Дистанционные свойства нелинейного помехоустойчивого кода на базе криптографического алгоритма Rijndael Текст научной статьи по специальности «Математика»

Доклады БГУИР

2012 № 7(69)

УДК 681.3

ДИСТАНЦИОННЫЕ СВОЙСТВА НЕЛИНЕЙНОГО ПОМЕХОУСТОЙЧИВОГО КОДА НА БАЗЕ КРИПТОГРАФИЧЕСКОГО АЛГОРИТМА RIJNDAEL

Д М. БИЛЬДЮК, С Б. САЛОМАТИН

Белорусский государственный университет информатики и радиоэлектроники П. Бровки, 6, Минск, 220013, Беларусь

Поступила в редакцию 24 июля 2012

Рассматривается нелинейный помехоустойчивый код на базе алгоритма криптографического преобразования данных КуМае1. Приведены сравнения дистанционных свойств Я^МаеЬ кода в режимах поточного и блочного шифрования с границами помехоустойчивых кодов.

Ключевые слова: криптографическое преобразование данных, помехоустойчивое кодирование, алгоритм Rijndael, AES, границы помехоустойчивого кодирования, нелинейный код.

Введение

Защита информации от преднамеренных и случайных воздействий требует применения, как криптографических систем, так и методов помехоустойчивого кодирования.

Использование линейных кодов для создания систем защиты информации с открытым ключом привела к криптографическим структурам МакЭлиса и Нидеррайтера [1]. Основным недостатком таких механизмов защиты считается использование кодовых структур большого размера.

В этой связи представляет интерес исследование возможностей стандартных криптографических систем исправлять случайные ошибки, возникающие в каналах передачи информации.

В современных системах защиты информации наиболее востребованной является криптографическая система АЕ$ (Rijndael) [2]. Для такого типа систем характерно представление шифруемого блока данных в виде двумерного массива. Алгоритм Rijndael преобразует информацию в сбалансированную, нелинейную булеву функцию и с точки зрения теории кодирования может рассматриваться как нелинейный сбалансированный блочный код с крайне низкой вероятностью повторения выходных кодовых слов.

Для оценки корректирующей способности кода важно определить его дистанционные характеристики (минимальное расстояние Хэмминга - йтт) данного кода и позиционирование таких характеристик относительно граничных соотношений.

Нелинейный корректирующий код

Пусть д-ичный алфавит А это конечное множество, а множество Ап = А х А х ...х А является оснащенным с метрикой Хэмминга: расстояние й (а, Ь) определяется как число координат,

в которых векторы a = (ар...,ап) и Ь = (Ь1,...,Ьп) различаются, т.е. й(я,Ь) = |{/1 а1 Ф Ь }|.

Непустое подмножество С с Ап назовем д-ичным кодом длины п с минимальным кодовым расстоянием йтт = тт{й(а, Ь е С, а Ф Ь} .

Код с такими параметрами называется (п,k,йтП)д кодом. Элементы С называются кодовыми векторами или кодовыми словами, их компоненты - координатами. 106

Криптографический блочный шифр (или код) С можно определить как обратимую функцию g : К х В ^ С, которая отображает ключ множества К и блок множества В в блок С фиксированной длины. Уровень трудности решения обратной задачи £ : К ^ тар(В, С), определяет степень защищенности.

В теории кодирования и криптологии используются различные границы существования кодовых структур. Одной из таких границ является асимптотическая форма линейного программирования, известная как граница Варшамова-Гильберта для бинарного (п, k, dmm) корректирующего кода [3]. Граница Варшамова-Гильберта гарантирует существование кодов с максимальным d ■ :

1 -Н (d- ^ -к

2

I п ) п

!< k< тт (1 + G(х2)-G(х2 + 2^х + 2^^

) П 0< х<1-^тп ^ ^ П П ))

где Н2 (Р )=- Р log 2 (Р )-(1 - P)log 2 (1 - Р ) , &(У) = Н

(1 -УТ-7 ^ 2

Граница справедлива для всех видов бинарных кодов, включая нелинейные коды, а также позволяет оценить минимальное кодовое расстояние для наилучших случайных кодов.

В теории криптологии считается, что шифры, удовлетворяющие границе Варшамова-Гильберта, устойчивы против линейного криптоанализа [4].

Схема кодирования информации и оценка дистанционных свойств

Шифр К1)Мае1 можно рассматривать как бинарный код, который формируется с помощью 14 раундов шифрования 128-битного информационного сообщения. С точки зрения теории кодирования шифр можно ассоциировать (128, к) корректирующий нелинейный код. При этом важными параметрами Rijndael-кода (далее Л-код) являются минимальное кодовое расстояние и минимальный вес кодовых слов.

