Может ли комбинация активных атак привести к большему ущербу для системы защиты информации, чем каждая из атак в отдельности? Текст научной статьи по специальности «Математика»

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

В работе рассмотрена целесообразность создания базы калибровочных данных для уменьшения ошибок при изучении характеристик взаимодействия электромагнитных волн СВЧ диапазона и фрагментов растительного покрова. Предлагаемая база калибровочных данных должна заполняться априорными данными, результатами калибровочных измерений, а также результатами экспериментальных исследований. В этом случае априорные данные такой базы калибровочных данных могут быть использованы в качестве справочной информации для грубой качественной оценки характеристик взаимодействия электромагнитных волн с элементами растительного покрова, а результаты калибровочных измерений совместно с априорными данными должны быть использованы для более точной интерпретации экспериментальных данных.

Рассмотренная база калибровочных данных необходима для использования в разрабатываемой системе автоматизированной обработки и интерпретации экспериментальных данных.

Автор выражает благодарность Е.Е. Чигряю и В.Н. Аплеталину за помощь в проведении данной работы.

Библиографический список

1. Чухланцев, А.А. Сверхширокополосная волноводная система для измерения ослабления электромагнитных волн фрагментами растительности / А.А. Чухланцев, С.В. Маречек // Приборы и техника эксперимента. - 2004. - № 5. - С. 117-122.

2. Завьялов, А.С. Измерение параметров материалов на сверхвысоких частотах / А.С. Завьялов, Г.Е. Дунаевский. - Томск: Изд. Томского университета, 1985.

3. Космическое землеведение / Под ред. В.А. Садовничего. - М.: Изд-во МГУ, 1992. - 170 с.

4. Ulaby F.T., Jedlicka R.P. IEEE Trans. Geosci. Remote Sensing, July 1984, vol. 22, № 4, p. 406.

МОЖЕТ ЛИ КОМБИНАЦИЯ АКТИВНЫХ АТАК ПРИВЕСТИ К БОЛЬШЕМУ УЩЕРБУ ДЛЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ЧЕМ КАЖДАЯ ИЗ АТАК В ОТДЕЛЬНОСТИ?

А.Ю. ЗУБОВ, доц. ИКСИ, канд. физ.-мат. наук

Одним из важных аспектов защиты информации является защита от активных атак типа имитации и подмены. Для обеспечения целостности и аутентификации источника информации передаваемые данные обычно снабжаются «контрольной суммой (называемой также аутентикатором, меткой, печатью или имитовставкой)», вычисленной с помощью криптографической хэш-функции. Разработка систем аутентификации началась в 70-х годах прошлого века в работах Г. Симмонса [5-8]. Он предложил математическую модель системы аутентификации, которая была названа кодом аутентификации. Исследования по этой тематике отражены в монографии [1]. Основными параметрами, характеризующими стойкость кода аутентификации, являются вероятности успеха активных атак, определяемые правилом вычисления «контрольной суммы» при случайном выборе секретных ключей. В [6] предложен теоретико-игровой подход оценки стойкости

кода аутентификации, сводящий задачу вычисления вероятности успеха активной атаки к задаче вычисления значения некоторой матричной игры. В [2] этот подход был развит и проиллюстрирован на небольших примерах. Показано, что значение «комбинированной игры», учитывающей возможность злоумышленника использовать с некоторой вероятностью имитацию или подмену, может превосходить значение каждой из игр в отдельности. В данной статье предлагается бесконечный класс кодов аутентификации, обладающих подобным свойством.

