CC BY
42
МАТЕМАТИЧЕСКАЯ МОДЕЛЬ НАРУШИТЕЛЯ ОТКРЫТОГО КЛЮЧЕВОГО СОГЛАСОВАНИЯ СЕТИ С МИНИМАЛЬНЫМ ЧИСЛОМ КОРРЕСПОНДЕНТОВ
Синюк А.Д., д.т.н., доцент, Военная академия связи, eentrop@rambler.ru Остроумов О.А.,
Военная академия связи, oleg-26stav@mail.ru
Ключевые слова:
информация, нарушитель, система формирования открытого ключевого согласования, сеть с минимальным числом корреспондентов, криптосистема, криптозащита.
АННОТАЦИЯ
В статье рассматривается одна из актуальных проблем защиты информации, связанная с исследованием прикладных условий формирования ключа в сети с минимальным числом корреспондентов по открытым каналам с ошибками, которая определяется малоисследованной в силу своей наукоемкости. Значение информации в современном мире имеет тенденцию к увеличению. Однако не вся информация является доступной. Особо важная, критичная информация подлежит защите на всех этапах ее жизненного цикла. Малая устойчивость закрытой сети к компрометации ключа, большая ресурсоемкость восстановления сетевой криптосвязности, неопределенность относительно модели нарушителя актуализирует исследования этой научной проблемы. Постановка задачи в работе определяется необходимостью выработки сетевого ключа в ходе выполнения протокола формирования ключа таким образом, чтобы нарушитель не обладал необходимыми знаниями, позволяющими ему получить его копию. Задача нарушителя состоит в получении одинакового с корреспондентами ключа. Для оценки этой задачи определяется нижняя граница трудоемкости поиска нарушителем открытоформируемого ключа сети. Представленные оценки нижней границы трудоемкости поиска нарушителем сетевого ключа обладают научной новизной отличающиеся от известных оценок тем, что они основаны на информации нарушителя о процессе формирования ключа по открытым каналам связи, которая не может быть увеличена в ходе любой обработки информации. Научной новизна заключается в предложенном оригинальном подходе оценки информации нарушителя о процессе формирования сетевого ключа. Практической ценность заключается в представленной нижней вероятностной границе минимального объема списка (трудоемкости) поиска ключа нарушителем как основного параметра безопасности формирования сетевого ключа. Он позволяет на основе знания оценок быстродействия современной вычислительной техники определить минимальный отрезок времени, затрачиваемый нарушителем на поиск ключа. Дальнейшая работа в этом направлении это оценка, помимо основного параметра безопасности формирования ключа — объем перебираемого нарушителем списка, дополнительного параметра — вероятности попадания ключа в переборный список. По мнению авторов, материалы работы будут интересны специалистам, интересующимся проблемой безопасности связи в системах специального назначения.
US
RESEARCH
Рис. Модель СМЧК
Введение
Значение информации в современном мире имеет тенденцию к уве-личению. Однако не вся информация является доступной. Особо важная, критичная информация подлежит защите на всех этапах ее жизненного цикла. Особенно уязвимым представляется процесс передачи конфиденциальной информации по телекоммуникационным системам ввиду доступности каналов связи нарушителю. Существует необходимость криптографического закрытия информационного обмена внутри сети связи с минимальным числом корреспондентов (СМЧК). Криптографические методы защиты информации основаны на знании корреспондентами секретного ключа, который может стать известным нарушителю. Доставка нового ключа не всегда представляется возможной, целесообразной и требует достаточно больших организационных, материальных и временных затрат. Это актуализирует необходимость решения задачи формирования ключа СМЧК по открытым каналам связи. Постановка задачи сводится к сле-дующему. Цель корреспондентов состоит в том, чтобы выработать сетевой ключ (СК) таким образом, чтобы нарушитель не обладал необходимыми знаниями, позволяющими ему получить его копию. Задача нарушителя состоит в получении одинакового с корреспондентами ключа с целью чтения шифрованных сообщений. Любые предположения о возможностях нарушителя подлежат серьезной критике ввиду неполного знания о нем. Определяется нижняя граница трудоемкости поиска нарушителем открытоформируемого ключа СМЧК на основе предлагаемой оценки информации нарушителя о процессе формирования ключа СМЧК по открытым каналам связи, которая не может быть увеличена в ходе обработки информации [3]. Нижняя граница трудоемкости нарушителя выступает в роли основного параметра безопасности формирования ключа СМЧК.
