CC BY
82
7. Alshwede R., Cai N., Li S.-Y. R., Yeung R.W. Network information flow // IEEE Trans. Inf. Theory. - 2000. - Vol. 46. - P. 1204-1216.
8. Koetter R., Kschischang F.R. Coding for errors and erasures in random network coding // IEEE Trans. Inf. Theory. - 2008 - Vol. IT-54, № 8. - P. 3579-3591.
9. Li S.-Y. R., Yeung R. W., Cai N. Linear network coding // IEEE Trans. Inf. Theory. - 2003.
- Vol. 49. - P. 371-381.
10. Diffie W., Hellman M.E. New Directions in Cryptography // IEEE Trans. Inf. Theory. - 1976.
- Vol. IT-22, № 6. - P. 644-654.
11. McEliece R.J. A Public Key Cryptosystem Based o Algebraic Coding Theory // JPL DSN Progress Rep. - 1978. - Vol. 42-44. - P. 114-116.
Статью рекомендовал к опубликованию к.т.н., доцент Н.С. Могилевская.
Михайлова Екатерина Александровна - Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный университет»; e-mail: mikhailovaekaterina@yandex.ru; 344000, г. Ростов-на-Дону, ул. Красноармейская, 196, кв. 8; тел.: 89185879710; кафедра алгебры и дискретной математики; аспирантка.
Mikhailova Ekaterina Aleksandrovna - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: mikhailovaekaterina@yandex.ru; 196, Krasnoarmejskaya street, fl. 8, Rostov-on-Don, 344000, Russia; phone: +79185879710; the department of algebra and discrete mathematics; postgraduate student.
УДК 519.72
В.О. Осипян, Ю.А. Карпенко, А.С. Жук, А.Х. Арутюнян
ДИОФАНТОВЫ ТРУДНОСТИ АТАК НА НЕСТАНДАРТНЫЕ РЮКЗАЧНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Развитие ассиметричной криптографии началось с появления первой рюкзачной системы защиты информации, когда в 1976 году Ральф Меркель и Мартин Хеллман предложили использовать разные ключи для прямого и обратного преобразования данных при шифровании. На данный момент эта модель, как и многие, основанные на ней были скомпрометированы. Как следствие, авторитет рюкзачных систем занижен. Тем не менее, некоторые из них, до сих пор считаются стойкими, например, модель, предложенная в 1988 году Беном Шором и Рональдом Ривестом. В данной работе сформулирована и решена задача аргументации криптографической стойкости нестандартных рюкзачных систем защиты информации, которые допускают повторное использование элементов рюкзака. Обоснованы диофантовы трудности, возникающие при поиске уязвимостей в указанных системах защиты информации. На основе анализа ранее предложенных рюкзачных моделей выявлены качественные особенности нестандартных рюкзачных систем, повышающие их стойкость к известным атакам.
Рюкзачные системы защиты информации; стойкость алгоритма; криптографическая атака, диофантовы трудности; рюкзачный алгоритм; рюкзачный вектор; исходное сообщение; открытый текст; ключ; шифртекст.
V.O. Osipyan, Yu.A. Karpenko, A.S. Zhuck, A.H. Arutyunyan
DIOPHANTINE DIFFICULTIES OF ATTACKS ON NON-STANDARD KNAPSACKS INFORMATION SECURITY SYSTEMS
Development of the asymmetric cryptography started with the appearance of the first knapsack information protection system, when, in 1976, Ralph Merkel and Martin Hellman proposed to use different keys for forward and reverse mapping data for encryption. Now this model, like many based on are considered to be insecure. As a result the authority of knapsack systems was low.
2Q9
However, some of these systems are still considered persistent, for example, the model proposed in 1988 by Ben Shore and Ronald Rivest. In the article stated and solved the problem of argumentation of cryptographic strength of the non-standard knapsack information security systems. Justified diophantine difficulties that arise in the study of vulnerabilities of the investigated information security systems. Revealed the qualitative features of non-standard knapsack systems that increase their resistance to known attacks.
