CC BY
96
ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
НАУКА- ИННОВАЦИИ. ТЕХНОЛОГИИ, №2, 2017
удк003.26:519.725 Кузнецов А.А. [Kuznetsov А.А.], Сватовский И.И. [Svatovskiy I.I.], Шевцов А.В. [Shevtsov A.V.]
МАТЕМАТИЧЕСКИЕ МОДЕЛИ АУТЕНТИФИКАЦИИ СООБЩЕНИЙ В ПОСТ-КВАНТОВЫХ КРИПТОСИСТЕМАХ НА ОСНОВЕ ПОМЕХОУСТОЙЧИВОГО КОДИРОВАНИЯ
Mathematical models of message authentication in the post-quantum cryptosystems based on error-correcting coding
Рассматриваются возможности применения для аутентификации сообщений схем цифровой подписи на основе помехоустойчивого кодирования, которые могут быть кандидатами для использования в пост-квантовой криптографии. Криптография на основе помехоустойчивых кодов привлекает внимание не только высокой стойкостью по отношению к атакам различного рода, но и высоким реализуемым схемным быстродействием, а также дополнительным преимуществом в способности к исправлению ошибок при передаче сигналов по каналам передачи данных. Описывается алгоритм цифровой подписи на основе помехоустойчивого кодирования. Представляются результаты компьютерного моделирования такого алгоритма для случая применения кодов Рида-Соломона и оцениваются затраты на его программную реализацию. Показывается перспективность использования помехоустойчивых кодов для аутентификации сообщений и намечаются направления дальнейших исследований.
The paper discusses possibilities for use of message authentication signatures schemes based on error-correcting coding which may be candidates for use in post-quantum cryptography. Code-based cryptography draws attention not only highly resistant to attacks of various kinds, but also performance hardware implementation and the additional advantage of the ability to correct errors in the transmission signals over data channels. Digital signatures algorithm based on error-correcting coding is described. The results of computer simulation of the algorithm for the case of the use of Reed-Solomon codes are presented. The cost of software implementation of this algorithm is evaluated. There is shown that promising in the use of error-correcting codes for message authentication.
Ключевые слова: Математическое моделирование криптопримитивов. модели и методы аутентификации, пост-квантовая криптография, криптография на основе помехоустойчивых кодов, цифровая подпись. Key words: Mathematical modeling of cryptoprimitives, models and methods of authentication, Post-Quantum Cryptography, Code-based Cryptography, Digital Signatures.
Введение
Криптография с открытым ключом в настоящее время применяется для защиты широкого спектра обмена цифровой информацией - от электронной почты до онлайн-транзакций, а также при установлении секретных ключей шифрования для симметричных криптосистем, используемых для конфиденциальной передачи информации в сетях высокоскоростной передачи данных. Наиболее важной областью применения криптографии с открытым ключом на сегодняшний день является ее использование для аутентификации сообщений с помощью цифровых подписей. Однако недавние до-
стижения в области квантовых вычислений и квантовой теории информации привели к реальной угрозе для известных криптографических решений защиты информации [1—3].
Многие из наиболее важных современных коммуникационных протоколов опираются, главным образом, на три основные криптографические функциональные возможности: шифрование с открытым ключом, цифровая подпись и обмен ключевой информацией. В настоящее время эти функции в основном реализованы с использованием протокола обмена ключами Диф-фи - Хеллмана, криптосистемы RSA и криптосистемы на основе эллиптических кривых (ЕСС). Безопасность этих систем зависит от сложности некоторых задач теории чисел, таких как факторизация целых чисел или дискретное логарифмирование [1, 10].
