CC BY
61
ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ INFORMATION TECHNOLOGY, COMPUTER SCIENCE, AND MANAGEMENT
УДК 519.7 DOI 10.12737/16054
Модель организации защищенного документооборота на базе распределенной передачи данных с аутентификацией*
В. М. Деундяк1, С. Б. Попова2**
1Южный федеральный университет, ФГНУ НИИ «Спецвузавтоматика», г. Ростов-на-Дону, Российская Федерация 2Южный федеральный университет, г. Ростов-на-Дону, Российская Федерация
Secure document management model based on distributed data transmission with authentication*** V. M. Deundyak1, S. B. Popova2**
Southern Federal University, Research Institute "Spetsvuzavtomatika", Rostov-on-Don, Russian Federation 2Southern Federal University, Rostov-on-Don, Russian Federation
Организация защищенного документооборота является предметом данного исследования. Его цель — повышение надежности передачи данных. Задача работы — построение надежной модели организации защищенного документооборота с аутентификацией. Для решения указанной задачи применяется метод распределенной передачи данных, который позволяет за счет использования нескольких каналов значительно уменьшить вероятность несанкционированного доступа к информации и возможности ее модификации. В качестве результата работы представлена модель организации защищенного документооборота на основе двухканального алгоритма шифрования MV 2 и базовых шифров AES и RC4. Предусмотрена замена базовых шифров и учтена потребность использования ассоциированных данных, которые должны оставаться открытыми, но быть аутентифицированными вместе с основной зашифрованной информацией. Построенная модель решает поставленную задачу, а программная реализация, разработанная на языке С++ с использованием библиотеки NTL, может быть применена на практике. Область применения полученных результатов — защита коммерческого документооборота.
Ключевые слова: электронный документооборот, конфиденциальность информации, целостность, аутентификация, распределенная защита, ассоциированные данные.
The present research subject is the secure document management. Its purpose is increasing the reliability of the data transmission. The research problem is the construction of a reliable model of the secure document management with authentication. The distributed data transmission technique which allows - using multiple channels - reduce significantly the risk of the unauthorized access to the information, and the possibilities of its modification, is used to solve this problem. The research result is a secure document management model based on the dual-link MV2 cryptoal-gorithm, and AES and RC4 underlying ciphers. The replacement of the basic ciphers is provided, and the need of the additional associated data which must remain open, but be authenticated with the basic encrypted information is considered. The model constructed solves the original problem, and the software implementation developed in C ++ using NTL library can be applied in practice. The application field of the results obtained is the commercial document management protection.
Keywords: electronic document management, information confidentiality, integrity, authentication, distributed protection, associated data.
Введение и постановка задачи. В настоящее время система электронного документооборота получила широкое распространение, стремительно увеличивается объем соответствующих документов [1]. Очевидно, что растет необходимость в обеспечении их защиты, контроле их целостности. Для достижения указанных целей применяются различные криптографические методы, которые позволяют обеспечивать конфиденциальность обрабатываемых данных, а также осуществлять проверку их целостности, т. е. отслеживать факт случайного искажения или несанкционированной модификации [2].
<и S X <и ч и
eö Л
С
^
IS eö И IS X X <и H
s
X л
ч
(U
!s
4 о IS
Е 3 и
eö И
IS
Й
5 а о
X
S
'Работа выполнена в рамках инициативной НИР.
**E-mail: vl.deundyak@gmail.com, svetyla92@mail.ru
""The research is done within the frame of the independent R&D.
lol
Для проверки целостности используются методы аутентификации. Следует отметить, что аутентификация актуальна не только для зашифрованных текстов, но и для открытых данных, называемых ассоциированными. Например, для заголовков сетевых пакетов, которые должны быть не зашифрованы, но аутентифицированы с передаваемой зашифрованной полезной нагрузкой [3-5]. С этой целью применяются методы передачи по распределенным закрытым или частично закрытым сетям. Поэтому особый интерес представляют методы многоканальной криптографии, использование которых позволяет разбивать защищаемую информацию на несколько частей [6-11]. Очевидно, что при отсутствии одной из частей восстановление, анализ или модификация данных невозможны. Таким образом, обеспечивается более высокий уровень защиты данных.
Итак, научный и практический интерес представляют методы распределенной передачи данных, позволяющие одновременно шифровать и аутентифицировать как зашифрованные, так и ассоциированные данные. В связи с этим актуальной задачей является создание простой, надежной и эффективной модели организации защищенного документооборота с аутентификацией. В представленной статье описана такая модель, основанная на схеме двухканаль-ного шифрования MV 2.
