Использование «Блуждающих» ключей в системах пролонгированной безопасности Текст научной статьи по специальности «Математика»

ИСПОЛЬЗОВАНИЕ «БЛУЖДАЮЩИХ» КЛЮЧЕЙ В СИСТЕМАХ ПРОЛОНГИРОВАННОЙ

БЕЗОПАСНОСТИ

В.В. Бондарь, Н.И. Червяков, Н.Ф. Семенова, О.А. Болгова

THE USAGE OF «WANDERING» ENCRYPTION KEYS IN THE PROACTIVE SECURITY SYSTEM

Bondar V.V., Chervyakov N.I.,

Semenova N.F., Bolgova O.A.

The article is aimed at the development of the mathematical model of the proactive security system. This system presupposes the roll out of the general encryption key and the periodical change of its «shares». This model is worked out on the ground of the «wandering» encryption keys.

Статья посвящена разработке математической модели системы пролонгированной безопасности, предусматривающей сохранение общего секретного ключа и периодическую смену его «проекций». Модель разработана на базе использования «блуждающих» ключей.

УДК 681.3

Одним из основных направлений развития современной криптографии является разработка систем пролонгированной безопасности, построенных на принципах распределенности и периодического обновления секретной информации. Принцип распределенности в этих системах реализуется за счет применения (и, ^"-пороговых схем разделения секрета. Принцип периодического обновления секретной информации заключается либо в периодическом обновлении общего секретного ключа, либо в периодическом обновлении его «проекций» с сохранением самого ключа.

Предложим математическую модель системы пролонгированной безопасности, в которой предусмотрено долговременное хранение общего секретного ключа с периодическим обновлением его «проекций». В качестве базовой схемы разделения общего секретного значения 50 будем использовать линейную (и, ^"-пороговую схему разделения секрета из [1], в которую внесем некоторые изменения. Тогда данная схема будет задаваться следующими параметрами:

1. Конечное поле ОР(д), где д - большое простое число, д>и, и - число абонентов, участвующих в процессе обмена информацией.

2. Множество характеристических чисел абонентов: {т+, т2, ..., тп}, где

тг-е СР(д), т^0 и т^т} при щ (/ = 1, п, у = 1, п).

3. Общий секретный ключ 50:

i:I_IjI

/(х) = /о + /+ х + /2X3 +... + fk_+ хк_+, где/о=5о, degy(x)=£- GF(g),

7=0, ...,к-\.

4. Нахождение «проекций» секрета

5*:

s, = f (m, "mod q =

= Wo + f+m + /2m,2 +...+A-imf-1)mod q,

где , = 1, п.

5. Восстановление секрета s0 (формула Лагранжа):

/(X) = Ü П

х - m„

Xh

) mod q,

,=1 кт тх1 тхк

где (хь х2,..., хк) е Г(к) и Г(к) - множество, определяющее структуру доступа в данной схеме разделения секрета.

В результате применения данной пороговой схемы разделения секрета каждый абонент Р,- получает свою пару (т,, в,), причем между этими парами существует так называемая «горизонтальная связь», т.е. их объединяют значения 50 и к (таблица 1).

Таблица 1

Начальные значения «проекций»

Абонент Р, Р+ Рз Р, Рп

Характеристическое число тi т+ тз mt тп

«Проекция» секрета в, 51 52 5, 5п

Перед нами стоит следующая задача: необходимо разработать математический алгоритм преобразования «вертикальных» связей в схеме разделения секрета ( т.е. алгоритм изменения секретных «проекций» абонентов сети) при условии сохранения горизонтальных связей между «проекциями» (т.е. значения 50 и к должны оставаться неизменными) без передачи ключей и их элементов по открытым каналам связи.

Данная задача может быть решена на основе использования идеи «блуждающих» ключей для осуществления периодической смены секретных «проекций» абонентов системы, что эквивалентно функционированию системы в режиме пролонгированной безопасности.