Квантовые компьютеры, использующие алгоритм Шора, будут способны к факторизации чисел с невероятной скоростью [4]. Следовательно, криптографические системы RSA и ЕСС будут уязвимы для атак грубой силы (brute force attacks) [1—4]. Подобное влияние на симметричные ключевые системы не оказывается столь же катастрофичным. Алгоритм Гровера обеспечивает квадратичное ускорение для квантовых алгоритмов поиска по сравнению с алгоритмами поиска на классических компьютерах [4, 10, 12]. Тем не менее, такая ситуация вызывает у специалистов тревогу, достаточную для того, чтобы Агентство Национальной Безопасности (АНБ) США обратилось к общественности с целью обеспечения как можно более быстрого перехода к квантово-безопасной криптографии [2]. В августе 2015 года АНБ обновило свой список криптографических алгоритмов Suite В (публичный список криптографических алгоритмов, утвержденных для правительственного использования) и сделало конкретные указания на возникающую угрозу квантовых вычислений [2]. Дирекция по вопросам информационного обеспечения (IAD) инициировала переход к квантовым устойчивым алгоритмам в не слишком отдаленном будущем. Основываясь на опыте развертывания Suite В, было решено начать планирование и заблаговременное общение по предстоящему переходу к квантово-устойчивым алгоритмам. Конечной целью было поставлено обеспечение экономически эффективной защиты от потенциального квантового компьютера [2].
В таблице 1 представлены результаты воздействия полномасштабных квантовых компьютеров на известные криптографические алгоритмы [3]. Анализ представленных в таблице 1 результатов свидетельствует о том, что наиболее уязвимыми к атакам с помощью квантовых компьютеров и не обеспечивающими долговременной стойкости являются асимметричные криптосистемы цифровой подписи и обмена ключами, которые основаны на схемах RSA, DSA, ECDSA и ECDH.
Пока неясно, когда практические варианты полномасштабных квантовых компьютеров будут созданы, однако исследователи, работающие над со-
Таблица 1. ВОЗДЕЙСТВИЕ ПОЛНОМАСШТАБНОГО КВАНТОВОГО
КОМПЬЮТЕРА НА КРИПТОГРАФИЧЕСКИЕ АЛГОРИТМЫ
Криптографический алгоритм Тип Назначение Воздействие полномасштабного квантового компьютера
AES-256 симметричный шифрование необходимы большие размеры ключ ключа
SHA-256, SHA-3 хеш-функция требуется увеличение размера на выходе схемы
RSA открытый ключ подпись, безопасность не обеспечива-установпение ется ключей
ECDSA, ECDH (Elliptic Curve Cryptography) открытый ключ подпись, обмен безопасность не обеспечива-ключами ется
DSA (Finite Field Cryptography) открытый ключ подпись, обмен безопасность не обеспечива-ключами ется
зданием квантового компьютера, подсчитали, что полномасштабный квантовый компьютер, способный взломать RSA-2048 в течение нескольких часов, может быть построен к 2030 году [3].
Материалы и методы исследования
Основные исследования и разработки криптографических алгоритмов в нынешнее время направлены на поиски решений, которые не имели бы уязвимостей по отношению к квантовым вычислениям, будучи одновременно стойкими к атакам с помощью обычных компьютеров. Такие алгоритмы получили название пост-квантовой криптографии (postquantum cryptography [6]) или квантово-устойчивой криптографии (quantum safe cryptography [4] или quantum resistant cryptography [12]).
Наиболее перспективными кандидатами для использования в постквантовом мире в настоящее время являются следующие [1, 3-5, 11, 12]:
1. Криптография на основе хеш-функций (Hash Based);
2. Криптография на основе помехоустойчивых кодов (Code Based);
3. Криптография на основе использования сложности проблемы перестановки ядра (Permuted Kernel Problem Based);
4. Криптография на основе решеток (LWE/RLWE Based);
5. Криптография на основе изогении суперсингулярных кривых (Super-Singular Isogeny Graph Based);
6. Криптография на основе факторизации многочленов (Multivariate Polynomial Based).