Необходимые сведения о схеме двухканального шифрования MV 2. Схема двухканального шифрования MV 2 разработана в [7-8].
Рассмотрим алгоритм зашифрования, представленный на рис. 1. В алгоритме используется ключ, длина которого может равняться 128, 256, 512 или 1024 битов.
Рис. 1. Схема зашифрования алгоритма МУ 2
й О ТЗ
М
'й
и
и
О, £ -Й
Изначально данные, которые требуется зашифровать, подаются в блок «И» (исходный текст). Из этого блока они поступают в блок «З» (забеливание), где происходит преобразование данных — их начальная рандомизация. Для забеливания к исходному тексту применяется поточный шифр, что позволяет разрушить статистические зависимости в тексте. В качестве такого шифра используется RC4 [6]. Отметим, что при необходимости RC4 может быть заменен другим потоковым шифром с близкими параметрами.
Забеленный текст поступает на вход основного процесса (ОП) шифрования, состоящего из нескольких раундов. Всего выполняется Ыг раундов преобразований. В каждом раунде входные данные подвергаются преобразованию: перестановочному (блок «11111») и подстановочному MV 2 (блок «11112»). В качестве перестановочного преобразования в модели используется алгоритм AES [12], который может быть заменен на другой блочный шифр с аналогичными характеристиками. Подстановочное преобразование осуществляется с использованием специальных подстановочных таблиц MV 2-преобразований, которые заменяют строки исходного текста фиксированной длины парой строк переменной меньшей длины [7]. При зашифровании остаток С, полученный на выходе блока «11112». отправля-
ется на вход следующего раунда преобразований в блок «ПП1». При этом с каждым раундом дополнительная информация, необходимая для обеспечения обратимости МУ 2-преобразований (флаг), накапливается в Р. Остаток С, полученный на последнем раунде преобразований, называется информационным ядром. Пара шифртекстов С и Р образуют выход алгоритма зашифрования.
Таким образом, алгоритм зашифрования обеспечивает разбиение входной конфиденциальной информации на две части — С и Р, которые подаются на вход двух открытых каналов. При расшифровании две части зашифрованного текста проходят Ыг раундов обратных преобразований основного процесса (ОП). После этого снимается забеливание и тем самым восстанавливаются исходные данные.
Модель защищенного документооборота с аутентификацией. В разработанной модели зашифрованные данные передаются по двум каналам связи. При этом наряду с зашифрованием исходных данных осуществляется также и одновременная их аутентификация (рис. 2).
Рис. 2. Общая схема модели
Рассмотрим представленную схему более детально. На вход алгоритма зашифрования с аутентификацией поступают данные трех типов:
— х — данные для зашифрования и аутентификации;
— N — уникальный вектор из п битов, называемый нонсом, который используется один раз в течение жизни ключа;
— Н — ассоциированные данные.
Кроме того, на вход алгоритма от генератора ключей поступают также следующие величины:
— ki — ключ длины п для алгоритмов зашифрования/расшифрования,
— k2 —ключ длины п для алгоритма аутентификации.
Данные, полученные на выходе алгоритма зашифрования с аутентификацией, отправляются по двум каналам. По первому каналу пересылается первый шифртекст С (остаток) и тег аутентификации Tag, а по второму каналу — второй шифртекст F (флаги). Алгоритм расшифрования с аутентификацией расшифровывает пришедшие по каналам шифртексты С и F. По расшифрованным данным вычисляется тег аутентификации. Аутентификация считается пройденной, если пришедший по каналу вместе с шифртекстами тег аутентификации совпадает с тегом, полученным после работы алгоритма расшифрования. При этом на выходе алгоритма расшифрования с аутентификацией будут получены исходные данные x. В противном случае в качестве результата выдается сообщение об ошибке.
Теперь рассмотрим подробнее работу входящих в схему алгоритмов зашифрования и расшифрования. Разделение на два канала осуществляется с помощью MV 2 ( рис. 1). В MV 2 проводится несколько раундов преобразований. Поэтому в построенном алгоритме зашифрования с аутентификацией также выполняется несколько раундов. Следовательно, достаточно рассмотреть работу одного раунда (рис. 3), которая делится на две части — зашифрование (левая часть схемы) и аутентификация (правая часть).
