spain. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer; 2001. vol.2200. p.18-26. DOI:10.1007/3-540-45439-X_2
19. Podorozhnyi I. V. 0verview of Hardware Random Number Generators. Molodoy uchenyi. 2015;1(105). Available from: http://moluch.ru/archive/105/24688 [Accessed 24th June 2020] (In Rus.)
20. Needham R.M., Schroeder M.D. Using encryption for authentication in large network of computers. Communications of the ACM. 1978;21(12):993-999. D0I:10.1145/359657.359659
21. Jin R., Shi L., Zeng K., Pande A., Mohapatra P. MagPairing: Pairing Smartphones in Close Proximity Using Magnetometer // IEEE Transactions on Information Forensics and Security. 2016. Vol. 11. Iss. 6. PP. 1306-1320. D0I:10.1109/TIFS.2015.2505626
ГЕРАСИМОВИЧ Александр Сергеевич
Сведения об авторе:
аспирант кафедры защищенных систем связи Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича, Л1ехдега93 @дшаН.сош
https://orcid.org/0000-0002-9174-531X