Некоторые элементы концепции активной безопасности в современной криптографии Текст научной статьи по специальности «Математика»

2014 № 8 (179). Выпуск 30/1

УДК 681.3

НЕКОТОРЫЕ ЭЛЕМЕНТЫ КОНЦЕПЦИИ АКТИВНОЙ БЕЗОПАСНОСТИ В СОВРЕМЕННОЙ КРИПТОГРАФИИ

В статье проведен обзор основных положений концепции активной безопасности в современной криптографии. Представлены математические алгоритмы, реализующие основные положения концепции активной безопасности, затронуты вопросы применения концепции активной безопасности в криптосистемах на эллиптической кривой.

Ключевые слова: концепция активной безопасности, схема

GreatAntonchik-r@yandex.ru, разделения секрета, пороговая криптосистема. chervyakovni @yandex.ru

Используемые в настоящее время криптографические алгоритмы обеспечивают достаточно высокий уровень защиты передаваемых данных. Известные временные оценки скорости работы криптоаналитических алгоритмов взлома позволяют утверждать, что их использование на практике вероятным противником будет возможно только при условии обладания им достаточно серьезными вычислительными ресурсами.

Помимо непосредственного перехвата шифрованных сообщений и использования криптоаналитических алгоритмов взлома систем криптографической защиты информации (СКЗИ) на практике существует еще и опасность прямой утечки секретных ключей вследствие воздействия внутренних и внешних угроз (например, вредоносные действия обслуживающего персонала либо хакерские атаки).

Основные методы защиты от прямых угроз СКЗИ [1, 5]:

— периодическое обновление секретной информации;

— пространственное разделение секретной информации.

Для повышения уровня безопасности СКЗИ предлагается одновременно использовать и методы периодического обновления секретной информации и методы её пространственного разделения. Такое сочетание методов защиты от прямых угроз СКЗИ получило в науке название — системы активной безопасности.

Все математические преобразования, применяемые в методах активной безопасности могут быть обобщены для криптосистем, использующих эллиптическую

кривую над ¥р .

Периодическое обновление секретной информации является неотъемлемой частью безопасного функционирования любой криптосистемы, так как даже при самых изощренных способах защиты и самых современных криптографических алгоритмах не один секретный ключ не может просуществовать в тайне вечно.

При этом периодичность смены ключевой информации должна носить случайный характер и происходить максимально внезапно для гипотетического противника. Кроме того, проводя плановую либо внеплановую смену ключевой информации, необходимо позаботиться о должном уровне организации всех процессов управления ключевой информацией (безопасная генерация, хранение и распространение ключевой информации между пользователями системы).

При использовании методов периодического обновления секретной информации первая проблема, с которой мы сталкиваемся — это разработка криптографически стойких алгоритмов генерации ключей, обеспечивающих равновероятность выбора случайных значений по всему ключевому диапазону. Используемый генератор псевдослучайной последовательности должен обладать тем свойством, что созданная им последовательность статистически ничем не будет отличаться от абсолютно случайной последовательности и ее значения не будут предсказуемы.

А.Н. ЛАВРИНЕНКО Н.И. ЧЕРВЯКОВ

Северо-Кавказский

федеральный

университет

e-mail:

2014. №8 (179). Выпуск 30/1

Известны детерминированные и недетерминированные генераторы псевдослучайных чисел. В основу детерминированных генераторов положены арифметические рекуррентные соотношения, обладающие хорошими статистическими свойствами. Строго говоря, никакой детерминированный алгоритм не может генерировать полностью случайные числа, он может только аппроксимировать некоторые их свойства. Однако выбранный особым образом хороший детерминированный алгоритм может дать такой результат, что полученная с его помощью числовая последовательность будет проходить большинство тестов на случайность. Поэтому такие числа еще называют псевдослучайными числами. Недетерминированные генераторы используют в своей работе случайные физические процессы, например физические шумы в радиоэлектронной аппаратуре и т.п. Однако применяются такие генераторы случайных чисел крайне редко.