<и К X <и
4 и
ей Л
С
^
IS <й И IS X X <и н
5
X Л
ч <и
Ё
4 о
IS
Е 3 и
<й и
IS Й
5
Л
о X
К
Рис. 3. Схема зашифрования с аутентификацией для ]-го раунда
й О ТЗ
М
'й
и
и
О, С -Й
104
Перед началом зашифрования из п-6итного ключа к1 генерируется 32 вспомогательных ключа по 256 байтов. Предположим, что п = 128. Эти ключи представляют собой 32 таблицы подстановочного преобразования [7]. В начале каждого раунда алгоритма MV 2 случайным образом происходит выбор номера таблицы. Обозначим через Ы , номер таблицы MV 2-преобразования на >м раунде:
'е [1, Ыг],
где Ыг — число раундов алгоритма MV 2.
Поступающее на вход раунда зашифрования сообщение С , _ 1 разбивается на блоки, размер которых равен п битов. Если размер последнего блока меньше п, он дополняется до п битов. Для первого раунда С 0 = х. Нонс N изначально зашифровывается с помощью псевдослучайной функции на ключе к!:
сгг, = ртт. Из полученного значения 1 вычисляется набор счетчиков:
аг i = РРР к 1 (с& 1 + I _ 1),
где 1Е [2, т,].
Счетчики суммируются по модулю 2 с зашифровываемым на данном раунде текстом С, _ 1 :
$ = Сг I + 1@С _ 1 1 ,
где С] _ и — 1-й блок С] _ ¡.
Для получения остатка и флага на _|-м раунде к 8! алгоритм MV 2 применяется следующим образом:
(с„Л) = АЛ ' 2Епск I где с 1 и / — соответственно остаток и флаг для ьго блока сообщения С] _ п.
Остаток на]-м раунде С, получается путем битовой конкатенации значений с1, а флаг р — с помощью битовой конкатенации флагов 1 Е [1, т] , где тj — число п-битных блоков в С]_ и. Остаток С, отправляется на вход следующего раунда для последующего сжатия, а флаги ^ с каждого раунда накапливаются. В итоге после Ыг раундов преобразований получается пара
С = С№ Р = РМг... На этом этапе завершается зашифрование данных.
Проверка целостности осуществляется с помощью кодов аутентификации сообщения. При выработке тега аутентификации для ]-го раунда используется режим работы CBC некоторого блочного шифра [13]. На основе этого режима строится последовательность действий, в которой каждый новый зашифрованный блок зависит от результата зашифрования предыдущего. Такая связь дает возможность получить тег аутентификации сообщения, поскольку изменение даже одного бита открытого текста влечет за собой непредсказуемое изменение выходного зашифрованного блока. В качестве блочного шифра для выработки тега аутентификации выбран блочный шифр AES [12].
Опишем процесс получения тега. До начала применения AES необходимо произвести следующие вычисления. Положим и вычислим
Н = (о1 02 0 р - 1 Н-' _Н _14 +1 Н^ _1 0У +4 0п)
где 01 означает, что 1-й бит строки НР- равен 0; Н — к-й бит Н; р — сумма номеров таблиц MV 2-преобразований, выбранных для раундов.
Рассмотрим ]-й раунд работы схемы. Значение служит начальным значением счетчика для
шифрования в режиме CBC:
Ti = E, 2 Ti - J Ф Sr - ) ) iE [2, mj , где Ek 2 — алгоритм зашифрования AES на ключе k2. Вычисляются
Xj = N ■ ZNj (mod 256), где NjE [0, 31] , Z N j — Nj -й символ в Nj -й таблице MV 2-преобразования и раундовый тег
T agj = r(Tmj, X j) ,
где т означает циклический сдвиг Tmj на 4 бита вправо, когда Xj четное, и аналогичный сдвиг влево, когда Xj нечетное.
После выполнения Nr раундов результирующий тег Tag вычисляется путем сложения по модулю 2 всех ра-ундовых тегов:
Tag = Tag¡ ф Tag2 ф... ф TagNr. Таким образом, выход схемы шифрования с аутентификацией является тройкой ( ). По одному каналу
отправляется пара ( С, Tag) , по другому — F.
Алгоритм расшифрования с аутентификацией для проверки аутентичности сообщения сначала расшифровывает пришедшие по каналу шифртексты и . Затем с помощью расшифрованных значений на каждом раунде по такому же принципу, как в схеме шифрования с аутентификацией, вычисляет раундовые теги, а затем, после выполнения всех раундов вычисляет результирующий тег. Если пришедший по каналу тег аутентификации совпадает с тегом, вычисленным после расшифровки шифртекстов, то проверка целостности выполнена, и выходом алгоритма расшифрования с аутентификацией является исходный текст х. Если же теги не совпали, то алгоритм выдает сообщение об ошибке.
Описанная выше модель программно реализована на языке C++ с использованием библиотеки NTL [14]. Приведем пример входных и выходных данных, полученных в результате работы программы.