Knapsack information security system; resistance of algorithm; cryptographic attack; dio-phantine difficulties; knapsack algorithm; knapsack vector; original message; plain text; key; ciphertext.
Введение. С точки зрения теоретических основ информационной безопасности и разработки эффективных систем защиты информации следует обратить особое внимание на то, что трудно разрешимые математические проблемы могут быть основой для систем сокрытия и защиты информации с требуемыми свойствами, а решения этих задач соответствуют ключам этих систем [1]. В то же время выбор проблемы позволяет получить систему защиты информации требуемого уровня надежности. В частности, согласно К. Шеннону [2], если этот выбор связан с проблемой, содержащей диофантовы трудности, или в целом, относится к классу -полных проблем.
Традиционно, в основе всех стандартных рюкзачных систем защиты информации (РСЗИ) лежит NP-полная задача об укладке рюкзака или ранца Ks. На сегодняшний день предложены и модели РСЗИ на основе задачи о нестандартном рюкзаке К N [3], для которого допустимо повторения элементов рюкзака. Наиболее общей из них является модель на основе обобщенно рюкзака. Так же предложены и исследованы [4] модели и на основе задач о универсальном и функциональном рюкзаках соответственно.
Задача К s (о стандартном рюкзаке).
Дан рюкзачный вектор А = (а1,.. .,ап) с натуральными компонентами ai , i = 1 , п. По заданному входу РЕМ определить такой набор индексов J с 1,п, для которого имеет место равенство:
Первые из таких систем были описаны еще в 1978 году Р. Мерклем и М. Хеллманом [5]. Ими была предложена идея линейного преобразования рюкзака посредством сильного модульного умножения. Позднее в протоколе Шора-Ривеста
[6], в отличие от протокола Меркеля-Хеллмана, рюкзак представлял собой набор логарифмов в мультипликативной группе поля и обладал повышенной плотностью по сравнению с рюкзаком Меркля-Хеллмана.
Приведем постановки задач о нестандартных рюкзаках.
Задача Кс (об обощенном рюкзаке).
Дан рюкзачный вектор А = (а1,...,ап) с натуральными компонентами а0 І = 1, п, а также р Е И - ограничение на количество повторений любой из компонент вектора А. По заданному входу V Е И необходимо найти такой набор коэффициентов повторений х = (х±,..., хп), для которого имеет место равенство:
1 = 1, П
В отличие от классической задачи К 5, где ї-ьш предмет либо кладется в рюкзак, либо нет, в данной задаче - можно класть в рюкзак несколько экземпляров ї-го предмета.
(1)
(2)
Задача К ц (об универсальном рюкзаке).
Дан рюкзачный вектор А = (а1,..., ап) с натуральными компонентами аІ, а также ограничения на количество повторений т = (т 1,.. .,тп), то есть число вхождений компоненты не превосходит . По заданному входу и
ограничениям определить такой допустимый набор коэффициентов повторений х = (х-і_,..., хп), для которого имеет место равенство (2).
Задача К р (о функциональном рюкзаке).
Дан функциональный рюкзачный вектор А = {а1 (х) ,.. .,ап (х) ) с компонентами аІ (х) , І = 1 , п, являющимися целочисленными функциями от переменной
. Даны также - целочисленная функция от переменной и число
х0ЕЪ . По заданному входу V(х) и точке х0 необходимо найти такой набор коэффициентов повторений , для которого имеет место равенство:
Нх0) = ^ сца-ііхо) . (з)
1 = 1, П
Элементы функционального рюкзака являются не целыми числами, а целочисленными функциями. Все вопросы моделирования универсальных, а следовательно, и обобщённых, и стандартных систем защиты информации с незначительными поправками переносятся в теорию моделирования функциональных систем защиты информации. Исследование функциональных систем защиты информации выход за рамки данной работы.
Исследованию задач о рюкзаке уделено большое внимание в литературе. Широкий спектр таких задач, алгоритмы решения и их реализации описаны, например, С. Мартелло [7]. При решении подобных задач оптимизация основана на поиске верхних и нижних границ для решений. Ограничения выводятся из дополнительного условия на максимизацию или минимизацию некоторой функции. Аналогичные рассуждения теряют смысл при исследовании РСЗИ, ведь все они строятся над конечными полями, а неравенства, имеющие место на множестве целых чисел, теряют смысл в мультипликативных группах полей.