В работах [2,3] показана эффективность использования арифметических рекуррентных последовательностей с использованием точек эллиптической кривой. Среди методов данного класса можно рассмотреть датчик псевдослучайной последовательности, предложенный S.HaПgren в 1994г., использующий арифметическую прогрессию на Е с начальным членом Р0 е Е и разностью О е Е в виде рекуррентного соотношения:

р = Р + О = пОф К , п = 1,2,3,..., (1)

п п-1 0 ' 9 9 9 ? ЧУ

Выходными значениями (1) могут быть либо точки р, либо только их абсциссы х„, либо только их ординаты уп.

Известны также генераторы псевдослучайных последовательностей, построенные на арифметической прогрессии ЕС-последовательности эллиптической кривой.

Последовательность Р0,р,р,... точек на Е(Е), удовлетворяющих рекуррентному

соотношению:

п-1

Рп+к =Х сР+к + <2, к = 0,1,2,... (2)

/=0

п-1

называют ЕС - последовательностью порядка п, а /(х) = хп -^ с1х‘ -

/=0

характеристическим многочленом над ^, где г =# Е(Е ).

Максимальный период последовательности (2) достигается при примитивном характеристическом многочлене / (х).

Следующей важной задачей надежного управления ключевой информации является обеспечение её безопасного хранения и распространения. Для того чтобы на сервере ключи были надежно защищены, их хранение должно осуществляться в зашифрованном виде. Таким образом, мы приходим к понятию многоуровневой иерархической концепции ключевой информации или просто иерархии ключей.

В современной криптографии обычно выделяют три уровня иерархии ключей

[4]:

1) Главные ключи (мастер-ключи)

2) Ключи шифрования ключей (ключи обмена между узлами сети).

3) Ключи шифрования данных (рабочие (сеансовые) ключи).

Самый верхний уровень иерархии занимают мастер-ключи. Они хранятся в открытом виде, но в специальной памяти и доступ к ним строго ограничен. Их назначение — шифрование нижележащих ключей обмена между узлами сети. В свою очередь ключи шифрования ключей, как следует из названия, используются для непосредственного шифрования рабочих ключей пользователей, с помощью которых устанавливаются сеансы связи. Таким образом, достигается максимальная безопасность хранения и распространения в зашифрованном виде ключевой информации. Механизмы распространения ключевой информации могут быть организованы как напрямую между конечными пользователями системы, так и с использованием доверенных корневых

центров сертификации. При этом центры сертификации обеспечивают перешифрование хранящейся у них ключевой информации, но в то же время любые проблемы, возникающие у центра сертификации, могут обернуться проблемами для всех пользователей системы, что также делает систему уязвимой.

Методы пространственного разделения ключевой информации основываются на том, что исходная ключевая информация может быть разделена между различными участниками криптосистемы таким образом, чтобы компрометация ключа была невозможной при компрометации определенной части секрета, хранящейся у отдельных пользователей. При этом для выполнения криптографических преобразований требуется восстановление секретного ключа, что возможно только при объединении секретов, хранящихся у отдельных пользователей системы.

Особое место среди схем пространственного разделения секрета занимают (п, к) -пороговые схемы разделения секрета. Чаще всего именно они применяются на практике для криптографической защиты секретных ключей.

(п, к) - пороговая криптосистема — схема разделения секрета, основанная на том обстоятельстве, что исходный секрет, разделенный между п пользователями системы, может быть раскрыт только определенной группой из к пользователей той же системы, при этом для любого меньшего числа пользователей секрет будет недоступен.

Идеи схем порогового разделения секрета были независимо предложены в 1979 году Ади Шамиром и Джорджем Блэкли. Кроме этого подобные процедуры исследовались Гусом Симмонсом.

Среди всех участников пороговой криптосистемы принято выделять разрешенные группы (то есть группы пользователей, которые, предварительно объединив хранящиеся у них части секрета, могут самостоятельно восстановить секрет) и неразрешенные группы (то есть те группы пользователей, внутри которых восстановление секрета самостоятельными усилиями невозможно по различным причинам).