Входные данные: открытый текст , нонс , ассоциированные данные , ключи и : [Погасло дневное светило; На море синее вечерний пал туман. Шуми, шуми, послушное ветрило, Волнуйся подо мной, угрюмый океан.]
N = [0x11, 0x01, 0x22, 0x13, 0x04, 0x67, 0x06, 0x17, 0x08, 0x29, 0x0a, 0x61, 0x1c, 0x0d, 0x0e, 0x0f ; H = [0x75, 0x11, 0x02, 0x03, 0x07, 0x20, 0x06, 0x16, 0x18, 0x09, 0x0a, 0x0b, 0x0c, 0x23, 0x01, 0x11]; k¡ = [0x9e, 0x47, 0x31, 0xc5, 0x49, 0xff, 0x58, 0x41, 0x3f, 0x7d, 0x89, 0xe3, 0x11, 0xfb, 0x89, 0x13]; k2 = [0x15, 0x11, 0x42, 0x30, 0x44, 0x05, 0x06, 0x07, 0x27, 0x19, 0x2a, 0x0b, 0x0c, 0x0d, 0x0e, 0x1f].
Выходные данные: шифртексты С и F, тег аутентификации Tag: u
С = [±$wДyЗЖ~таns€6qI{Л@-Н€z-33шэ*0©| BYu) щ
{•zJ§/}§нftMНцВHg~9fУ6M-WРAI©mш5 ! 'e±#юSKзhФkяЦ] ; g
F = [Ab-©W qR•АеQBM•КСэdЖЬНоIk"п а]; ^
Tag = [" Ц,™v\OЪMZDй□ШM№]. ^
Заключение. Для организации защищенного документооборота построена модель, обеспечивающая конфиденциаль- s
ей
ность и целостность обрабатываемых данных. Модель основана на принципах распределенной передачи данных и g
s
использования дополнительных ассоциированных данных. Представленная модель программно реализована на языке Е
С++ с использованием библиотеки NTL. Приведены результаты работы программы для тестовых входных данных. ¡^
Авторы выражают искреннюю признательность А. Э. Маевскому за полезное обсуждение постановки задачи. ¡§
К л
4
Библиографический список
1. Саттон, М.-Дж.-Д. Корпоративный документооборот: принципы, технологии, методология внедрения / М.- ¡5 Дж.-Д. Саттон. — Санкт-Петербург : Азбука, 2002. — 448 с. §
2. Бабаш, А. В. Криптография I А. В. Бабаш, Г. Р. Шанкин. — Москва : СОЛОН-Р, 2002. — 512 с. §
3. Rogaway, P. Evaluation of Some Blockcipher Modes of Operation [Электронный ресурс] I P. Rogaway. — Ре- и„
жим доступа: http:IIweb.cs.ucdavis.eduI~rogawayIpapersImodes.pdf (дата обращения 01.06.15). g
5
4. Bellare, M. Authenticated encryption: Relations among notions and analysis of the generic composition paradigm I jg M. Bellare, C. Namprempre II Lecture Notes in Computer Science. — 2000. — Vol. 1976 : Advances in Cryptology — ASI- ¡^ ACRYPT 2000 I ed. T. Okamoto. — Berlin ; Heidelberg : Springer-Verlag, 2000. — P. 531-545. ^
5. Rogaway, P. Authenticated-encryption with associated-data I P. Rogaway II ACM Conference on Computer and ^ Communications Security (CCS'02). — Washington, 2002. — Р. 98-107.
6. Шнайер, Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер.
— Москва : Триумф, 2002. — 816 с. 105
7. Мищенко, В. А. Ущербные тексты и многоканальная криптография / В. А. Мищенко, Ю. В. Виланский. — Минск : Энциклопедикс, 2007. — 292 с.
8. Мищенко, В. А. Криптографический алгоритм MV 2 / В. А. Мищенко, Ю. В. Виланский, В. В. Лепин. — Минск : Энциклопедикс, 2007. — 176 с.
9. Деундяк, В. М. О стойкости кодового зашумления к статистическому анализу наблюдаемых данных многократного повторения / В. М. Деундяк, Ю. В. Косолапов // Моделирование и анализ информационных систем. — 2012. — Т. 19, № 4. — С. 110-127.
10. Могилевская, Н. С. Программное средство логической проверки корректности криптографических протоколов распределения ключей на основе BAN-логики / Н. С. Могилевская // Вестник Дон. гос. техн. ун-та. — 2012. — Т. 12, № 1, вып. 2. — С. 5-15.
