Научная статья на тему 'Может ли комбинация активных атак привести к большему ущербу для системы защиты информации, чем каждая из атак в отдельности?'

Может ли комбинация активных атак привести к большему ущербу для системы защиты информации, чем каждая из атак в отдельности? Текст научной статьи по специальности «Математика»

CC BY
70
14
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
КОДЫ АУТЕНТИФИКАЦИИ / ВЕРОЯТНОСТЬ УСПЕХА / АКТИВНАЯ АТАКА

Аннотация научной статьи по математике, автор научной работы — Зубов А. Ю.

Зубов А.Ю. МОЖЕТ ЛИ КОМБИНАЦИЯ АКТИВНЫХ АТАК ПРИВЕСТИ К БОЛЬШЕМУ УЩЕРБУ ДЛЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ЧЕМ КАЖДАЯ ИЗ АТАК В ОТДЕЛЬНОСТИ? Приводится класс кодов аутентификации, для которых вероятность успеха комбинации атак превосходит вероятности успеха каждой из атак в отдельности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Zubov A.U. CAN COMBINATION OF THE ACTIVE ATTACKS TO BRING ABOUT GREATER DAMAGE FOR SYSTEM OF PROTECTION TO INFORMATION, THAN EACH OF ATTACKS SEPARATELY? Happens to the class of the codes to authentifications, for which probability of the success to combinations of the attacks exceeds probability of the success each of attacks separately.

Текст научной работы на тему «Может ли комбинация активных атак привести к большему ущербу для системы защиты информации, чем каждая из атак в отдельности?»

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

В работе рассмотрена целесообразность создания базы калибровочных данных для уменьшения ошибок при изучении характеристик взаимодействия электромагнитных волн СВЧ диапазона и фрагментов растительного покрова. Предлагаемая база калибровочных данных должна заполняться априорными данными, результатами калибровочных измерений, а также результатами экспериментальных исследований. В этом случае априорные данные такой базы калибровочных данных могут быть использованы в качестве справочной информации для грубой качественной оценки характеристик взаимодействия электромагнитных волн с элементами растительного покрова, а результаты калибровочных измерений совместно с априорными данными должны быть использованы для более точной интерпретации экспериментальных данных.

Рассмотренная база калибровочных данных необходима для использования в разрабатываемой системе автоматизированной обработки и интерпретации экспериментальных данных.

Автор выражает благодарность Е.Е. Чигряю и В.Н. Аплеталину за помощь в проведении данной работы.

Библиографический список

1. Чухланцев, А.А. Сверхширокополосная волноводная система для измерения ослабления электромагнитных волн фрагментами растительности / А.А. Чухланцев, С.В. Маречек // Приборы и техника эксперимента. - 2004. - № 5. - С. 117-122.

2. Завьялов, А.С. Измерение параметров материалов на сверхвысоких частотах / А.С. Завьялов, Г.Е. Дунаевский. - Томск: Изд. Томского университета, 1985.

3. Космическое землеведение / Под ред. В.А. Садовничего. - М.: Изд-во МГУ, 1992. - 170 с.

4. Ulaby F.T., Jedlicka R.P. IEEE Trans. Geosci. Remote Sensing, July 1984, vol. 22, № 4, p. 406.

МОЖЕТ ЛИ КОМБИНАЦИЯ АКТИВНЫХ АТАК ПРИВЕСТИ К БОЛЬШЕМУ УЩЕРБУ ДЛЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ЧЕМ КАЖДАЯ ИЗ АТАК В ОТДЕЛЬНОСТИ?

А.Ю. ЗУБОВ, доц. ИКСИ, канд. физ.-мат. наук

Одним из важных аспектов защиты информации является защита от активных атак типа имитации и подмены. Для обеспечения целостности и аутентификации источника информации передаваемые данные обычно снабжаются «контрольной суммой (называемой также аутентикатором, меткой, печатью или имитовставкой)», вычисленной с помощью криптографической хэш-функции. Разработка систем аутентификации началась в 70-х годах прошлого века в работах Г. Симмонса [5-8]. Он предложил математическую модель системы аутентификации, которая была названа кодом аутентификации. Исследования по этой тематике отражены в монографии [1]. Основными параметрами, характеризующими стойкость кода аутентификации, являются вероятности успеха активных атак, определяемые правилом вычисления «контрольной суммы» при случайном выборе секретных ключей. В [6] предложен теоретико-игровой подход оценки стойкости

кода аутентификации, сводящий задачу вычисления вероятности успеха активной атаки к задаче вычисления значения некоторой матричной игры. В [2] этот подход был развит и проиллюстрирован на небольших примерах. Показано, что значение «комбинированной игры», учитывающей возможность злоумышленника использовать с некоторой вероятностью имитацию или подмену, может превосходить значение каждой из игр в отдельности. В данной статье предлагается бесконечный класс кодов аутентификации, обладающих подобным свойством.