В криптосистеме такого типа защита будет считаться взломанной, если пороговое количество к частей секретов в одной из разрешенных групп пользователей будет каким-либо способом раскрыто.

Существуют различные варианты схем разделения секрета. Рассмотрим некоторые из них [6, 8].

Схема Шамира (схема интерполяционных полиномов Лагранжа). Основная идея данной схемы разделения секрета заключается в том, что двух точек достаточно для задания прямой, трех точек — для задания параболы, четырёх точек — для кубической параболы, и так далее. Чтобы задать многочлен степени к-1 требуется к точек. Поэтому, чтобы секрет могли восстановить к человек, он должен быть спрятан в формулу соответствующего многочлена. Искомый многочлен, заданный над большим конечным полем размерности р, может быть представлен в виде:

Е(х) = (ак_Х- + й^_2хк-2 +... + ах+М)шоё р, (3)

где М - разделяемый секрет (р > М), а^ - коэффициенты многочлена, выбранные как некоторые случайные числа, которые можно будет забыть после разделения секрета. Частичные секреты для каждого из п пользователей системы (п > к) вычисляются по формуле:

к = Е(,) = (ак_,~1 + ак_2гк~2 +... + а1/ + М)шоёр, , = 1..п . (4)

После разделения секрета каждый пользователь получает четыре значения: номер частичного секрета I и его значение к., размерность поля р, степень многочлена к-1.

Для восстановления секрета любые к пользователей, собравшись вместе, могут восстановить исходный многочлен (3) используя интерполяционные формулы Лагранжа

Е (х) = (X ^ (х) у, )шоа р, (5)

где lt (x) =

^ x - хЛ

п—^

& < х - х.

i J у

modp, (x, У ) - координаты точек многочлена.

Схема Блэкли (векторная схема разделения секрета). Основная идея данной схемы разделения секрета в целом аналогична схеме Шамира с той лишь разницей, что вместо многочлена используется уравнение плоскости в к-мерном пространстве.

Схемы, основанные на китайской теореме об остатках (схема Миньотта, схема Асмута-Блума). В схеме Асмута-Блума для разделения некоторого секрета М над большим простым полем размерности р (р > М) между п пользователями выбираются п

к п

взаимно простых чисел ^ , таких что V/: ^ > р; V/: ^ ^ ; П> Р * П. Далее

/=1 і=п-к+2

выбирается случайное число г, такое что: к4ы' < d << к-4М, і = 1..п, где М'=М + гр . Вычисляются доли

к = М'шоё^ . (6)

Участникам раздаются тройки чисел {р, dt, кі}. Восстановление секрета производится с использованием китайской теоремы об остатках.

Схемы, основанные на решении систем уравнений (схема Карнина-Грина-Хеллмана). Для разделения секрета между п различными сторонами так, чтобы минимум

к сторон могли его восстановить выбирается п+1 векторов у размерности к, так чтобы

ранг любой матрицы, составленной из к данных векторов, был равен к. Вектор у0

известен всем участникам. Секретом является скалярное произведение (и, у0), долями —

скалярные произведения (и, у) и векторы у . Для восстановления секрета по известным

долям (и набору векторов ) решается система из к уравнений для нахождения вектора и .

Схема, основанная на эллиптической кривой. Пусть задана эллиптическая кривая Е над конечным полем Е . Используя операции с точками эллиптической кривой можно

провести аналогию с математическим аппаратом нейронных сетей конечного кольца и его адаптацией для систем разделения секрета. Так, операция сложения точек Р(х, у) = р (х, у) + р (х2, у2) описывает суммирование на нейроне, а операция умножения точки на число Р(х, у) = к * р(х1, Уі) — весовую операцию. На основе изложенного можно сформировать полином вида

^ = р0 + р + ґ2 р2 +... + їк-рк-1, (7) где р,р ,...,-р_! - случайные точки на эллиптической кривой, р - общий секрет. Заменяя ґ,, = w, , получаем матрицу весовых коэффициентов нейронной сети