Из приведенного перечня криптография на основе помехоустойчивых кодов привлекает внимание исследователей не только высокой стойкостью к различного рода атакам, но и высоким реализуемым схемным быстродействием, а также дополнительным преимуществом в способности к исправлению ошибок при передаче сигналов по каналам передачи данных [4, 10, 11]. Следовательно, поиск алгоритмов, которые должны быть устойчивыми к атакам со стороны как классических, так и квантовых компьютеров, целесообразно сосредоточить на криптосистемах с открытыми ключами на основе помехоустойчивых кодов, что и определяет основную цель нашего исследования.
Результаты и их обсуждение
Асимметричные криптосистемы на основе помехоустойчивых кодов
Под криптосистемами на основе помехоустойчивых кодов (code-based cryptographic systems) мы имеем в виду криптосистемы, в которых алгоритмический примитив (базовый инструмент однонаправленной функции) использует код с исправлением ошибок С [6]. Этот примитив может состоять в добавлении ошибки в слово кода С или в вычислении синдрома, связанного с проверочной матрицей кода С.
Вместе с криптографическими схемами на основе решеток или многомерных полиномов криптосистема Мак-Элиса на основе двоичных кодов Гоппы является одним из самых перспективных пост-квантовых кандидатов [4, 7]. Идея этой схемы заключается в предварительном выборе определенного (линейного) кода, для которого известен эффективный алгоритм декодирования. Затем создается односторонняя функция с потайным входом при маскировке этого кода в виде линейного кода общего положения. Так как проблема декодирования линейного кода общего положения является NP-пол-ной, описание исходного кода может служить в качестве секретного ключа, в то время как описание преобразованного кода может служить в качестве открытого ключа [4].
В общем случае линейный код представляет собой ¿-мерное подпространство я-мсрного векторного пространства над конечным полем Fq, где к и п — целые положительные числа с к < п и q число элементов поля. Элементы кода называются кодовыми словами. Информационная скорость определяется как R= к / п. Минимальным расстоянием d кода является минимальное из расстояний Хемминга для всех пар кодовых слов, а код с этими свойствами
обозначается как [и, к, с!\. Исправляющая способность линейного кода есть максимальное количество ошибок t = \(с! 1) /2], которое код может гарантированно исправить, где [х] - наибольшее целое, не превосходящее х. В дальнейшем ограничимся рассмотрением двоичных кодов (с q = 2), характеризуемых параметрами \n,k,d\.
В оригинальной системе Мак-Элиса [7] секретным ключом является случайный двоичный неприводимый код Гоппы, а открытым ключом является матрица генератора случайных чисел из случайно переставленных версий этого кода. Шифртекст представляется в виде кодовых слов, к которым добавлены некоторые ошибочные символы, и только владелец секретного ключа (порождающей матрицы кода Гоппы) может правильно декодировать код, применяя быстрый алгоритм декодирования, т. е. удалить эти ошибки.
Почти все предложенные впоследствии асимметричные криптографические схемы, основанные на теории кодирования, имеют общий недостаток - сравнительно большую длину ключей, что вызывает потребность в больших объемах памяти. В тоже время, следует отметить предложенную в 1986 году аналогичную схему Нидеррайтера на основе обобщенных кодов Рида-Соломона [8], которая потребовала гораздо меньших размеров ключей, чем при использовании кодов Гоппы. Однако в 1992 году В.М. Сидельнико-вым и С. О. Шестаковым была установлена ненадежность криптографической схемы на основе обобщенных кодов Рида-Соломона [10], схема Нидеррайтера на основе кодов Гоппы остается стойкой.
Секретным ключом в исходном описании криптографической системы Мак-Элиса является код Гоппы. В тоже время секретный ключ можно сформировать и для любого другого подкласса альтернантных кодов. Лазейкой для криптосистемы Мак-Элиса является знание алгоритма эффективной коррекции ошибок, т. е. практически реализуемого алгоритма для выбранного класса кода (который доступен для каждого кода Гоппы), вместе с алгоритмом перестановки.