Напомним основные определения и понятия. В литературе, посвященной кодам аутентификации, стороны, обменивающиеся информацией, называются передатчиком и приемником. Передатчик наблюдает состояния источника, с помощью некоторых правил кодирует их (используя секретные ключи), передавая получившиеся сообщения приемнику. Приемник восстанавливает пере-

144

ЛЕСНОЙ ВЕСТНИК 4/2008

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

даваемое сообщением состояние источника и принимает полученное сообщение как аутентичное, используя установленный критерий аутентичности. Злоумышленник (оппонент) осуществляет активные атаки, к числу которых относятся атаки имитации и подмены. При попытке имитации оппонент «вставляет» в канал связи поддельное сообщение, а при попытке подмены - «подменяет» передаваемое сообщение поддельным сообщением. В обоих случаях оппонент расчитывает на то, что поддельное сообщение будет принято как аутентичное. Не зная используемого передатчиком и приемником секретного ключа, оппонент может добиться успеха при выборе поддельного сообщения лишь с некоторой вероятностью. Чем меньше эта вероятность, тем более стойким является Ч-код. В простейшем случае речь идет об атаках на основе не более чем одного наблюдаемого сообщения. Мы ограничимся лишь такими атаками.

Формально Ч-код определяется следующим образом. Пусть S, E, М- соответственно множества состояний источника, сообщений и правил кодирования. Каждое правило кодирования esE представляет собой инъективное отображение e.S^-M. Оно определяет обратное отображение е~1:М^Ао>{0}(Полагают, что 0gS), такое, что e_1(m)=s, если mse(S), причем m=e(s), и e-1(m)=0, если m£e(S), где e(S)={e(s):ssS}. Для любых ssS и esE выполняется равенство e_1(e(s))=s, означающее, что сообщение и правило кодирования однозначно восстанавливают состояние источника. Требуется, чтобы выполнялось равенство М = ^esEe(S), означающее, что каждое сообщение является результатом применения некоторого правила кодирования к некоторому состоянию источника.

Код аутентификации - это тройка конечных множеств (S, E, M), удовлетворяющих указанным требованиям. Для аутентификации передаваемых состояний источника передатчик и приемник выбирают (в секрете от оппонента) общее правило кодирования e. Передатчик вычисляет m = e(s) и направляет сообщение m приемнику. Критерием аутентичности полученного сообщения является условие e-1(m)^0. Для удобства выбора правил кодирования множество E индексируется ключами.

Полагают, что состояния источника появляются случайно, в соответствии с заданным на множестве S распределением вероятностей P(S) = (pS(s),s s S). Пусть S

- случайная величина, имеющая распределение P(S). Передатчик и приемник выбирают правила кодирования из множества E случайно в соответствии с некоторым распределением вероятностей P(E)=(pE(e),esE). Пусть E - соответствующая случайная величина. По определению случайные величины S и E полагаются независимыми. Они индуцируют случайную величину М с множеством исходов M, где

Pm (m) = Е Pe(eXPs (e4m)X а

esE (m)

E(m)={esE: e-1(m)^0}.

Матрицей кодирования Ч-кода называется матрица размеров |E|x|M|, строки которой занумерованы правилами кодирования esE, столбцы - сообщениями msM; на пересечении строки матрицы с номером e и столбца с номером m расположен элемент e-1(m). Матрица инцидентности Ч-кода - это матрица ХЧ, имеющая те же размеры. Ее элементы x(e,m) определяются формулой

x(e,m)=f ^‘W0.

|0,еслие '(m) = 0.