11. Могилевская, Н. С. Пороговое разделение файлов на основе битовых масок: идея и возможное применение / Н. С. Могилевская, Р. В. Кульбикаян, Л. А. Журавлев // Вестник Дон. гос. техн. ун-та. — 2011 — Т. 11, № 10. — С. 1749-1755.
12. Баричев, С. Г. Основы современной криптографии / С. Г. Баричев, В. В. Гончаров, Р. Е. Серов. — Москва : Горячая линия — Телеком, 2002. — 176 с.
13. Основы криптографии / А. П. Алферов [и др.]. — Москва : Гелиос АРВ, 2002. — 480 с.
14. NTL: A Library for doing Number Theory [Электронный ресурс] / Victor Shoup. — Режим доступа: http://www.shoup.net/ntl/ (дата обращения 01.06.15).
References
1. Satton, M.G.D. Korporativnyy dokumentooborot: printsipy, tekhnologii, metodologiya vnedreniya. [Corporate document management: principles, technologies, implementation methodology.] St. Petersburg: Azbuka, 2002, 448 p. (in Russian).
2. Babash, AV., Shankin, G.R. Kriptografiya. [Cryptology.] Moscow: SOLON-R, 2002, 512 p. (in Russian).
3. Rogaway, P. Evaluation of Some Blockcipher Modes of Operation. Available at: http://web.cs.ucdavis.edu/~rogaway/papers/modes.pdf (accessed: 01.06.15).
4. Bellare, M., Namprempre, C. Authenticated encryption: Relations among notions and analysis of the generic composition paradigm. Lecture Notes in Computer Science, 2000, vol. 1976, pp. 531-545; Advances in Cryptology — ASI-ACRYPT 2000, Okamoto, T., ed. Berlin: Springer-Verlag, 2000.
5. Rogaway, P. Authenticated-encryption with associated-data. ACM Conference on Computer and Communications Security (CCS'02). Washington, 2002, pp. 98-107.
6. Shnayer, B. Prikladnaya kriptografiya. Protokoly, algoritmy, iskhodnye teksty na yazyke Si. [Applied Cryptography. Protocols, algorithms, source code in C.] Moscow: Triumf, 2002, 816 p. (in Russian).
7. Mishchenko, VA., Vilanskiy, V.A. Ushcherbnye teksty i mnogokanal'naya kriptografiya. [Defective texts and multichannel cryptology.] Minsk: Entsiklopediks, 2007, 292 p. (in Russian).
8. Mishchenko, VA., Vilanskiy, V.A., Lepin, V.V. Kriptograficheskiy algoritm MV 2. [Cipher algorithm.] Minsk: Entsiklopediks, 2007, 176 p. (in Russian).
9. Deundyak, V.M., Kosolapov, Y.V. O stoykosti kodovogo zashumleniya k statisticheskomu analizu nablyudae-mykh dannykh mnogokratnogo povtoreniya. [On the firmness code noising to the statistical analysis of the observable data of repeated repetition.] Modelirovanie i AnalyzInformatsionnykh Sistem, 2012, vol. 19, no. 4, pp. 110-127 (in Russian).
10. Mogilevskaya, N.S. Programmnoe sredstvo logicheskoy proverki korrektnosti kriptograficheskikh protokolov raspredeleniya klyuchey na osnove BAN-logiki. [Software tool for logical validation of cryptographic key generation protocols based on BAN-logic.] Vestnik of DSTU, 2012, vol. 12, no. 1, iss. 2, pp. 5-15 (in Russian).
11. Mogilevskaya, N.S., Kulbikayan, R.V., Zhuravlev, L.A. Porogovoe razdelenie faylov na osnove bitovykh masok: g ideya i vozmozhnoe primenenie. [Threshold file sharing based on bit masks: concept and possible use.] Vestnik of DSTU, 3 2011, vol. 11, no. 10, pp. 1749-1755 (in Russian).
й 12. Barichev, S.G., Goncharov, V.V., Serov, R.E. Osnovy sovremennoy kriptografii. [Fundamentals of modern cryp-
tology.] Moscow: Goryachaya liniya — Telekom, 2002, 176 p. (in Russian). •g 13. Alpherov, A.P., et al. Osnovy kriptografii. [Fundamentals of cryptology.] Moscow: Gelios ARV, 2002, 480 p. (in
« Russian).
14. Shoup, V. NTL: A Library for doing Number Theory. Available at: http://www.shoup.net/ntl/ (accessed: 01.06.15).
Поступила в редакцию 05.06.2015 Сдана в редакцию 10.06.2015 106 Запланирована в номер 24.09.2015