Схема цифровой подписи на основе
помехоустойчивых кодов
Единственный известный алгоритм цифровой подписи с использованием помехоустойчивых кодов основан на схеме Нидеррайтера и был представлен Courtois, Finiasz и Sendrier в [9]. Стойкость этой схемы, названной по инициалам ее изобретателей - CFS, против поддельной подписи может быть сведена к сложности решения проблемы синдромного декодирования. Знание секретного ключа позволяет декодеру решить эту проблему для некоторой доли случайных кодовых слов. В алгоритме CFS реализован принцип, который заключается в многократном хешировании документа, рандомизированного счетчиком битовой длины г, пока не будет получен правильно выделенный синдром. Подписавшийся использует свой секретный ключ для
определения соответствующего вектора ошибок. Вместе с текущим значением счетчика этот вектор ошибок будет служить в качестве подписи.
Реализация такой схемы подписи осуществляется согласно следующему алгоритму [9]:
1. Системные параметры: т. / е АГ;
2. Генерация ключа: генерация пары ключей системы Ни-деррайтера на основе использования кода С из класса
[и = 2™, к = п — ти?, 2? + 7] двоичных неприводимых кодов Гоппы, для которого порождаются следующие матрицы: Н: (п — к) х п - проверочная матрица кода С, который может
максимально корректировать ? ошибок, X: (п — к) х (п-к) - случайная обратимая матрица, Р: п х п - случайная матрица перестановок;
Открытый ключ: матрица Н*= X • Н • Р и число ?; Секретный ключ: матрицы X, Н, Р и быстрый (полиномиальной сложности) алгоритм декодирования у кода С;
3. Наложение подписи: Ввод: к - открытая хеш-функция, алгоритм у, документ с!, который должен быть подписан; Вывод: СРБ-подпись;
Алгоритм формирования СРБ-подписи:
- хеширование документа с!, т. е. вычисление 5 = к (с!);
- вычисление 5 = И (|\ /']) для /' е {0, 1, 2,...} где | /1 - конкатенация (объединение) 5 и /;
- поиск наименьшего /, при котором будет декодировано алгоритмом у, т. е. должно выполнятся условие
е Нт = в ,
где
арп-к
е Нт е
синдромное пространство;
соответствующие значения вектора ошибок е и счетчика г являются подписью документа с!.
4. Верификация: Ввод: подпись в виде значений е и /, документ с! и Н ; Вывод: принять или отклонить; Алгоритм верификации:
— вычисление л ; = Н • еТ
- вычисление л\ = И ([5 | /'])
если sj = s тогда принимается s, иначе отклоняется s.
Для корректного использования подобной схемы подписи необходимым является реализация успешного декодирования хеширован-ного документа, т.е. нахождения синдромного многочлена. Это обусловливает выполнение требования ограничения сверху минимального кодового расстояния между полученными значениями = И ([5 | /]) для г е {0, 1, 2, ...} и кодовыми словами используемого кода Гоппы. Иными словами, такая схема цифровой подписи может быть использована, если не будет превышена корректирующая способность кода, и для веса вектора ошибок е необходимым является выполнение условия:
где и ? (1)
Среднее число попыток, необходимых для декодирования синдрома, можно оценить путем сравнения общего количества синдромов с количеством эффективно корректируемых синдромов [9]:
%=„(?) _ З-о® ,, п%_ 1 (2)
22м п' t\
Таким образом, вероятность декодирования каждого синдрома составляет величину 1 /t!, что может быть проверено в течение примерно f т '' бинарных операций. Для реализации цифровой подписи по схеме CFS необходимо производство около t2m3t ! операций, и длина подписи составляет величину
log2(r$})~log2(n<),
т. е., г должен быть больше, чем log2 ( t !) [9].
С предложенными Courtois, Finiasz и Sendrier параметрами {m = 16, t = 9) число возможных векторов ошибок приблизительно определяется как ^
: 2125-5.
fnl <216Л
л I9 J
так, что 126-битового счетчика достаточно для адресации любого из них. Тем не менее, эти параметры являются слишком слабыми, чтобы предотвратить обобщенную атаку коллизий. Поскольку схема CFS не очень хорошо масштабируется с возрастанием исправляющей способности кода и длины сообщений, безопасные варианты реализации схемы CFS требуют очень длинных открытых ключей.