Рассмотрим проблему об атаках на рюкзачные системы и возможности их применения к нестандартным рюкзачным системам, основанным на задаче об универсальном рюкзаке.
Анализ математических моделей М$ стандартных рюкзачных систем защиты информации. Первой системой защиты информации на основе задачи о рюкзаке был протокол Меркеля-Хеллмана [8]. Это ассиметричная модель, которая предполагает двоичное кодирование сообщения как входа для некоторого сверхрастущего рюкзачного вектора А. Под действием модульного умножения этот вектор «маскируется» вектором В:
В = (Ь±,... ,Ь2), где ЬІ = е ■ аІ (т о йМ). (4)
Для восстановления полученного сообщения т = х ■ АТ принимающая сторона использовала векторы В , х и пару параметров (й,М) , необходимых для обратного модульного умножения.
В 1982 году Шамир [9], ссылаясь на теорему Ленстра о задаче целочисленного программирования с конечным числом переменных, предложил атаку на стандартную рюкзачную систему защиты информации Меркеля-Хеллмана. Согласно предложенному алгоритму для указанных систем удаётся определить новую «лазейку» - наименьшие М' и йприменимые вместо исходных М и й. При этом, во-первых, вектор сверхрастущий, а во-вторых, .
При создании сверхрастущего рюкзачного вектора в системе Меркеля-Хеллмана предполагалось ограничение, согласно которому каждый следующий элемент ограничен снизу суммой всех предыдущих, а сверху - удвоенным значением .
Как отмечает Шамир [9] время для его атаки полиномиально зависит от длины рюкзака и экспоненциально от константы пропорциональности
к=тах^ =2 ■ (5)
Подобные оценки приводит и Ленстра [10]. При доказательстве теоремы используется алгоритм поиска решения, полиномиальный по времени, но не от -количества переменных, а от экспоненты, примененной к .
На основе техники, предложенной Шамиром, позднее были реализованы атаки и на другие двоичные модификации стандартной РЗСИ.
После атаки Шамира последовала серия новых моделей и идей по улучшению скомпрометированной. Однако, эти предложения объединяла одна общая деталь. Они включали этап, на котором происходила укладка некоторого стандартного рюкзака.
Одна из самых известных стандартных рюкзачных систем защиты информации предложена в 1988 Беном Шором и Рональдом Ривестом. Это была первая система, которая не использовала модульное умножение для того, чтобы скрыть рюкзачный вектор. Вместо этого использовалась арифметика конечных полей Г алуа ¥ри.
В стандартном случае при р = 1 9 7 и Ь. = 2 4 в 1998 году Ваундау [11] удалось найти уязвимость в системе Шора-Ривеста. Хотя в скором времени эту уязвимость удалось устранить, применив новые значения параметров и
. Среди прочих особенностей атака использовала малую плотность рюкзака. Так для Шора-Ривеста плотность составляла:
й = ----Т~г г « —р— = —1---------, ГД Є Р = -■ (6)
1оя2(р -2) Л1оя2 р Р\о^гр Н р
Исследования атаки Вандау и её обобщения [12] показали, что лишь при можно добиться стойкости системы Шора-Ривеста. Для достижения таких значений плотности целесообразно отказаться от ограничений на повторное использование элементов рюкзака, что характерно для нестандартных РСЗИ.
Математические модели М ы нестандартных рюкзачных систем защиты информации. В серии работ [3], [4], [13] и других предложены рюкзачные модели защиты информации, принципиально отличающиеся от всех описанных ранее. Общей их особенностью является то, что в отличие от стандартного случая, допустимы повторения компонент. Сообщение в этой модели сообщение разбивается на буквенные блоки, вместо которых далее рассматриваются их числовые эквиваленты .