Напомним основные определения и понятия. В литературе, посвященной кодам аутентификации, стороны, обменивающиеся информацией, называются передатчиком и приемником. Передатчик наблюдает состояния источника, с помощью некоторых правил кодирует их (используя секретные ключи), передавая получившиеся сообщения приемнику. Приемник восстанавливает пере-

144

ЛЕСНОЙ ВЕСТНИК 4/2008

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

даваемое сообщением состояние источника и принимает полученное сообщение как аутентичное, используя установленный критерий аутентичности. Злоумышленник (оппонент) осуществляет активные атаки, к числу которых относятся атаки имитации и подмены. При попытке имитации оппонент «вставляет» в канал связи поддельное сообщение, а при попытке подмены - «подменяет» передаваемое сообщение поддельным сообщением. В обоих случаях оппонент расчитывает на то, что поддельное сообщение будет принято как аутентичное. Не зная используемого передатчиком и приемником секретного ключа, оппонент может добиться успеха при выборе поддельного сообщения лишь с некоторой вероятностью. Чем меньше эта вероятность, тем более стойким является Ч-код. В простейшем случае речь идет об атаках на основе не более чем одного наблюдаемого сообщения. Мы ограничимся лишь такими атаками.

Формально Ч-код определяется следующим образом. Пусть S, E, М- соответственно множества состояний источника, сообщений и правил кодирования. Каждое правило кодирования esE представляет собой инъективное отображение e.S^-M. Оно определяет обратное отображение е~1:М^Ао>{0}(Полагают, что 0gS), такое, что e_1(m)=s, если mse(S), причем m=e(s), и e-1(m)=0, если m£e(S), где e(S)={e(s):ssS}. Для любых ssS и esE выполняется равенство e_1(e(s))=s, означающее, что сообщение и правило кодирования однозначно восстанавливают состояние источника. Требуется, чтобы выполнялось равенство М = ^esEe(S), означающее, что каждое сообщение является результатом применения некоторого правила кодирования к некоторому состоянию источника.

Код аутентификации - это тройка конечных множеств (S, E, M), удовлетворяющих указанным требованиям. Для аутентификации передаваемых состояний источника передатчик и приемник выбирают (в секрете от оппонента) общее правило кодирования e. Передатчик вычисляет m = e(s) и направляет сообщение m приемнику. Критерием аутентичности полученного сообщения является условие e-1(m)^0. Для удобства выбора правил кодирования множество E индексируется ключами.

Полагают, что состояния источника появляются случайно, в соответствии с заданным на множестве S распределением вероятностей P(S) = (pS(s),s s S). Пусть S

- случайная величина, имеющая распределение P(S). Передатчик и приемник выбирают правила кодирования из множества E случайно в соответствии с некоторым распределением вероятностей P(E)=(pE(e),esE). Пусть E - соответствующая случайная величина. По определению случайные величины S и E полагаются независимыми. Они индуцируют случайную величину М с множеством исходов M, где

Pm (m) = Е Pe(eXPs (e4m)X а

esE (m)

E(m)={esE: e-1(m)^0}.

Матрицей кодирования Ч-кода называется матрица размеров |E|x|M|, строки которой занумерованы правилами кодирования esE, столбцы - сообщениями msM; на пересечении строки матрицы с номером e и столбца с номером m расположен элемент e-1(m). Матрица инцидентности Ч-кода - это матрица ХЧ, имеющая те же размеры. Ее элементы x(e,m) определяются формулой

x(e,m)=f ^‘W0.

|0,еслие '(m) = 0.

Следуя за работами [6, 7], будем оценивать стойкость Ч-кода к атаке имитации вероятностью р определяемой следующим образом. Пусть pjm) - вероятность события «mse(S)» при случайном выборе esE. Это

- вероятность того, что сообщение m sM будет принято как аутентичное. Она выражается формулой

РиО;» = Е Pe (e).

esE ( m)

Тогда p0 определяется как

ри = minmaxp (m). (1)

Стойкость Ч-кода к атаке подмены будем оценивать вероятностью р1, определяемой следующим образом. Пусть m, n - различные сообщения, и рДп/m) - вероятность того, что для случайно выбранной пары (e,s) оппонент добьется успеха при подмене наблюдаемого сообщения msM сообщением n^m. Тогда

P*(nlm)=1/Pm (m)- Е Pe (e)Ps (e4m)X

esE (m,n)

где E(m,n)= E(m)n E(n).