Блочные режимы шифрования алгоритма Rijndael формируют на выходе сбалансированное по весу кодовое слово с длины п, однако последнее имеет фиксированную длину - 128, 192 или 256 бит. Входными параметрами кодирования в таких режимах является входное слово а длины k и ключ шифрования 5 длины 128, 192 или 256 бит. Для помехоустойчивых кодов справедливо неравенство п > k - это значит, что для формирования шифруемого блока открытого текста необходимо дополнить входное слово до длины п. Формирование открытого текста реализуется конкатенацией входного слова а и избыточности V длины г=п^. Избыточность также можно считать частью расширенного ключа - это увеличит количество возмож-

ных Л-кодов для заданных параметров (п, к), а также позволит вести обнаружение ошибок при декодировании (поскольку структура открытого текста будет априори известна - a|v).

Для построения Л-кодов произвольной длины п удобно использовать Rijndаel в поточном режиме (с обратной связью). Входные параметры в таком режиме те же, что и в блочном, однако блок открытого текста используется в качестве старового значения.

Функциональные схемы кодеров на основе алгоритма Л-кода в поточном и блочном режимах представлены на рис. 1.

а б

Рис. 1. Кодер на основе алгоритма Л-кода в поточном (а) и блочном (б) режимах

Для заданных параметров кода (п, к) источником формируется М — 2к входных слов которые, с использованием Л-кодера, отображаются в кодовые слова. Минимальное расстояние Хэмминга определяется по множеству расстояний между всеми парами кодовых слов. Переборный алгоритм вычисления dmin выбирает самое минимальное расстояние из (22к4 + 2к4 ) таких паросочетаний.

Для формирования множества Л-кодов (и вычисления множества их dmin) используем комбинаторный метод для заданных диапазонов п и к, предполагающий перебор всех возможных пар (п, к) при условии п > к . Будем характеризовать каждый такой эксперимент четырьмя

параметрами - ( Птт , kmin , nшx, ктах X Где диапазоны Птп — ппти kmin -ктах определяют возможные значения п и к. Тогда мощность множества Л-кодов определяются формулой:

птах ктах | 1 1 < У

W =У V Г .

/-Г [0, У > г

тт ^ тт ^

Сравнение дистанционных свойств Л-кода в режиме поточного шифрования с границами помехоустойчивых кодов

Результаты (2, 1, 256, 14)-эксперимента для Л-кодов в режиме поточного шифрования представлены на рис. 2.

Исходя из результатов эксперимента, основная масса наилучших Л-кодов в режиме поточного шифрования, лежащих выше (по параметру dmin) границы Варшамова-Гилберта, -низкоскоростные коды со скоростью к / п < 0,2 . Л-коды со скоростью к / п > 0,2 , лежащие выше границы Варшамова-Гилберта, являются кодами малой длины с п < 4, а Л-коды, достигающие границы Синглтона и выше, также коды малой длины с параметрами кодов с повторением вида (п, 1).

Рис. 2. Зависимость скорости к / п от dmin / 2п R-кода в режиме поточного шифрования с параметрами (п, к) в сравнении с границами помехоустойчивых кодов: 1 - граница корректирующей способности помехоустойчивых кодов; 2 - граница Синглтона;

3 - граница Плоткина; 4 - граница Хэмминга; 5 - граница Варшамова-Гилберта;

6 - координата (к / п, dmin / 2п) Л-кода с параметрами (п, к, dmin)

Для уточнения полученных результатов проведены два эксперимента, усредненных по dmin на 100 реализациях: (2, 1, 5, 4)-эксперимент и (5, 3, 256, 14)-эксперимент. Результаты экспериментов приведены на рис. 3.

Результаты, представленные на рис. 3, показывают, что основная масса Л-кодов в режиме поточного шифрования длины п > 4, лежащих в районе границы Варшамова-Гилберта, имеет скорость к /п < 0,2 (см. рис. 4, б), а коды с большей скоростью, лежащие за указанной границей, имеют длину п < 4 (см. рис. 4, а).

к/п.

Л

с\тт/2п

1

0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1 О

1:

v ,г\

л/л

л

1

0.1 0.2 0.3 0.4 0,5 0.6 0.7 0.8 0.9 1 ¿ппп/2п

а б

Рис. 3. Зависимость скорости k / п от /2п Л-кода в режиме поточного шифрования усредненная по dшin на 100 реализациях: а - (2, 1, 5, 4)-эксперимент; б -(5, 3, 256, 14)-эксперимент: 1 - граница корректирующей способности помехоустойчивых кодов; 2 - граница Синглтона; 3 - граница Плоткина; 4 - граница Хэмминга; 5 - граница Варшамова-Гилберта; 6 - координата (k / п , dшin / 2п) Л-кода с параметрами (п, к, dшin ) усредненная по минимальному

расстоянию на 100 реализациях.