Следуя за работами [6, 7], будем оценивать стойкость Ч-кода к атаке имитации вероятностью р определяемой следующим образом. Пусть pjm) - вероятность события «mse(S)» при случайном выборе esE. Это

- вероятность того, что сообщение m sM будет принято как аутентичное. Она выражается формулой

РиО;» = Е Pe (e).

esE ( m)

Тогда p0 определяется как

ри = minmaxp (m). (1)

Стойкость Ч-кода к атаке подмены будем оценивать вероятностью р1, определяемой следующим образом. Пусть m, n - различные сообщения, и рДп/m) - вероятность того, что для случайно выбранной пары (e,s) оппонент добьется успеха при подмене наблюдаемого сообщения msM сообщением n^m. Тогда

P*(nlm)=1/Pm (m)- Е Pe (e)Ps (e4m)X

esE (m,n)

где E(m,n)= E(m)n E(n).

ЛЕСНОЙ ВЕСТНИК 4/2008

145

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

Пусть

pSm)=max p*(nlm).

n^m

Тогда

Рп=mi“ Z Р (m)Pm (m). (2)

P (E) meM

С А-кодом ассоциируются три матричные игры. Участниками каждой игры являются оппонент - первый игрок, а также передатчик и приемник - второй игрок. В «игре в имитацию» c матрицей ХА ход первого игрока состоит в выборе сообщения m e M, а ход второго - в выборе правила кодирования e e E. Если el(m) Ф 0, то выигрывает первый игрок, если el(m) = 0, то - второй. Чистая стратегия защиты соответствует выбору строки матрицы, а чистая стратегия нападения - выбору столбца. Значение выигрыша в ситуации (e,m) равно x(e,m).

Если игроки выбирают свои чистые стратегии в игре случайно, в соответствии с распределениями вероятностей Q = Q(M) и P = P(E), то говорят о смешанном расширении матричной игры. Q и P называют соответственно смешанной стратегией нападения и смешанной стратегией защиты. Выигрыш первого игрока в ситуации (QP) выражается формулой \(QP) = Z Z P(e)-x(e,m)-q(m) =

eeE meM

= Z Z p(e)-q(m). (3)

meM eeE(m)

Согласно теореме о минимаксе [4], существуют оптимальные смешанные стратегии, которые максимизируют выигрыш первого игрока и минимизируют проигрыш второго. Выигрыш, полученный при использовании игроками оптимальных смешанных стратегий, называется значением игры в имитацию и обозначается ги. Если Q(0) и P(0) - любая пара оптимальных смешанных стратегий, то

Ги= ^(Q(0),P(0)).

В «игре в подмену» ход первого игрока состоит в выборе отображения ф:М^М без неподвижных точек. Любое наблюдаемое сообщение m первый игрок подменит на ф^). Ход второго игрока состоит в выборе eeE. Выигрыш первого игрока в ситуации ^,ф) полагается равным вероятности того, что в этой ситуации сообщение ф^) будет принято как аутентичное. Матрица YA игры в подмену имеет размеры |E| х |Т|, где Т - множество всех отображений множества M в себя без не-

подвижных точек. Элементy(e^) матрицы YA выражается формулой

У(e,ф) = Z Ps (s).

seS:fe (ф(e(s))>0

Смешанными стратегиями игроков служат распределения R = R(T) = (р(ф), феТ) и P = P(E). Выигрыш первого игрока в ситуации (R, P) выражается формулой

\(^P) =Z Z Pe(e)-У(e^H(ф).

eeE фЕТ

Согласно теореме о минимаксе, существуют оптимальные смешанные стратегии R(0), P(0), при использовании которых достигается значение игры -

vп = vii(R(0), P(0)) = minmax vII(R, P) =

= maxminv (R,P).

PR п

В [2] показано, что выполняются равенства р0=ти и p1=vп.

Первый игрок может выбирать между имитацией или подменой. Этой возможности отвечает игра с матрицей ZA, являющейся конкатенацией матриц ХА и Y Смешанное расширение G игры с матрицей ZA назовем комбинированной игрой. Стратегиями игроков в этой игре служат соответственно распределение вероятностей P=P(E) (на множестве строк матрицы ZA) и распределение вероятностей W(MU¥) = W (на множестве столбцов матрицы ZA). Значение vG комбинированной игры - это вероятность выигрыша первого игрока в случае, когда игроки используют оптимальные стратегии W(0) и P(0).

В [2] предложен метод вычисления значения vG, и приведен пример A-кода с матрицей кодирования размеров 4 х 4, для которого выполняется неравенство

vG > max{vи, ^}. (4)

Тем самым показано, что комбинированная атака может дать оппоненту больший выигрыш, чем атака имитации или подмены по отдельности. Однако приведенный в [2] пример мог оказаться исключением. Покажем, что это не так.