В качестве пространства «блуждающих» ключей выберем конечное поле GF(pk), где р - простое число. Известно, что элементы данного поля могут иметь целочисленное, степенное, векторное и полиномиальное представления. Для того чтобы использовать элементы поля GF(pk) как «блуждающие» ключи в выше описанной схеме разделения секрета будем рассматривать их полиномиальное представление, т.е. представление в виде многочленов с коэффициентами из поля GF(p), степень которых не превышает к - 1.

Пусть а - примитивный элемент поля GF(p), а п(х) - примитивный многочлен над полем GF(p), у которого deg п(х)=к. Выполнив замену а=х, можно получить все элементы поля GF(p) в полиномиальном представлении на основе формулы

Ь(х)= х' mod п(х), (1)

где /=0,5, рк - 2 (в формулу (1) не входит получение только нулевого элемента, которому соответствует нулевой многочлен).

В качестве «блуждающих» ключей для изменения «проекций» абонентов будем использовать те ненулевые элементы (многочлены) поля GF(pk), определяемые по формуле (1), у которых свободный член равен 0. Очевидно, что такие многочлены будут иметь вид

Ъ] (х) = Ъ{х + Ъ2;х2 +... + bl_+xk-1, (2)

где Ъ/ еGF(р),j = 1,...,/.Многочлену (2) соответствует вектор вида

(bk-1, bk_2,..., Ъ{, Ъ ,0). (3)

Определим число возможных ключей /, т.е. число ненулевых многочленов вида (2) или векторов вида (3):

/ = Ар-1 1 -1 = рк-1 -1, (4)

лк-1 «

где Ар - число размещений с повторениями из р по к-1 элементов (число многочле-

нов вида (2)). В формуле (4): (-1) означает, что нулевой многочлен в качестве ключа не выбирается.

Очевидно, что «блуждающие» ключи, т.е. элементы вида (2) поля ОР^), получаются путем возведения примитивного элемента а (а=х) данного поля в соответствующие степени г и приведения полученного результата по модулю примитивного многочлена п(х). Следовательно, каждый абонент сети, зная р,ки п(х), может без труда найти все элементы поля ОР(р^), в том числе и ненулевые элементы вида (2).

Рассмотрим общий принцип смены «проекций» абонентов Рг сети с использованием «блуждающих» ключей 6г(х) выше описанного типа. В рамках каждого сеанса смены «проекций» будем осуществлять сложение по модулю д предыдущей «проекции» секрета и соответствующего данному сеансу значения многочлена 6г(х) («блуждающего» ключа) при х=т, где тг- - характеристическое число г-го абонента.

Остановимся на данном процессе подробнее.

Пусть в результате применения пороговой схемы разделения секрета каждый абонент Рг- получил свою пару (тг-, 5г) (таблица 1). Будем считать, что абоненты заранее договорились о том, какое поле ОР(р^) и какой примитивный многочлен п(х) они будут использовать для получения «блуждающих» ключей (т.е. число р и многочлен п(х) держатся в секрете). Кроме того, абоненты за-

ранее договариваются о том, какой ключ Ь,(х) они будут использовать в качестве начального ключа. Другими словами, они заранее выбирают значение i1 (показатель степени примитивного элемента) такое, что многочлен

Ъ (х) = х'1 mod п(х) является первым ключом, предназначенным для смены «проекций», т.е. первым ненулевым многочленом вида (2), который будет использован в качестве ключа. Все остальные ключи находятся по формуле (l) с учетом (2), где сначала /+< i <р - 2, а затем 1< i < i1. Число i1 также сохраняется в секрете.

Таким образом, в качестве «блуждающих» ключей используются многочлены вида

ЪД х) = ь+х + Ъх2 +... + х*

Ъ2 (х) = Ъ/ х + Ъ22 х2 +... + Ъ*2^*-l,

Ъ(х) = Ъ/х + Ъ/х2 +... + 6*-+ х*-1,

Ь, (х) = Ь+х + Ь,х2 +... + Ь,_+ х* +.