ЛЕСНОЙ ВЕСТНИК 4/2008

145

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

Пусть

pSm)=max p*(nlm).

n^m

Тогда

Рп=mi“ Z Р (m)Pm (m). (2)

P (E) meM

С А-кодом ассоциируются три матричные игры. Участниками каждой игры являются оппонент - первый игрок, а также передатчик и приемник - второй игрок. В «игре в имитацию» c матрицей ХА ход первого игрока состоит в выборе сообщения m e M, а ход второго - в выборе правила кодирования e e E. Если el(m) Ф 0, то выигрывает первый игрок, если el(m) = 0, то - второй. Чистая стратегия защиты соответствует выбору строки матрицы, а чистая стратегия нападения - выбору столбца. Значение выигрыша в ситуации (e,m) равно x(e,m).

Если игроки выбирают свои чистые стратегии в игре случайно, в соответствии с распределениями вероятностей Q = Q(M) и P = P(E), то говорят о смешанном расширении матричной игры. Q и P называют соответственно смешанной стратегией нападения и смешанной стратегией защиты. Выигрыш первого игрока в ситуации (QP) выражается формулой \(QP) = Z Z P(e)-x(e,m)-q(m) =

eeE meM

= Z Z p(e)-q(m). (3)

meM eeE(m)

Согласно теореме о минимаксе [4], существуют оптимальные смешанные стратегии, которые максимизируют выигрыш первого игрока и минимизируют проигрыш второго. Выигрыш, полученный при использовании игроками оптимальных смешанных стратегий, называется значением игры в имитацию и обозначается ги. Если Q(0) и P(0) - любая пара оптимальных смешанных стратегий, то

Ги= ^(Q(0),P(0)).

В «игре в подмену» ход первого игрока состоит в выборе отображения ф:М^М без неподвижных точек. Любое наблюдаемое сообщение m первый игрок подменит на ф^). Ход второго игрока состоит в выборе eeE. Выигрыш первого игрока в ситуации ^,ф) полагается равным вероятности того, что в этой ситуации сообщение ф^) будет принято как аутентичное. Матрица YA игры в подмену имеет размеры |E| х |Т|, где Т - множество всех отображений множества M в себя без не-

подвижных точек. Элементy(e^) матрицы YA выражается формулой

У(e,ф) = Z Ps (s).

seS:fe (ф(e(s))>0

Смешанными стратегиями игроков служат распределения R = R(T) = (р(ф), феТ) и P = P(E). Выигрыш первого игрока в ситуации (R, P) выражается формулой

\(^P) =Z Z Pe(e)-У(e^H(ф).

eeE фЕТ

Согласно теореме о минимаксе, существуют оптимальные смешанные стратегии R(0), P(0), при использовании которых достигается значение игры -

vп = vii(R(0), P(0)) = minmax vII(R, P) =

= maxminv (R,P).

PR п

В [2] показано, что выполняются равенства р0=ти и p1=vп.

Первый игрок может выбирать между имитацией или подменой. Этой возможности отвечает игра с матрицей ZA, являющейся конкатенацией матриц ХА и Y Смешанное расширение G игры с матрицей ZA назовем комбинированной игрой. Стратегиями игроков в этой игре служат соответственно распределение вероятностей P=P(E) (на множестве строк матрицы ZA) и распределение вероятностей W(MU¥) = W (на множестве столбцов матрицы ZA). Значение vG комбинированной игры - это вероятность выигрыша первого игрока в случае, когда игроки используют оптимальные стратегии W(0) и P(0).

В [2] предложен метод вычисления значения vG, и приведен пример A-кода с матрицей кодирования размеров 4 х 4, для которого выполняется неравенство

vG > max{vи, ^}. (4)

Тем самым показано, что комбинированная атака может дать оппоненту больший выигрыш, чем атака имитации или подмены по отдельности. Однако приведенный в [2] пример мог оказаться исключением. Покажем, что это не так.