1.Описание протокола
Реализация протокола заключается в следующем. Современные
криптосистемы построены по принципу Керкхоффа [4] согласно которому полное знание нарушителя включает, кроме информации полученной с помощью перехвата, полную информацию о порядке взаимодействия корреспондентов СМЧК и формировании СК. Формирование СК можно разделить на три основных этапа.
1.1. Временные этапы протокола. Первый этап - одновременное формирование исходной (ИП) и предварительных (ПРП) последовательностей. Обеспечение формирования ИП и ПРП производится путем одновременной передачи информации об ИП по первому и второму каналам связи с независимыми ошибками соответственно второму и третьему корреспондентам СМЧК и ее одновременной обработкой всеми корреспондентами СМЧК в рамках модели СМЧК представленной на рисунке.
Предполагается, что нарушитель знает порядок обработки информации об ИП и перехватывает версию ИП, передаваемой первым корреспондентом СМЧК на выходе независимого канала перехвата с ошибками и использует ее для формирования своей версии ПРП. Второй этап предназначен для обеспечения формирования СК с высокой надежностью. Формирование СК с высокой надежностью достигается устранением (исправлением) несовпадающих символов
(ошибок) в предварительных последовательностях второго и третьего корреспондентов относительно ИП первого корреспондента СМЧК, при использовании корреспондентами дополнительной информации о ИП, переданной по первому и второму прямым каналам связи без ошибок от первого корреспондента второму и третьему корреспондентам СМЧК соответственно. Предполагается, что нарушитель перехватывает дополнительную информацию по каналам перехвата без ошибок и ис-пользует ее для устранения несовпадений в своей версии ПРП относительно ИП первого корреспондента. Третий этап предназначен для формирования ключа заданной длины с малым количеством информации о ключе, получаемой нарушителем. Обеспечение формирования ключа корреспондентов СМЧК с малым количеством информации о нем у нарушителя обеспечивается путем сжатия последовательностей корреспондентов сети связи, которые получены ими после второго этапа. Предполагается, что нарушителю известен алгоритм сжатия последовательностей.
1.2. Протокол. Предполагается, что нарушитель имеет канал перехвата, с помощью которого он получает информацию о переданных кодовых словах по каналам связи с ошибками для формирования ИП и ПРП корреспондентов СМЧК. Нарушитель может придерживаться как пассивной стратегии без нарушений
us
RESEARCH
информационного обмена, так и активной стратегии [5], когда нарушитель пытается оказать влияние на информационный процесс. Сделано предположение, что нарушитель является пассивным, т.е. он может только контролировать передаваемую информацию, но не может создавать и обмениваться ею с корреспондентами СМЧК или каким-то образом изменять передаваемую информацию. Кроме этого, сделано предположение о ограниченности его ресурса. Нарушителю достоверно известно полное описание порядка, последовательности и параметров процедур, выполняемых корреспондентами СМЧК для формирования СК.
1.2.1. Реализация в протоколе последовательности действий первого этапа формирования ключа. Формирование исходной последовательности первого корреспондента СМЧК заключается в следующем. L раз, где L>103, генерируют случайный двоичный символ. Формируют из случайного двоичного символа кодовое слово. Для формирования кодового слова сгенерированный случайный двоичный символ кодируют кодом с М-повторениями [1], где М >1. Величина М определяется качеством каналов связи с ошибками. Одновременно передают кодовое слово по первому и второму каналам связи с независимыми ошибками второму и третьему корреспондентам СМЧК соответственно.
Второй и третий корреспонденты СМЧК из принятого кодового слова одновременно формируют принятые двоичные символы и двоичные символы подтверждения F1, F2. Принятому двоичному символу на стороне первого и второго корреспондентов СМЧК одновременно присваивают значение первого двоичного символа принятых кодовых слов. Для формирования двоичного символа подтверждения первый двоичный символ принятого кодового слова одновременно сравнивают с последующими М двоичными символами принятого кодового слова. При наличии хотя бы одного несовпадения первого двоичного символа принятого кодового слова с М двоичными символами принятого кодового сло-
ва двоичному символу под-твержде-ния присваивают значение «0». При наличии М совпадений первого двоичного символа принятого кодового слова с М двоичными символами принятого кодового слова двоичному символу подтверждения присваивают значение «1».