Как уже было сказано ранее, смена «проекций» осуществляется путем выполнения операции сложения по модулю N соответствующих значений многочленов. Механизм смены секретных «проекций» абонентов системы на основе выше предложенного принципа отражен в таблице 2.

Таблица 2

Смена «проекций» абонентов с использованием сеансовых «блуждающих» ключей

№ сеанса Исходные данные Ключ Преобразование «проекций» Итоговые данные

1 , s,) Ъ+( х) = 6+ х + Ъ+х2 +... + Ъ*,_, х*-1 я1 = (s, + Ъ1 (m,)) mod q , ¿j )

2 , я,1) Ъ2( х) = Ъ12 х + Ъ2 х2 +... + Ъ*2_1 х*-1 2 1 s, = (si + Ъ2(да/ ))mod q ,s?)

j , sf1) Ъ;. (х) = Ъ/х + Ъ/х2 +... + Ъ*-1 х*-1 si = (s/-1 + Ъ (m, ))mod q , s/)

1 Ъ1 (х) = Ъ/х + Ъ2х2 +... + Ъ* _1 х*-1 si = (s--1 + Ъ1 (m, ))mod q , s,')

i:I_IjI

Из таблицы 2 следует, что s\ = ((((.г + b+ (тг ))mod q + b2(mi ))mod q +...) + + bt (тг ))mod q =

= (st + b+ (тг) + Ь2(тг) +... + bl (тг)) mod q = = (f (тг) mod q + b+ (тг) + b2^) +... + b (т1 ))mod q =

= (f (тг) + b+ (тг) + Ьз (тг) +... + b (т1)) mod q =

= (/о + frn + /2 тг2 +... + ¡к-+т\-1 + b+тг + + b-X2 +... + + b тг + b22 тг2 +...

+ ..Ъ'+тг + b2rn2 +... + blk_lmk-l) mod q =

'2

+ bl_+m.

к-1

= (я* + (/+ + Ъ + Ъ/ +... + Ъ/ )тг +

+ (Л + + Ъ1 +... + Ъ12 )т2 +...

+ (Л-/ + Ъ}-1 + Ъ2_1 +... + Ъ1к-1)тк-1)тоад (5"

Отсюда видно, что в результате использования выше описанного преобразования вертикальных связей в схеме разделения секрета (т.е. преобразования «проекций» секрета на основе «блуждающих» ключей) в системе полностью сохраняются горизонтальные связи, т.е. сохраняются два важных параметра, связывающих «проекции» всех

абонентов: пороговое число разделяемых элементов к и общее секретное значение % Другими словами, в результате сеансовой смены «проекций» абонентов происходит изменение многочлена, разделяемого между абонентами, но свободный член и степень многочлена остаются без изменения. Следовательно, любые к абонентов сети по имеющимся в их распоряжении после очередного _)-го сеанса смены ключей «проекциям» (тi,я/"всегда смогут восстановить общий

секретный ключ я0. В тоже время противник, перехвативший какую-либо пару (т{, -1) уже не сможет ее использовать для

восстановления значения после _)-го сеанса смены ключей без знания пространства «блуждающих» ключей и начального ключа.

Вертикальные и горизонтальные связи в пороговой схеме разделения секрета, функционирующей в режиме активной безопасности на основе использования «блуждающих» ключей, представлены в таблице 3.