В [3] вычислены значения v и v для следующего A-кода. Множеством состояний источника A-кода служит S={H,T}. Состояния источника H и T можно интерпретировать как результаты случайного бросания монеты (орел и решка), которые появляются с

146

ЛЕСНОЙ ВЕСТНИК 4/2008

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

вероятностямир и 1-р соответственно,р>0,5. Множества E и M состоят из N элементов: E = {e1,e2,...,eN}, M = {m1,m2,...,mN}, где N - натуральное число, N > 3. Матрица кодирования (размеров N х N) имеет вид

'H T 0 0.0 0 0^

0 H T 0.000

(5)

0 0 0 0.0 H T кH 0 0 0.0 0 T,

Отметим, что подобный А-код (с другой матрицей кодирования) может быть реализован с использованием стандарта шифрования, например, AES. Если закодировать состояния источника H и T 128-битными векторами H и T, и применить в качестве правила кодирования ek, к е K = {0,1}128, правило зашифрования Ek AES на ключе к то есть ek (s)=Ek (s ), ^ e S, к e K, то получим А-код, для которого |E| = M = 2128.

Для A -кода с матрицей кодирования (5) справедливо следующее утверждение: Теорема 1 [3]

Для рассматриваемого A-кода p0 = 2/N; р1 = 0,5, если p = 0,5; оптимальной стратегией защиты от имитации и от подмены является равномерное распределение P(E); при p > 0,5 имеет место формула

Р =

з р-1-р2(1+а1)

(6)

з р-1-pa1

оптимальная стратегия защиты от подме ны определяется вектором x, где

2 р-1 = а(2 р-1)

XN = X =

X2 =

3 р-1-ра 1 3 р-1-paN1,

а-2 (2 р-1)

XN -1 =

з р-1-ра

1

(7)

и a = (1 - р)/р.

Доказательство теоремы состоит в вы-числениир0 как min{L(X),XeQ}, где x. - вероятность р^ ), i = 1,2,..., N,

L(X)_= max{x1 + Xn, X + x2, X2 + X^., xn_1 + Xn ^ (8)

Q ={x=(x,..., Xn ): X1+...+Xn =1,0< X <1, i=1,2,..., N};

и вычислении р1 как mm{L(X ), X eQ}, где

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

L (X)=max{ рх; pxN }+max{(1 - р) X,; px2}+

+ max{(1 - рУТ pxз} + ... + max{(1 - р)XN_2; РXN-l} + max{(1 - Р)xN-l; (1 - Р)xN}. (9)

Оценим теперь для данного A-кода величину v.

Теорема 2

При N > 4 и р > (>/5-1)/2 для A-кода с матрицей кодирования (5) справедливо неравенство (4).

Доказательство. Допустим противное: предположим, что выполняется равенство v^max^vj. Тогда (при N > 4) из (6) следует, что

vG = max <—.

G In

2 з р-1- р2(1+a-1) 1

3 р-1-ра^1 з р-1-р2(1+а-1)

3 р-1-раN-1

(10)

Равенство (10) означает, что в комбинированной игре оптимальной стратегией защиты служит оптимальная стратегия защиты P(0) от подмены, представленная вектором (7). Вычислим значение игры в имитацию, соответствующее этой стратегии защиты и «лучшей» против этой стратегии защиты стратегии нападения. Для этого заметим следующее.

Пусть P=P(E) - произвольная стратегия защиты и m0=m0(P)eM - сообщение, для которого выполняется равенство

риЮ = max ри(т).

meM

Пусть Q(P) = (q(m), meM) - такая стратегия нападения, что

ч Г1, если m=m, q (m)=(_ 0

[0, если m ^ m0.

Тогда из (3) следует, что для любой стратегии нападения Q выполняется неравенство

Vи(Q, P)_< Vи(Q( P), P).

Вычислим Q(P(0)). По матрице (5) и формулам (7) находим:

4 р - 2

риИ) = X + XN = ри(^=X1 + *2 = Ри(mi)=X-1 + X- =

1

з р-1-ра

(2 р-1)(а+1)

3 р-1-ра^1 ’

(2 р-1)(а-2 + а-1)

ри (mN ) = XN-1 + X- =

3 р-1-ра'у 1 (2 р-1)(aN-2 +1)

N

3 р-1-paN 1

Отсюда

m ax ри^ )=риИХ

i=1,...,N

и, следовательно, Q(P(0)) = (1,0,...,0).