В [3] вычислены значения v и v для следующего A-кода. Множеством состояний источника A-кода служит S={H,T}. Состояния источника H и T можно интерпретировать как результаты случайного бросания монеты (орел и решка), которые появляются с

146

ЛЕСНОЙ ВЕСТНИК 4/2008

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

вероятностямир и 1-р соответственно,р>0,5. Множества E и M состоят из N элементов: E = {e1,e2,...,eN}, M = {m1,m2,...,mN}, где N - натуральное число, N > 3. Матрица кодирования (размеров N х N) имеет вид

'H T 0 0.0 0 0^

0 H T 0.000

(5)

0 0 0 0.0 H T кH 0 0 0.0 0 T,

Отметим, что подобный А-код (с другой матрицей кодирования) может быть реализован с использованием стандарта шифрования, например, AES. Если закодировать состояния источника H и T 128-битными векторами H и T, и применить в качестве правила кодирования ek, к е K = {0,1}128, правило зашифрования Ek AES на ключе к то есть ek (s)=Ek (s ), ^ e S, к e K, то получим А-код, для которого |E| = M = 2128.

Для A -кода с матрицей кодирования (5) справедливо следующее утверждение: Теорема 1 [3]

Для рассматриваемого A-кода p0 = 2/N; р1 = 0,5, если p = 0,5; оптимальной стратегией защиты от имитации и от подмены является равномерное распределение P(E); при p > 0,5 имеет место формула

Р =

з р-1-р2(1+а1)

(6)

з р-1-pa1

оптимальная стратегия защиты от подме ны определяется вектором x, где

2 р-1 = а(2 р-1)

XN = X =

X2 =

3 р-1-ра 1 3 р-1-paN1,

а-2 (2 р-1)

XN -1 =

з р-1-ра

1

(7)

и a = (1 - р)/р.

Доказательство теоремы состоит в вы-числениир0 как min{L(X),XeQ}, где x. - вероятность р^ ), i = 1,2,..., N,

L(X)_= max{x1 + Xn, X + x2, X2 + X^., xn_1 + Xn ^ (8)

Q ={x=(x,..., Xn ): X1+...+Xn =1,0< X <1, i=1,2,..., N};

и вычислении р1 как mm{L(X ), X eQ}, где

L (X)=max{ рх; pxN }+max{(1 - р) X,; px2}+

+ max{(1 - рУТ pxз} + ... + max{(1 - р)XN_2; РXN-l} + max{(1 - Р)xN-l; (1 - Р)xN}. (9)

Оценим теперь для данного A-кода величину v.

Теорема 2

При N > 4 и р > (>/5-1)/2 для A-кода с матрицей кодирования (5) справедливо неравенство (4).

Доказательство. Допустим противное: предположим, что выполняется равенство v^max^vj. Тогда (при N > 4) из (6) следует, что

vG = max <—.

G In

2 з р-1- р2(1+a-1) 1

3 р-1-ра^1 з р-1-р2(1+а-1)

3 р-1-раN-1

(10)

Равенство (10) означает, что в комбинированной игре оптимальной стратегией защиты служит оптимальная стратегия защиты P(0) от подмены, представленная вектором (7). Вычислим значение игры в имитацию, соответствующее этой стратегии защиты и «лучшей» против этой стратегии защиты стратегии нападения. Для этого заметим следующее.

Пусть P=P(E) - произвольная стратегия защиты и m0=m0(P)eM - сообщение, для которого выполняется равенство

риЮ = max ри(т).

meM

Пусть Q(P) = (q(m), meM) - такая стратегия нападения, что

ч Г1, если m=m, q (m)=(_ 0

[0, если m ^ m0.

Тогда из (3) следует, что для любой стратегии нападения Q выполняется неравенство

Vи(Q, P)_< Vи(Q( P), P).

Вычислим Q(P(0)). По матрице (5) и формулам (7) находим:

4 р - 2

риИ) = X + XN = ри(^=X1 + *2 = Ри(mi)=X-1 + X- =

1

з р-1-ра

(2 р-1)(а+1)

3 р-1-ра^1 ’

(2 р-1)(а-2 + а-1)

ри (mN ) = XN-1 + X- =

3 р-1-ра'у 1 (2 р-1)(aN-2 +1)

N

3 р-1-paN 1

Отсюда

m ax ри^ )=риИХ

i=1,...,N

и, следовательно, Q(P(0)) = (1,0,...,0).