Реализация схемы CFS нуждается в тождественной информации об открытых и закрытых ключах, как и криптосистема Нидеррайтера.
Поэтому, используя выражение для размеров ключей, обоснованное в [14], и значения п = 2т, к = п — Ш, получаем, что закрытый ключ СББ имеет максимальный размер:
Ьрг = (п - к + 1 + 2log2n) + (п-к)2 +п log2n бит, (3)
а открытый ключ состоит из матрицы Н и требует Ьр = к ■ (п - к) бит (4)
для своего хранения.
При этом согласно усовершенствованному алгоритму СБ Б [15] производится одна из самых коротких известных цифровых подписей, которая также имеет очень быструю верификацию. С другой стороны, время подписания и размер ключей остаются относительно большими. Время подписания также не очень хорошо масштабируется выбором I. поэтому практический смысл имеет применение только кодов Гоппы с малой корректирующей способностью и большой длиной и, т.е. кодов с высокой информационной скоростью
тахп>> 1 к!п.
Учитывая важность для повышения помехоустойчивости практического использования в современных системах передачи информации кодов Рида-Соломона [16, 18, 19] как самостоятельно, так и в виде каскадных конструкций, представляется целесообразным исследовать возможности их применения и для аутентификации сообщений в соответствии с поставленной целью исследования. Для этого было проведено компьютерное моделирование программной реализации алгоритма цифровой подписи СРБ. В качестве ключа вибиралась секретная проверочная матрица Н (п, к, с/)-кода Рида-Соломона, исправляющего t ошибок, а для нахождения вектора ошибок использовался алгоритм декодирования у Берлекэмпа [17] и хеш-функция 8НА-256 (первые 12 бит).
Процедура моделирования для параметров кода (п,к,с1) = (7,3,5) поясняется ниже. Операции производятся над полем (¡1' = (23) по модулю полинома х3 + х2 + 1. Элементами поля (¡1' = (23) являются многочлены а0 + ахх + а2х2 от формальной переменной х с двоичными коэффицентами а, е (¡1' = (2). Представим эти многочлены в виде степеней примитивного элемента а (в скобках приведены коэффициенты а0ах аг соответствующих многочленов):
сг° = (0 0 0) а0 = (1 0 0) а1 = (0 1 0) а2 = (0 0 1)
а3 = (1 1 0) а4 = (0 1 1) а5 =(1 1 1) а6 =(1 0 1)
Матрицы, задающие секретный ключ, зафиксируем в виде:
Н =
( 0 а а0 а0 а0 а0 а0
а° а1 а2 а3 а4 а5 а6
а0 а2 а4 я1 аъ а5
а3 а6 «2 а5 а1
Р =
Р-1 =
—00 а -со а —00 а —00 а -«Л а
_ — а _ —со а _ —00 а а9 —СО а _ —со а
„ —ао а а^ „ —00 а а0 „ —оо а „ —00 а ^ —со а
—ао а а0 а~"> оГ* —00 а —00 а —00 а
-со а —оо а а0 —00 а —со « —со а
—со а —00 а _ —00 а _ —00 а _ —СО а а0 _ —со а
—00 а —со а —00 а —со а —00 а а0]
—со а _ —со а _ —00 а _ —00 а _ —00 а а-"
—00 а —со а —00 а аГ —со а _ —00 а
—00 а —со а а™ а0 —00 а —00 а
—со а а'0 —00 а —со а —со а —00 а
а"™ а"50 а"
а"*0 а°
а
а
а
а
а
а
а
V а2 а
а1 а° а
а2 а1 а
а2 а1 а
54 =
а4 а2 а0 а""
а4 а2
а"50 а4 а2
а2
Открытым ключом будет матрица Н = X • Н • Р, которая примет вид:
н* =
V а1 а0
а1 а6 а5
й4 а6 а0 а2
V«4 а1 а2 а4
а1 or0 а5^
аГ а3 а2
а5 а2 а0
а5 а1 а%
2] = 2.