Передают сформированный вторым корреспондентом сети связи двоичный символ подтверждения F1 по первому обратному и третьему прямому каналам связи без ошибок соответственно первому и третьему корреспондентам сети связи. Передают сформированный третьим корреспондентом сети связи двоичный символ подтверждения F2 по второму обратному и третьему обратному каналам связи без ошибок соответственно первому и второму корреспондентам сети связи.
При равенстве нулю по крайней мере одного из полученных двоичных символов подтверждения ^1, F2) сгенерированный случайный двоичный символ первого корреспондента сети связи и принятые двоичные символы второго и третьего корреспондентов сети связи одновременно стирают, в противном случае одновременно запоминают сгенерированный случайный двоичный символ первого корреспондента сети связи, принятый двоичный символ второго корреспондента сети связи, принятый двоичный символ третьего корреспондента сети связи соответственно в качестве йх элементов, где i = 1,2,3,...,L-U, исходной последовательности, первой предварительной последовательности и второй предварительной последовательности, где U — количество одновременно стертых символов при формировании исходной последовательности первого корреспондента сети связи, первой предварительной последовательности второго корреспондента сети связи и второй предварительной последовательности третьего корреспондента сети связи.
Нарушитель, также, может удалять символы, которые были стерты корреспондентами СМЧК. Однако символы, сохраняемые нарушителем (т.е. которые соответствуют одновременно сохраненным символам кор-
респондентов СМЧК), не достаточно надежны, потому, что ошибки в каналах с ошибками корреспондентов СМЧК и ошибки в канале перехвата являются независимыми.
1.2.2. Реализация в протоколе последовательности действий второго этапа формирования ключа. После применения корреспондентами СМЧК кода с повторениями в ИП первого корреспондента СМЧК и предварительных последовательностях второго и третьего корреспондентов СМЧК остаются несовпадающие символы, что не позволяет корреспондентам СМЧК приступить к непосредственному формированию СК. Устранение этих несовпадений может быть реализовано на основе использования помехоустойчивого кодирования [5]. Однако известные помехоустойчивые коды позволяют кодировать последовательности значительно меньшей длины, чем полученная длина ИП (ПРП) равная L-U двоичных символов. Для этого применяют последовательное кодирование, т.е. если длина ИП (ПРП) велика, например, 103^105 двоичных символов, ее разделяют на Y подблоков длиной по K символов, где
Y=(L-U)/K
Каждый подблок кодируется на стороне первого корреспондента СМЧК линейным систематическим блоковым помехоустойчивым двоичным кодом [2], где К — длина блока информационных символов и N — длина кодового блока.
Затем формируемые блоки проверочных символов длиной NК двоичных символов объединяют в единый блок проверочных символов кодированной ИП длиной Y•(N-K) двоичных символов и одновременно передают его по первому прямому и второму прямому каналам связи без ошибок соответственно второму и третьему корреспондентам СМЧК.
Второй и третий корреспонденты СМЧК производят обратное преобразование и используют блок проверочных символов кодированной ИП для устранения несовпадений в своих предварительных последовательностях по отношению к ИП и в резуль-
US
RESEARCH
тате чего получают декодированные последовательности (ДП). В качестве помехоустойчивых кодов могут использоваться широкий класс кодов Боуза-Чоудхури-Хоквингема, коды Хемминга, Рида-Малера, Рида-Соломона и другие линейные блоковые коды.
В ходе применения корреспондентами СМЧК помехоустойчивого кодирования, нарушитель получает дополнительную информацию о СК путем перехвата блока проверочных символов кодированной ИП первого корреспондента СМЧК, переданного по первому прямому и второму прямому каналам связи без ошибок соответственно второму и третьему корреспондентам СМЧК. Это обстоятельство корреспонденты учитывают при формировании СК из исходной и декодированных последовательностей.