Параметры и преобразования простейшей схемы на основе нестандартного рюкзака можно представить следующим образом:
♦ Параметры системы: основание системы, размер рюкзачных векторов и вектора ограничений на количество повторений элементов рюкзака:
(7)
♦ Закрытый ключ: элемент для модульного умножения е ЕЪМ , (е,М) = 1 и сверхрастущий рюкзачный вектор:
А = (аі,.. .,ап) | а^ЕЪМ, а> ^ \т^, (8)
♦ Открытый ключ:
(9)
♦ Прямое преобразование: для входа вычисляется спектр :
♦ Обратное преобразование: спектр входа x применяется к рюкзаку В, затем выполняется обратное модульное умножение:
m' = 2 nxibi = 2n xi(еa^ = е 2nxiai = еm (m о dM). (11)
dm' = m (mod M).
Рассмотрим возможность применения атак на системы, заданные условиями
(7) - (І І) . Особый интерес представляют техники, не требующие получения части закрытого ключа.
Перейдем к анализу математических моделей нестандартных рюкзачных систем защиты информации M N. Классической атака на рюкзачные системы стандартного вида [5] не требует даже частичных знаний о закрытом ключе. Как уже было отмечено выше, атаки такого типа экспоненциально зависят от параметра системы (5). Для нестандартных РСЗИ эта константа равна одному из основных параметром. Как следствие, для таких систем диофантова аппроксимация не применима.
Еще одним преимуществом использования спектров с повторениями является увеличение множества допустимых значений входа [3]. Для достаточно больших и даже при это еще больше усложняет определение рюкзака по мето-
ду Шамира. Таким образом, плотность рюкзака не уменьшается при увеличении разницы между элементами рюкзака.
В пользу увеличения параметра говорит и наличие методов компрометирования рюкзачных систем с малым количеством повторяющихся элементов [14]. Например, это касается систем, при моделировании которых используется несколько независимых рюкзаков, множества элементов которых могут пересекаться.
Оценим мощность множество различных значений входа:
Лемма 1.
Для системы (7)-(11) при mi = p — І,ai=p1 _І допустим любой вход v Є [І; pn — І], то есть найдется единственный x такой, что 2n= і xiai = v.
Рюкзачный вектор, для которого допустим любой вход от минимального до максимального, называется плотным. Данная лемма дает представление о том, каким образом следует задавать параметр :
М > рп.
Лемма 2.
Для системы (7)-(11) при mi = p — І,ai = p1 _І + di, di> pdi_І, dl > О. для любого входа [l;pn - 1] из его допустимости следует единственность соответствующего спектра.
Доказательство:
Допустим, для входа нашлись два различных спектра и :
П П
х^р1-1 + dt) = ^(р-1 + di)
І = 1 І = 1 п
-Уі)(Рі_1 + dt) = 0
t=i
Пусть j - наибольший индекс, для которого x І Фуi. Можно считать, что xi> у і. Тогда
п J~1
- Уі)(рі_1 + dt) = (х, - yj)(pj~1 + dj) + - Уі)(рі_1 + di) >
І = 1 І = 1
І-1
> рі~1 + dj - ^ р(р‘_1 + d^ > 0. t=i
Использование рюкзачных векторов указанного вида гарантирует однозначность прямого преобразования.
Рассмотрим возможность применения атаки типа Шамира на систему (7)-(11), удовлетворяющую условиями Леммы 2. Без ограничения общности можно считать, что компоненты вектора А представлены в порядке убывания. Напомним, что целью атаки является поиск такого модуля М', не обязательно равного М, и сверхрастущего вектора А = <1' ■ Вт(т о її М'), для которых:
т = х ■ Аг = х ■ Аг = т.
В качестве ограничения на М' можно взять Ь1 ■ 1 оgn Ь±. Для поиска й' следует рассмотреть все 0 < й< М' и исследовать графики функции йаі(т о АМ') при неизвестном й. Эти графики имеет форму пилы с расстоянием между минимумами М'/аі (рис. 1).
Рис. 1
Из ограничений на наибольший элемент сверхрастущего рюкзачного вектора рп~1 < а1 < рп и а1 = йЬ1 (т ойМ) следует, что й должен быть достаточно близок одному из минимумов функции й Ь1 (т о й М) .