ЛЕСНОЙ ВЕСТНИК 4/2008

147

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

Теперь вычислим значение смешанного расширения игры в имитацию в ситуации (Q(P(0)), P(0)). Оно равно произведению

О^..^xn>xa-б(р:0))Г,гДе (x1,.. ,XN) - вектор (7), XA - матрица инцидентности A-кода, имеющая вид

'1 1 0 0 . 0 0 0^

0 110.000

0 0 0 0.0 1 1 ч1 0 0 0 . 0 0 1 и Q(№'>)T - вектор, транспонированный к вектору Q(P(0)). Отсюда получаем:

,,(Q( ^ ^.

Заметим, что разность

p-1+p2(1+a-1)

v,(Q(P°'\ P°') - Vg =

(11)

з p-1-p<-1 положительна в том и только том случае, если fN) = p - 1 + p2(1 + oN1) > 0.

А поскольку

f(N + 1) - fN) = p2-dN U((1 - 2p)/p) < 0, функция fN) монотонно убывает, причем lim f (N)=p-1+p2.

Поэтому неравенство fN) > 0 выполняется, если p2 + p - 1 > 0 При p > Ф-1)/2 это действительно так, и из (11) получаем неравенство

v,(Q(P‘"),P°') > уа. (12)

Поскольку P(0) можно рассматривать как стратегию защиты в комбинированной игре, неравенство (12) означает, что в этой игре P(0) «позволяет» первому игроку получить больший выигрыш, чем v что противоречит условию оптимальности этой стратегии. Полученное противоречие доказывает неравенство (4). Теорема доказана.

Теорема 2 лишь доказывает неравенство (4), но не позволяет вычислить значение vG. В [2] вычислено значение vG=2p/(2p+1) при N = 4. При больших значениях N решение этой задачи затруднительно. В [2] показано, что для вычисления vG требуется найти minL(x), где Q'=(x eQ: L(x)=L(x )}, где L(x)x^ L(x ) выражаются соответственно формулами (8) и (9).

В заключение отметим, что наряду с введенными в этой статье определениями вероятностей успеха атак имитации и подмены по формулам (1) и (2), при оценке стойкости

речатчик и приемник для защиты от любой активной атаки выбирают ключи случайно и равновероятно. При этом вероятности p0 и p1 выражаются формулами

p0 = max| Е (m)|/\ Е \

meM

и

Я-VIЕ\- S max Z ps(e l(m)).

meM n^m eeE(m,n)

Если при этом удается получить оценки вида p0' < s и p1 < s, где s - выбранный уровень стойкости, то, как показано в [2], вероятность успеха комбинированной атаки также не превосходит s. В таком случае применение комбинированной атаки не дает преимуществ по сравнению с наиболее эффективной атакой имитации или подмены. К этому следует добавить, что «ценой» такого преимущества второго подхода является, как правило, нежелательное значительное увеличение числа ключей A -кода.

Библиографический список

1. Зубов, А.Ю. Математика кодов аутентификации / А.Ю. Зубов. - М.: «Гелиос АРВ», 2007.

2. Зубов А.Ю. К теоретико-игровому подходу исследования кодов аутентификации / А.Ю. Зубов // Дискретная математика. - 2008.

3. Зубов, А.Ю. О выборе оптимальной стратегии защиты для кода аутентификации с двумя состояниями источника / А.Ю. Зубов // Дискретная математика. - 2008.

4. Петросян, Л.А. Теория игр / Л.А. Петросян, Н.А. Зенкевич, Е.А. Семина. - М.: Высшая школа, 1998.

5. Симмонс, Г.Дж. Обзор методов аутентификации информации / Г.Дж. Симмонс. - ТИИЭР, 1988, -Т 76. - № 5. - С. 105-125.

6. Simmons G.J. A game theoretical model of digital message authentication. Congressus Numerantium, Vol. 34 (1982), pp. 413-424.

7. Simmons G.J. Authentication theory/Coding theory. Crypto'84. Lecture Notes in Computer Sciense Vol.196 (1985), pp. 411-432.

8. Simmons G.J. «A survey of information authentication», in «Contemporary cryptology: the science of information integrity», G.J. Simmons, Ed., IEEE Press (1991), pp. 381-419.

148

ЛЕСНОЙ ВЕСТНИК 4/2008

i Надоели баннеры? Вы всегда можете отключить рекламу.