Сообщение подписывается согласно приведенному выше алгоритму:
(h(è(m) [| /')) = (а4 а6 а!' а6),
где / = 3, и
(h (h (т) 11 / ) Р= (а0а3 а1 а1). Вектор ошибки находится следующим образом:
e' = y(h(h(m) || /)/' '). т. е. с использованием алгоритма декодирования у получим:
е ' = (сГ° а1 а3 аг° сГ° сГ° or"), откуда х'=е'Р-1 = (ег* еГ* ir"a1 я3 сг" сг"). Подпись проверяется следующим образом: sl = h {h {m) Il 7')) = (a4a6a!'a6),
s2 = x'HT=(a4a6 a0 a6).
В результате: подпись действительна, так как и \2 совпадают.
Для тестирования быстродействия программной реализации указанной схемы цифровой подписи использовался компьютер с характеристиками: тип процессора - Intel Core i7-3630QM, тактовая частота - 2,4 ГГц, объем оперативной памяти - 6 ГБ. Полученные при этом результаты представлены в таблице 2.
Анализ результатов моделирования алгоритма цифровой подписи свидетельствует о значительном у величении с ростом длины используемых кодов и их исправляющей способности как времени генерации секретных ключей, так и времени генерации цифровой подписи. Наблюдается значительный рост временных затрат на генерацию секретных ключей и наложения цифровой подписи от параметра t, а время верификации подписи остается постоянным и весьма малым. При этом размер открытого ключа экспоненциально зависит от т. Для оценки стойкости цифровой подписи требуется проведение дополнительных исследований.
Таблица 2 ВРЕМЕННЫЕ ПАРАМЕТРЫ ПРОГРАММНОЙ РЕАЛИЗАЦИИ
ЦИФРОВОЙ ПОДПИСИ
Параметры применяемого кода (n, k, d) Время генерации закрытого ключа, мс Время генерации открытого ключа, мс Время генерации подписи, мс Время верификации, мс
(7, 3, 5), GF(23) 35 3 14 1
(15,9,7), GF(24) 86 8 17 1
(31,23, 9), GF(25) 219 17 31 1
(63, 53,11), GF(26) 495 22 43 1
(127,115,13), GF(27) 1272 28 259 1
(255, 241,15), GF(28) 3962 100 5543 1
Выводы
Проведенный анализ известных работ и полученные результаты свидетельствуют о перспективности применения помехоустойчивых кодов в схемах пост-квантовой криптографии с открытым ключом, в частности - для аутентификации сообщений с использованием цифровой подписи. При этом значительный рост затрат на генерацию секретных ключей и самой подписи при возрастании исправляющей способности помехоустойчивых кодов ограничивает их выбор малыми значениями кодовых ограничений, что сужает и область предпочтительного применения. Вопросы оценки и обеспечения гарантированной стойкости алгоритмов цифровой подписи на основе помехоустойчивого кодирования требуют проведения дополнительных исследований.
Библиографический список
1. Neal Koblitz and Alfred J. Menezes A riddle wrapped in an enigma. URL: https://eprint.iacr.org/2015/1018 (posted 03-Dec-2015).
2. NSA acknowledges need for quantum-safe crypto. URL: http:// www.idquantique.com/nsa-quantum-safe-crypto/ (handling date: 25 May 2016).
3. NISTIR 8105 DRAFT Report on Post-Quantum Cryptography. National Institute of Standards and Technology Internal, Report 8105, February 2016. 15 p.
4. ETSI White Paper No. 8, Quantum Safe Cryptography and Security: An Introduction, Benefits, Enablers and Challenges, June 2015.