Эти минимумы можно искать в виде ]М'/ Ь;, где ) - номер минимума графика йЬI (т ойМ'). Множитель й попадает в пересечение промежутков для различных ЬI. Так как значение М' не известно, то использование модели, изображенной на рис. 1 сопряжено с трудностями. Шамир предложил заменить М' единицей, ведь интерес представляют точки скопления минимумов для различных . Шамир свел поиск таких точек к системе двойных неравенств:
р, д,г,... 6 И, 1 < р < Ь± — 1,
-82 < рЬ2 - < 82 l<q<b2-^,
—83 < рЬ3 — гЬ± < 53 1 < г < Ь3 — 1,
(12)
Таким образом, поиск значения й, задающего обратное модульное умножение, сводится к приближенному решению системы диофантовых уравнений. При решении системы (12) для обеспечения эффективности требуются корректные значения . Верхнюю границу на значения таких параметров в случае стандартных рюкзачных систем были предложены в работе [9]:
Теорема 1.
Для кривых и условная вероятность получения не
менее чем к точек скопления, при условии наличия всего одной не превосходит:
Если количество точек не более чем , и имеет порядок , то сложность атаки останется полиномиальной от В противном случае атака признается не эффективной. Теорема 1 оценивает вероятность неудачи при проведении эффективной атаки по методу Шамира [9].
Как заметил Шамир, полученное обоснование эффективности диофантовой аппроксимации теряет силу, если отношение модуля и элемента превосходит
2. Как следует из Леммы 2, для рюкзачных систем нестандартного типа это отношение равно .
Заключение. Таким образом, рассмотрены особенности атак на исследуемые рюкзачные системы защиты информации и выявлены особенности, позволяющие применять известные в литературе атаки. На основе проделанного анализа были уточнены значения параметров для нестандартных РЗСИ, гарантирующих их стойкость. Выявлен набор атак, применимых для нестандартного случая. Среди них выявлена наиболее универсальная - атака типа Шамира, которая использует только открытый ключ. На основе проведенного обзора классических рюкзачных систем в целом и рюкзачных систем на основе нестандартного рюкзака в частности, показано, что подобная техника приближенного решения диофантовых уравнений не приводит к успеху в обобщенном случае, даже при и ,
где Т - предполагаемое время атаки.
Итак, наряду с системой Шора-Ривеста, в семействе рюкзачных систем защиты информации по праву безопасными являются РСЗИ, основанные на задаче о нестандартном рюкзаке.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. СаломааА. Криптография с открытым ключом. - М.: Мир, 1995.
2. Шеннон К. Работы по теории информации и кибернетики. - М. 1963. - 832 с.
3. Осипян В.О. О системе защиты информации па основе проблемы рюкзака // Известия Томского политехнического университета. - 2006. - Т. 309, № 2.
4. Осипян В.О. Моделирование систем защиты информации содержащих диофантовы трудности. LAP LAMBERT Academic Publishing, 2012.
5. Diffie W., Hellman M. New directions in cryptography // IEEE Transactions on Information Theory. - 1976. - Vol. 22. - P. 644-654.
6. Rivest R.L., Chor B. A knapsack-type public key cryptosystem based on arithmetic in finite fields // IEEE Transactions on Information Theory. - 1988. - Vol. 34, № 5. - P. 901-909.
7. Martello S. T.P. Knapsack problems : algorithms and computer implementations // Chichester: JOHN WILEY & SONS. - 1990. - P. 137-138.
8. Merkle R.C., Hellman M.E. Hiding Information and Signatures in Trapdook Knapsacks.
- 1978. - № 24. - P. 525-530.
9. Shamir A. A polynomial-time algorithm for breaking the basic Merkle - Hellman cryptosystem // Information Theory, IEEE Transactions. - 1984. - Vol. 30, № 5. - P. 699-704.
10. Lenstra, Jr. H.W. Integer Programming with a Fixed Number of Variables // Mathematics of Operations Research. - 1983. - Vol. 8, № 4. - P. 538-548.