1.2.3. Реализация в протоколе последовательности действий третьего этапа формирования ключа. После формирования корреспон-дентами СМЧК тождественных ИП на стороне первого корреспондента СМЧК и ДП на сторонах второго и третьего корреспондентов СМЧК, корреспонденты СМЧК должны сформировать СК с малым количеством информации нарушителя о СК. Для обеспечения малого количества информации нарушителя о СК корреспонденты СМЧК используют простой алгоритм сжатия символов (ПАСС). Этот алгоритм может применяться для достижения цели размножения ошибок в версии СК нарушителя Е. Предполагается, что к началу применения алгоритма корреспонденты СМЧК имеют в наличии соответственно ИП и ДП, которые теперь называются ключевыми последовательностями (КлП). Длины КлП равны L-U. Параметр V — длина сжимаемого блока в битах предварительно открыто распределен между корреспондентами СМЧК.
Для обеспечения малой величины информации нарушителя о СКв предлагаемом протоколе формирования СК реализуется следующая последовательность действий. Корреспонденты СМЧК выделяют из своих КлП Т соответствующих блоков бит
длины V, где Т> 64 - требуемая длина формируемого СК, причем
ь-и
Т =-
V
Блоки с нечетным числом символов «1» сжимаются (символы блока суммируются по модулю 2) в символ «1», а последовательности длины с четным числом «1» сжимаются в символ «0». После чего формируют СК путем объединения полученных «сжатых» однобитовых образов битовых блоков КлП в СК на сторонах всех корреспондентов СМЧК.
2. Оценка информации
нарушителя
2.1. Оценка вероятности ошибок в предварительных последова-тель-ностях корреспондентов сети связи. Пусть pm1 — вероятность ошибки на двоичный символ в первом канале связи с ошибками между первым и вторым корреспондентами СМЧК описываемого моделью дискретного симметричного канала связи (ДСК) [1,2] и pm2 — вероятность ошибки на двоичный символ во втором ДСК канале связи с ошибками между первым и третьим корреспондентами СМЧК, тогда т 1 — вероятность ошибки в первой ПРП второго корреспондента СМЧК может быть найдена из выражения:
Рml ~ '
(1)
Аналогично — вероятность ошибки во второй ПРП третьего корреспондента СМЧК определяется выражением:
&П1 j
pm2 :
(2)
причем i е {0,1}), и возникновения ошибки j во втором канале связи с ошибками между первым и третьим корреспондентами СМЧК (наличия ошибки (j=1) или отсутствия ошибки (j=0), причем j е{0,1}), при передаче любого символа от первого корреспондента СМЧК по первому и второму каналам связи с независимыми ошибками, где:
аоо = (1 Pml )(1 Pm2 ) а01 = (1- Pm 1 )Pm2 а 100 = Pm1(1 Pm2)
а 11 = p m 1pm 2
2.2. Оценка вероятностей ошибочного декодирования предварительных последовательностей корреспондентов сети связи. Вероятность ошибочного декодирования первой ПРП второго корреспондента СМЧК может быть определена по формуле:
PE1 < 1-(1- PE 01 )Y
где PE0i — вероятность ошибочного декодирования подблока длиной K двоичных символов из первой ПРП второго корреспондента СМЧК [1,2]:
к
^ 2
к
; \P>'ml(1- Pml)K
где рт2 - вероятность, с которой одновременно принимается блок с M повторениями вторым и третьим корреспондентами (длиной М+1 двоичных символов), которая определяется с помощью выражения:
р = ам +1 + ам +1 + ам+1 + ам+1
Гас "00 + "01 + "10 + "11
где а^ - совместная вероятность событий, возникновения ошибки i в первом канале связи с ошибками между первым и вторым корреспондентами СМЧК (наличия ошибки ^ = 1) или отсутствия ошибки ^ = 0),
где р т 1 — вероятность ошибки в первой ПРП второго корреспондента СМЧК, полученная из выражения
(1), а d - минимальное кодовое расстояние (N,K) кода [1,2].
Вероятность ошибочного декодирования второй ПРП третьего корреспондента СМЧК может быть опреде лена по формуле:
PE2 < 1-(1- Ре^
где PE02 — вероятность ошибочного декодирования подблока длиной К двоичных символов из второй ПРП третьего корреспондента СМЧК, определяется согласно выражения:
PE02 < 2 Г к^-Pm2)K-i
где рт 2 — вероятность ошибки во второй ПРП третьего корреспондента СМЧК, полученная из выражения
(2).
ac
ac
us
RESEARCH
3. Оценка трудоемкости поиска нарушителем сетевого ключа
Сделаем предположение, что нарушителю достоверно известно число двоичных символов из двоичных символов СК, причем может быть найдено из выражения:
0 = [I (ККт;2ь~и )]
где |_аа] — минимальное целое число, которое не менее аа.