5. Evaluating Post-Quantum Asymmetric Cryptographic Algorithm Candidates / Tolga Acar, Josh Benaloh, Craig Costello and Dan Shumow. MSR Security and Cryptography Group. URL: http://csrc. nist.gov/groups/ST/post-quantum-2015/presentations/session7-shumow-dan.pdf (handling date: 25 May 2016).
6. Bernstein D. Post-quantum cryptography [Text] / D. Bernstein, J. Buchmann, E. Dahmen. Berlin: Springer, 2009. 246 p.
7. McEliece R. J. A public-key cryptosystem based on algebraic coding theory. DSN Progress Report 42-44, Jet Propulsion Lab., Pasadena, CA, January-February, 1978. P. 114-116.
8. Niederreiter H. Knapsack-type cryptosystems and algebraic coding theory/Н. Niederreiter//Problem Control and Inform Theory, 1986, v. 15. P. 19-34.
9. Courtois N. How to achieve a McEliece-based digital signature scheme / Courtois N., Finiasz M. and Sendrier N. // In Advances in Cryptology - ASIACRYPT 2001. Springer-Verlag, 2001, vol. 2248. P. 157-174.
10. Сидельников B.M. О системе шифрования, построенной на основе обобщенных кодов Рида-Соломона / В.М. Сидельников, С.О. Шестаков //Дискретная математика. 1992. Т. 4. Вып. 3. С. 57-63.
11. Горбенко Ю. I. АналЬ шляхю розвитку криптографи пюля появи квантових K0Mn'i0TepiB / Ю. I. Горбенко, Р. С. Ганзя // Вюник На-цюнального ушверситету "Льввська полгтехшка". 2014. № 806. С. 40-48.
12. Ray A. Perlner and David A. Cooper Quantum resistant public key cryptography: a survey. In Proceedings of the 8th Symposium on Identity and Trust on the Internet (IDtrust '09), Kent Seamons, Neal McBurnett, and Tim Polk (Eds.). New York, ACM, 2009. P. 85-93.
13. Богданов А.Ю. Квантовые алгоритмы и их влияние на безопасность современных классических криптографических систем / А.Ю. Богданов, И.С. Кижватов. М.: РГГУ, 2005.
14. Engelbert D., Overbeck R., and Schmidt A. A summary of McE-liecetype cryptosystems and their security // Journal of Mathematical Cryptology, 2007. № 1(2). P. 151-199.
15. M. Finiasz Parallel-CFS - Strengthening the CFS McEliece-Based Signature Scheme. In A. Biryukov, G. Gong, and D.R. Stinson, editors, Selected Areas in Cryptography, vol. 6544 of Lecture Notes in Computer Science. Springer Berlin Heidelberg, 2011. P. 159-170.
16. Морелос-Сарагоса Р. Искусство помехоустойчивого кодирования. Методы, алгоритмы, применение / пер. с англ. В.Б. Афанасьева. М.: Техносфера, 2006.
17. Берлекэмп Э. Алгебраическая теория кодирования. М.: Мир, 1971.
18. Деев В.В. Методы модуляции и кодирования в современных системах связи. СПб.: Наука, 2007.
19. Рассомахин С.Г., Малофей О.П., Малофей А.О. Оптимизация алгоритма передачи числовых позиционных кодов для дискретных каналов с флуктуационным шумом // Наука. Инновации. Технологии. 2015. № 1. С. 51-59.
References
1. Neal Koblitz and Alfred J. Menezes A riddle wrapped in an enigma. URL: https://eprint.iacr.org/2015/1018 (posted 03-Dec-2015).
2. NSA acknowledges need for quantum-safe crypto. URL: http:// www.idquantique.com/nsa-quantum-safe-crypto/ (handling date: 25 May 2016).
3. NISTIR 8105 DRAFT Report on Post-Quantum Cryptography. National Institute of Standards and Technology Internal, Report 8105, February 2016. 15 p.
4. ETSI White Paper No. 8, Quantum Safe Cryptography and Security: An Introduction, Benefits, Enablers and Challenges, June 2015.