Таблица 3

Горизонтальные и вертикальные связи в схеме разделения секрета

Р1 Р2 Pi Pn

S1 0 S2 0 S 0 Sn

u ъ+(т) u Ъ (m2) u Ъ1 (m" u Ъ1 (mn "

S1 S1 0 S1 S2 0 Si 0 sn sn

u him) u Ъ2 (m2) u Ъ2 (mi" u h(mn "

s 2 S1 0 s 2 2 0 si2 0 s2 sn

u him" u Ъ3 (m2 " u Ъ3(mг" u b3(mn "

u Ъ} (mi" u Ъ (m2 " u Ъj (mi " u Ъ} (mn "

S1 0 Sj S2 0 si 0 sj sn

u Ъ}+i(m 1" u Ъ} + 1 (m2" u Ъ} + 1 (mi " u Ъ} + 1 (mn "

u Ъ (m 1" u Ъ1 (m2 " u Ъ1 (m" u Ъ1 (mn "

S1 0 S2 0 Sl Si 0 sn

Рассмотрим конкретный пример, иллюстрирующий работу предложенной системы пролонгированной безопасности.

Выберем следующие параметры линейной пороговой схемы разделения секрета:

1.q=l3,«=4,*=3 ^s0eGF(l3).

2. Характеристические числа абонентов: m+=2, m2=3, m3=4, m4=5.

3. Секретное значение 50:

f(x)= х2+ 10х + 12 ^5о=12 (deg f(x)=£- 1=2).

4. «Проекции» секрета 50: 5+= f(m+) mod q = f(2) mod 13 = 36 mod 13 = =10;

52= f(m2) mod q = f(3) mod 13 = 51 mod 13 = =12;

53= f(m3) mod q = f(4) mod 13 = 68 mod 13 =3; 54= f(m4) mod q = f(5) mod 13 = 87 mod 13 =9.

В результате каждый абонент Рг- получит свою пару (ть 5г), что отражено в таблице 4.

Таблица 4 Начальные значения проекций

Абонент ft Р l Р2 Р3 Р4

mi 2 3 4 5

5i l 0 l 2 3 9

Выберем в качестве пространства «блуждающих» ключей поле ОР(23) (р=2) с примитивным многочленом л(х)= х3 + х + 1. Пусть а - примитивный элемент данного

поля. Выполнив замену а=х, получим все элементы поля ОР(23), что отражено в таблице 5.

Таблица 5

Элементы поля GF(23

Целочисленное представление Степенное представление Полиномиальное представление Векторное представление

0 0 0 000

l a0 l 00 l

2 a1 X 0 l 0

3 a2 X2 l 0 0

4 a3 X+ l 0 l l

5 a4 X2+X l l 0

6 a5 X2+X+l l l l

7 a6 X2+l l 0 l

В качестве «блуждающих» ключей будем использовать те элементы поля ОР(23), у которых свободный член в полиномиальном представлении равен 0. Число таких ключей определяется как

/ = Л2 -1 = 2 -1 = 22 -1 = 3 .

В качестве первого ключа выберем а2 = х2. Тогда все остальные ключи будут использоваться в следующей последовательности, представленной в таблице 6.

Таблица 6

«Блуждающие» ключи

Номер сеансового ключа Степенное представление Полиномиальное представление Ь;. (x) = Ь2;х2 + Ь/x Векторное представление (Ь2;, Ь ,0)

l a2 x2 l 0 0

2 a4 x2+ x l l 0

3 al X 0 l 0

Рассмотрим смены «проекций» секрета у абонентов системы на каждом этапе использования нового сеансового ключа. Общая формула для вычисления новых «проекций» ключа имеет вид

я/ = (я/-1 + Ь1 ))то: q.

1-й сеанс: ключ bi(x)= х2

Px:bi(«i)=bi(2)=4

=>5++ = (5+ + b+(mi))mod q = 14modl3 = 1; P%:b i (m2)=b i (3)=9

=^>s 2 = (52 + Ь(m2))modq = 2 l mod l 3 = 8 ;

i:I_IjI

P&: b 1 (m3)= b 1 (4)= 1 6 s3 = (s3 + b1 (m3))i P4: b 1 (m=)= b 1 (5)=25

s3 = (s3 + Ъ1 (m3))modq = 1 9mod 1 3 = 6 ;