Сравнение дистанционных свойств Л-кода в режиме поточного шифрования с дистанционными свойствами Л-кода в режиме блочного шифрования

Поскольку длина Л-кода в режиме блочного шифрования фиксирована (128, 192 или 256 бит) - сравнение с Л-кодом в режиме поточного шифрования необходимо произвести на фиксированной длине. На рис.4 представлены результаты (128, 1, 128, 14)-экспериментов для Л-кодов в поточном и блочном режимах шифрования.

'./ппп. -II

(ЫтПп

а б

Рисунок 4 - Зависимость скорости к / п от dшin / 2п R-кода с параметрами (п, к) в стравнении с границами помехоустойчивых кодов в режимах: а - поточного шифрования; б - блочного шифрования: 1 - граница корректирующей способности помехоустойчивых кодов; 2 - граница Синглтона; 3 - граница Плоткина; 4 - граница Хэмминга; 5 - граница Варшамова-Гилберта; 6 - координата (к / п , dшin / 2п) Л-кода с параметрами (п, к, dшin ).

Как видно из результатов эксперимента, дистанционные свойства блочных и поточных режимов Л-кода идентичны, что делает поточный режим более приемлемым - последний может иметь произвольную длину кода.

Использование Л-кодов в системах защиты информации

Существование Л-кодов с дистанционными свойствами в районе границы Варшамова-Гилберта делает возможным их с пользование для повышения помехоустойчивости системы передачи информации. Декодер может быть построен на основе принципа максимального правдоподобия с последующим расшифрованием кодового слова. Из рис.2 видно, что дистанционные свойства Л-кодов уступают большинству известных помехоустойчивых кодовых конструкций, однако обладают дополнительными криптографическими свойствами. Данные свойства позволяют организовать систему защиты информации, в которой коррекцию ошибок может осуществлять только приемная сторона обладающая общим секретом (ключом) с передающей стороной. Известно, что кратность исправляемых помехоустойчивым кодом ошибок t = |_(dmin - 1)/2j . Другим возможным вариантом использования Л-кодов является система с каналом без помех, в которой случайные ошибки кратностью не выше t вносит передающая сторона. Тогда возможный криптоаналитик, решающий обратную криптографическую задачу, вынужден учитывать и возможные варианты случайной ошибки. В случае атаки переборными методами по всему множеству двоичного ключевого пространства количество вариантов увеличивается на величину 2t. Более того, без знания ключа криптоаналитик не распологает информацией о минимальном расстоянии используемого кода и вынужден вести атаку по наилучшему представителю Л-кода с заданными параметрами (n, k). Также возможны комбинированные варианты систем защиты информации со случайными преднамеренными и непреднамеренными ошибками в канале передачи информации.

Заключение

На основании поставленных экспериментов можно рекомендовать использование низкоскоростных Л-кодов в режиме поточного шифрования (со скоростью k /n < 0,2 ) в качестве помехоустойчивых нелинейных кодов. Например, существует Л-код с параметрами (179, 4, 78). По сравнению с кодами Рида-Соломона, лежащими на границе Синглтона, наилучшие Л-коды имеют примерно в два раза меньшее минимальное расстояние Хэмминга, однако позволяют повысить сложность решения обратной задачи криптоаналитиком с 2256 до 2256, при атаке методом грубой силы (прямого перебора ключей) на Л-код с 256-битным ключем шифрования (величина 2 256учитывает возможные случайные или преднамеренные ошибки, происходящие в канале).

DISTANCE PROPERTIES OF THE NONLINEAR ERROR CONTROL CODE ON THE BASIS OF CRYPTOGRAPHIC ALGORITHM OF RIJNDAEL

DM. BILDZIUK, SB. SALOMATIN Abstract

The nonlinear error control code on the basis of cryptographic transformation of data through Rijndael algorithm is considered. Hamming distance properties of a Rijndael-code in thread and block modes enciphering with borders of error control codes are compare.

Список литературы

1. McEliece ЛJ. // A public-key cryptosystem based on algebraic coding theory. DNS Progress Reports 42-44, NASA Jet Propulsion Laboratory, Pasadena, Calif., USA, 1978.

2. Specification for the ADVANCED ENCRYPTION STANDARD (AES), Federal Information Processing Standards Publication 197, November 26, 2001.

3. MacWilliams F.J., Sloane N.J.A. // The Theory of Error- Correcting Codes. North-Holland. 1977.

4. Matsui M. //The first experimental cryptanalysis of the Data Encryption Standard, CRYPTO 94 (Springer LNCS 839).