11. Vaudenay S. Cryptanalysis of the Chor-Rivest cryptosystem // CRYPTO. - 1998. - P. 243-256.
12. Izu T., Kogure J., Koshiba T., andShimoyama T. Low-density attack revisited // Design, Codes and Cryptography. - 2007. - Vol. 43, № 1. - P. 47-59.
13. Осипян В.О., Спирина С.Г., Арутюнян А.С., Подколзин В.В. Труды VII Международной конференции "Алгебра и теория чисел: современные проблемы и приложения", посвященной памяти профессора А.А. Карацубы // Моделирование ранцевых криптосистем, содержащих диофантову трудность. - 2010. - Т. 11. - С. 209-216.
14. Odlyzhko A.O. Cryptanalytic attacks on the multiplicative knapsack cryptosystem and on Shamir's fast signature scheme // IEEE Transactions on Information Theory. - Jul 1984. - Vol. IT-30, № 4. - P. 594-601.
Статью рекомендовал к опубликованию д.т.н., профессор Р.З. Камалян.
Осипян Валерий Осипович - Кубанский государственный университет; e-mail: rrwo@mail.ru; 350040, г. Краснодар, ул. Ставропольская, 149; тел.: 89184651399; кафедра информационный технологий; д.ф.-м.н.; профессор.
Жук Арсений Сергеевич - e-mail: arseniyzhuck@mail.ru; тел.: 89654620300; аспирант.
Арутюнян Ашот Хоренович - e-mail: ashotax@gmail.com; тел.: 89180319557; аспирант.
Карпенко Юрий Александрович - Адыгейский государственный университет; e-mail: rrwo@mail.ru; 385000, г. Майкоп, ул. Свободы, 233, кв. 71; тел.: 89184651399; аспирант.
Osipyan Valeriy Osipovich -Kuban State University; e-mail: rrwo@mail.ru; 149, Stavro-pol’skaya street, Krasnodar, 350040, Russia; phone: +79184651399; the department of information technology; dr. of phis.-math. sc.; professor.
Karpenko Yuriy Aleksandrovich - Adyghe State University; e-mail: rrwo@mail.ru; 233 / 71, Svobody street, Maikop, 385000; phone: +79184651399; postgraduate student.
Zhuck Arseniy Sergeevich - mail: arseniyzhuck@mail.ru; phone: +79654620300; postgraduate student.
Arutyunyan Ashot Horenovich - e-mail: ashotax@gmail.com; phone: +79180319557; postgraduate student.
УДК 681.03.245
Л.К. Бабенко, Е.А. Ищукова
ФИНАЛИСТЫ КОНКУРСА SHA-3 И ОСНОВНЫЕ СВЕДЕНИЯ ОБ ИХ АНАЛИЗЕ*
В последние годы в научном мире наблюдается повышенный интерес к проектированию и анализу алгоритмов хэширования. Наряду с анализом уже существующих функций хэширования, предлагаются новые, заявляемые авторами как более надежные. Кроме того, предлагаются новые методы анализа, которые, как правило, рассчитаны на довольно широкий класс алгоритмов хэширования. Подтверждением тому служит конкурс на принятие нового стандарта хэширования SHA-3, недавно завершенный Национальным институтом стандартов и технологий США. В настоящей статье рассматриваются основы построения функций хэширования, которые явились финалистами конкурса SHA-3. Рассматриваются следующие хэш-функции: BLAKE, Skein, JH, Keccak, Grostl. Для каждой функции рассматриваются основные шаги преобразования и составляющие компоненты. Так, в частности, в составе функции хэширования Skein описывается новый блочный алгоритм шифрования Threefish. Также в статье приводятся основные сведения, известные на данный момент, об основных результатах анализа рассматриваемых функций хэширования.
Криптграфия; анализ; функция хэширования; надежность; стойкость; шифр.
*
Работа выполнена при поддержке грантов РФФИ №12-07-31120_мол_а, №12-07-33007_мол_а_вед, № 12-07-00037-а.