Pi:

^

P%:

^

P&:

^

P4:

^

Pi

^

P%

^

P3

^

P4

f4 = (s4 + Ъ (m4))mod q = 34mod 1 3 = 8. 2-й сеанс: ключ b2(x)= x%+ x

b2(m 1 )= b2(2)=6

s2 = (s 1 + b2(m1 ))modq = 7mod 1 3 = 7 ; b2(m2)= b2(3)= 1 2

s22 = (s 2 + b2(m2))modq = 20mod 1 3 = 7 ;

b2(m3)= b2(4)=20

s^ = (s^ + b2(m3))mod q = 26mod 1 3 = 0;

b2(m4)= b2(5)=30

s42 = (s4 + b2(m4))mod q = 38mod 1 3 = 1 2.

3-й сеанс: ключ b3(x)= x b3(m 1 )= b3(2)=2

sj3 = (s2 + b3(m1 ))modq = 9mod 1 3 = 9 ;

b3(m2)= b3(3)=3

s23 = (s^ + b3(m2))mod q = 1 0mod 1 3 = 1 0;

b3(m3)= b3(5)=4

= (s^ + b3(m3))mod q = 4mod 1 3 = 4; b3(m4)= b3(6)=5

s4 = (s42 + b3(m4))mod q = 1 7mod 1 3 = 4.

Результаты вычислений сведем в таблицу 7:

Таблица 7 «Проекции» абонентов сети

Номер сеанса Абонент Pi P 1 P2 P3 P4

mi 2 3 4 5

si 1 0 1 2 3 9

1 s 1 8 6 8

2 sг2 7 7 0 1 2

3 s3 9 1 0 4 4

Допустим, что после 3-го сеанса смены «блуждающих» ключей и соответствующей смены «проекций» секрета абоненты Р+, Р2 и Р3 захотят восстановить секрет я0. Для этого они должны воспользоваться формулой Лагранжа, которая в данном случае будет иметь вид:

Л( х) = (s 3

(х - m2)(х - m3) (m1 - m2 )(m1 - m3

+

3 (х - m1)(х - m3) (m2 - m1 )(m2 - m3 3 (х - m1)(х - m2

+

+ s

(m3 - m )(m3 - m2 Так как s0= f (0), то

"mod q.

s0= /3(0) = (9

(0 - 3)(0 - 4) (2 - 3)(2 - 4)

+

1 0(0-2)(0-4) + 4(0-2)(0-3) 1 3 =

(3 - 2)(3 - 4) (4 - 2)(4 - 3) =(54 - 80 + 1 2) mod 1 3 = (- 1 4) mod 1 3=1 2.

Следовательно, секретное значение s0= 1 2 восстановлено.

В заключении отметим, что основным достоинством систем пролонгированной безопасности является их способность минимизировать угрозы долговременных атак противника и сохранять общие секретные ключи в течение длительного периода времени.

ЛИТЕРАТУРА

1. Ноден П., Китте К. Алгебраическая алгорит-мика (с упражнениями и решениями) / Пер. с франц. -М.: Мир, 1999. - 720 с.

Об авторах

Бондарь Виктория Витальевна, кандидат физико-математических наук, доцент кафедры алгебры СГУ. Сфера научных интересов - применение методов алгебры и теории чисел для разработки систем защиты информации, математические модели криптографических систем защиты информации.

Червяков Николай Иванович, заслуженный деятель науки и техники РФ, академик МАИ, профессор, доктор технических наук, профессор кафедры алгебры СГУ. Сфера научных интересов - модулярная арифметика, нейроматематика, обработка сигналов, защита информации. Семенова Наталья Федоровна, старший преподаватель кафедры алгебры СГУ. Сфера научных интересов - приложения методов алгебры и теории чисел.

Болгова Оксана Александровна, ассистент кафедры алгебры СГУ. Сфера научных интересов - математические модели криптографических систем защиты информации.

3