5. Evaluating Post-Quantum Asymmetric Cryptographic Algorithm Candidates / Tolga Acar, Josh Benaloh, Craig Costello and Dan Shumow. MSR Security and Cryptography Group. URL: http://csrc. nist.gov/groups/ST/post-quantum-2015/presentations/session7-shumow-dan.pdf (handling date: 25 May 2016).
6. Bernstein D. Post-quantum cryptography [Text] / D. Bernstein, J. Buchmann, E. Dahmen. Berlin: Springer, 2009. 246 p.
7. McEliece R.J. A public-key cryptosystem based on algebraic coding theory. DSN Progress Report 42-44, Jet Propulsion Lab., Pasadena, CA, January-February, 1978. P. 114-116.
8. Niederreiter H. Knapsack-type cryptosystems and algebraic coding theory// Problem Control and Inform Theory, 1986, v. 15. P. 19-34.
9. Courtois N., Finiasz M. and Sendrier N.: How to achieve a McE-liece-based digital signature scheme. In Advances in Cryptology-ASIACRYPT 2001. Springer-Verlag, 2001, vol. 2248. P. 157-174.
10. Sidelnikov V.M., Shestakov S.O. O sisteme shifrovania, postroen-noy na osnove obobschennih kodov Rida-Solomona (On an encod-
ing system constructed on the basis of generalized Reed-Solomon codes) // Diskretnaya matematika. 1992. Tom 4, vipusk 3. S. 57-63.
11. Gorbenko Y.I. Analiz shliahiv rozvitku kriptografii pislia poyavi kvan-tovih kompyuteriv (Analysis of cryptography ways after the onset of quantum computers)/Y.I. Gorbenko, R.S. Ganzia//VisnikNatsion-alnogo universitetu "Lvivska politehnika". 2014. №806. S. 40-48.
12. Ray A. Perlner and David A. Cooper Quantum resistant public key cryptography: a survey. In Proceedings of the 8th Symposium on Identity and Trust on the Internet (IDtrust '09), Kent Seamons, Neal McBurnett, and Tim Polk (Eds.). New York, ACM, 2009. P. 85-93.
13. Bogdanov A.Y. Kvantovie algoritmi i ih vliyanie na bezopasnost sovremennih klassicheskih kriptograficheskih system (Quantum algorithms and their impact on the security of modern classical cryptographic systems)/A.Y. Bogdanov, I.S. Kizhvatov. M.: RGGU, 2005.
14. Engelbert D., Overbeck R., and Schmidt A. A summary of McElie-cetype cryptosystems and their security // Journal of Mathematical Cryptology, 2007. №1(2). P. 151-199.
15. M. Finiasz Parallel-CFS - Strengthening the CFS McEliece-Based Signature Scheme. In A. Biryukov, G. Gong, and D.R. Stinson, editors, Selected Areas in Cryptography, vol. 6544 of Lecture Notes in Computer Science. Springer Berlin Heidelberg, 2011. P. 159-170.
16. Morelos-Saragosa R. Iskusstvo pomehoustoychivigo kodirovania. Metodi, algoritmi, primenenie / per. s angl. V.B. Afanasieva (The Arts of Error Correcting Coding ). M.: Tehnosfera, 2006.
17. Berlekemp E. Algebraicheskaya teoria kodirovania (Algebraic Coding Theory). M.: Mir, 1971.
18. Deev V.V. Metodi moduliatsii i kodirovania v sovremennih sistemah sviazi (Modulation and coding techniques in modern communication systems). SPb.: Nauka, 2007.
19. Rassomahin S.G., Malofey O.P, Malofey A.O. Optimizatsia algo-ritma peredachi chislovih pozitsionnih kodov dlia diskretnih kanalov s fluctuatsionnim shumom (Optimization of algorithms transferring numeric positional codes for discrete channels with the fluctuation noise)//Nauka. Innovatsii. Tehnologii. 2015. №1. S. 51-59.