ЛЕСНОЙ ВЕСТНИК 4/2008

147

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

Теперь вычислим значение смешанного расширения игры в имитацию в ситуации (Q(P(0)), P(0)). Оно равно произведению

О^..^xn>xa-б(р:0))Г,гДе (x1,.. ,XN) - вектор (7), XA - матрица инцидентности A-кода, имеющая вид

'1 1 0 0 . 0 0 0^

0 110.000

0 0 0 0.0 1 1 ч1 0 0 0 . 0 0 1 и Q(№'>)T - вектор, транспонированный к вектору Q(P(0)). Отсюда получаем:

,,(Q( ^ ^.

Заметим, что разность

p-1+p2(1+a-1)

v,(Q(P°'\ P°') - Vg =

(11)

з p-1-p<-1 положительна в том и только том случае, если fN) = p - 1 + p2(1 + oN1) > 0.

А поскольку

f(N + 1) - fN) = p2-dN U((1 - 2p)/p) < 0, функция fN) монотонно убывает, причем lim f (N)=p-1+p2.

Поэтому неравенство fN) > 0 выполняется, если p2 + p - 1 > 0 При p > Ф-1)/2 это действительно так, и из (11) получаем неравенство

v,(Q(P‘"),P°') > уа. (12)

Поскольку P(0) можно рассматривать как стратегию защиты в комбинированной игре, неравенство (12) означает, что в этой игре P(0) «позволяет» первому игроку получить больший выигрыш, чем v что противоречит условию оптимальности этой стратегии. Полученное противоречие доказывает неравенство (4). Теорема доказана.

Теорема 2 лишь доказывает неравенство (4), но не позволяет вычислить значение vG. В [2] вычислено значение vG=2p/(2p+1) при N = 4. При больших значениях N решение этой задачи затруднительно. В [2] показано, что для вычисления vG требуется найти minL(x), где Q'=(x eQ: L(x)=L(x )}, где L(x)x^ L(x ) выражаются соответственно формулами (8) и (9).

В заключение отметим, что наряду с введенными в этой статье определениями вероятностей успеха атак имитации и подмены по формулам (1) и (2), при оценке стойкости

речатчик и приемник для защиты от любой активной атаки выбирают ключи случайно и равновероятно. При этом вероятности p0 и p1 выражаются формулами

p0 = max| Е (m)|/\ Е \

meM

и

Я-VIЕ\- S max Z ps(e l(m)).

meM n^m eeE(m,n)

Если при этом удается получить оценки вида p0' < s и p1 < s, где s - выбранный уровень стойкости, то, как показано в [2], вероятность успеха комбинированной атаки также не превосходит s. В таком случае применение комбинированной атаки не дает преимуществ по сравнению с наиболее эффективной атакой имитации или подмены. К этому следует добавить, что «ценой» такого преимущества второго подхода является, как правило, нежелательное значительное увеличение числа ключей A -кода.

Библиографический список

1. Зубов, А.Ю. Математика кодов аутентификации / А.Ю. Зубов. - М.: «Гелиос АРВ», 2007.

2. Зубов А.Ю. К теоретико-игровому подходу исследования кодов аутентификации / А.Ю. Зубов // Дискретная математика. - 2008.

3. Зубов, А.Ю. О выборе оптимальной стратегии защиты для кода аутентификации с двумя состояниями источника / А.Ю. Зубов // Дискретная математика. - 2008.

4. Петросян, Л.А. Теория игр / Л.А. Петросян, Н.А. Зенкевич, Е.А. Семина. - М.: Высшая школа, 1998.

5. Симмонс, Г.Дж. Обзор методов аутентификации информации / Г.Дж. Симмонс. - ТИИЭР, 1988, -Т 76. - № 5. - С. 105-125.

6. Simmons G.J. A game theoretical model of digital message authentication. Congressus Numerantium, Vol. 34 (1982), pp. 413-424.

7. Simmons G.J. Authentication theory/Coding theory. Crypto'84. Lecture Notes in Computer Sciense Vol.196 (1985), pp. 411-432.

8. Simmons G.J. «A survey of information authentication», in «Contemporary cryptology: the science of information integrity», G.J. Simmons, Ed., IEEE Press (1991), pp. 381-419.

148

ЛЕСНОЙ ВЕСТНИК 4/2008