С вероятностью близкой к единице и равной 1- Ре (вероятность со-бытия, когда информация нарушителя о СК не превысит определенной малой величины 1о) минимальный объем списка L (трудоемкость) поиска СК нарушителя составит величину равную:
I = 2Г~0
Вывод: исследования протокола формирования СК по открытым каналам связи показали полезность для нарушителя знания полной информации о ключе, которая включает информацию, полученную с помощью перехвата, информацию о порядке взаимодействия корреспондентов СМЧК и формировании СК. Необходимо выработать СК таким образом, чтобы нарушитель не мог получить его за промежуток времени не устаревания закрытой информации. Для этого определена нижняя вероятностная граница минимального объема списка (трудоемкости) поиска ключа нарушителем как основного параметра безопасности
формирования СК на основе оценки его полной ин-формации.
Литература
1. Берлекэмп Э. Алгебраическая теория кодирования. - М: Мир, 1971. -С. 11.
2. Блейхут Р. Теория и практика кодов контролирующих ошибки. -М: Мир, 1986. - С. 61.
3. Галлагер Р. Теория информации и надежная связь. - М: Советское радио, 1974. - 720 с.
4. Месси Д. Введение в современную криптологию. // Журнал ТИИЭР, 1988. 76, 5, 24.
5. Фергюсон Н., Шнайер Б. Практическая криптография. - М.: Издательский дом "Вильямс", 2005. - 424 с.
THE MATHEMATICAL MODEL OF THE OFFENDER OF THE OPEN KEY NETWORK COORDINATION WITH THE MINIMUM NUMBER OF THE CORRESPONDENTS
Sinyuk A., Doc.Tech.Sci., docent, Military Academy of
communications, eentrop@rambler.ru
Ostroumov O., Military Academy of communications,
oleg-26stav@mail.ru
Keywords: information, the offender , the system of the open key coordination formation, network with a minimum number of correspondents, cryp-tosystem, crypto protection.
Abstract
This article presents one of the most relevant problems of the information protection connected with the study of the application conditions of the key generation in the network with minimum number of correspondents in the open channels with errors, which is underinvestigated because of its research intensity . Small stability of the closed network to the key compromise, big resource-intensiity of the network cryptoconnectivity recovery, the uncertainty about the disturber model make this research issue relevant. The problem setting is determined by the need to work in the development of the network key while performing the key generation protocol so that the offender does not have the necessary knowledge to obtain a copy . The task of the offender is to get the same key which the correspondent has. To assess this problem the lower bound of the offender's labor intensity of the open formulated network key is determined. The represented estimates of the lower limit of the offender's
labor intensity of the network key have scientific novelty and they differ from the known estimates because they are based on the offender's information about the formation of the key in the open communication channels , which cannot be increased during the course of any information processing. The scientific novelty lies in the proposed approach of the offender's information estimate about the formation of the network key. The practical value is represented in the lower border of the probabilistic minimum volume list of the key search by the violator as the main parameter of network key formation security. It allows on the base of the speed work estimate of the modern computer technology to determine the minimum amount of the time which the offender spend to find the key. The further work in this direction is the evaluation of the additional parameter - the probability of hitting the key in the exhaustive list, besides the main parameter of the key formation security - the volume of the list sorted by the offender. According to the authors' opinion the materials will be of interest to specialists interested in the problem of secure communication in the systems intended for special purposes .
References
1. Berlekamp E, 1971, 'Algebraic coding theory', Moscow, Mir, p. 11.
2. Blahut R, 1986, 'The theory and the practice of the codes controlling the mistakes', Moscow, Mir, p. 61.
3. Gallagher R, 1974, 'The theory of the information and the reliable communication', Moscow, Soviet radio, pp. 720.
4. Messi D, 1988, 'The introduction to the modern cryptology', Journal TIIER, No. 76, T. 5, p. 24.
5. Ferguson N & Schneier B, 2005, 'Practical Cryptography', Moscow, Publishing House "Williams", pp. 424.