^ wn, ... ^ Гі ... ґк0-1^

Ж =

00 кк01 кк0( к-1)

"V-1)

^w(n-1)0 w(n-1)1 ... w(n-1)(к-1) )

1 Ґ1к-1

1 ... ґк-1 ,

п-1 п-1 у

(8)

Частные секреты получаются подстановкой в (7) и (8) различных значений ґ, равных номеру абонента і. В общем виде получается выражение

к-1

= 1 р,(- =1 р (Хі), , (9)

10

і=0

где п - общее количество секретов на первом шаге, а _/ - номер секрета. Для восстановления секрета необходимо провести рекуррентный итерационный процесс. На первом шаге имеем

к-1 к-1

51,, |0-2 = 5(х).+ -^.+1(х1). =ХР((х,).(х1)у+1-(х,)м(х,).) = ХР(х2). ,

,=0 ,=0

где слагаемое при 1=1 равно нулю. Путем аналогичных преобразований можно окончательно получить

^ = 5к-1,. = 5к-2,. (хк-1 ).+1 — 5к-2,.+1 (хк-1 ). = Р0 хк , (10)

к 1

і=0

где значения Я и х^ и есть восстановленный секрет.

Таким образом, были кратко рассмотрены основные положения концепции активной безопасности и приведены в общем виде соответствующие математические алгоритмы, помогающие реализовывать на практике данные положения. Наряду с традиционными алгоритмами были рассмотрены и алгоритмы, использующие точки эллиптической кривой.

На практике реализация концепции активной безопасности представляет собой прикладную задачу, затрагивающую довольно обширный пласт алгоритмов, лежащих в относительно самостоятельной области относительно самого механизма выполнения криптографических преобразований (кодирования, шифрования, дешифрования и декодирования информации). Тем не менее данные алгоритмы очень важны для безопасного функционирования любой криптосистемы.

1. Артюхов Ю.В. Анализ схем разделения секрета, использующих вероятностный и комбинаторный подход в реализации пороговых криптосистем, функционирующих в распределенных компьютерных системах. // Актуальные вопросы технических наук: материалы междунар. заоч. науч. конф. (г. Пермь, июль 2011 г.) / Под общ. ред. Г.Д. Ахметовой. - Пермь: Меркурий, 2011. - 80 с.

2. Бабенко М.Г. Методы и алгоритмы моделирования вычислительных структур на эллиптических кривых с параллелизмом машинных операций. // Диссертация на соискание ученой степени кандидата физико-математических наук. - Ставрополь, 2011. 198 с.

3. Бондарь В.В. Разработка аналитических методов исследования математических моделей активной безопасности в распределенных вычислительных системах. // Диссертация на соискание ученой степени кандидата физико-математических наук. Ставрополь, 2001. 314 с.

4. Завгородний В.И. Комплексная защита информации в компьютерных системах: учебное пособие. - М.: Логос, 2001. - 264 с: ил.

5. Коблиц Н. Курс теории чисел и криптографии. - М.: Научное издательство ТВП, 2001. - 254 с.

6. Пьянов С.М. Сравнительный анализ стойкости некоторых классов схем разделения секрета // Магистерская диссертация по программе “Математическое и программное обеспечение защиты информации”, научный рук. к.ф.м.н., доц. Применко Э.А., М.: МГУ им.Ломоносова, 2013. -67 с.

7. Червяков Н.И., Бабенко М.Г. Анализ пороговых криптосистем на эллиптической кривой. // Научные ведомости БелГУ. Серия: История. Политология. Экономика. Информатика. -Белгород: БелГУ, 2010, № 13 (84), выпуск 15/1. - с.175-179.

8. http://ru.wikipedia.org/wiki/Пороговая_схема

Список литературы

SOME ELEMENTS OF THE CONCEPT OF ACTIVE SAFETY IN MODERN CRYPTOGRAPHY

North-Caucasian Federal University

A.N. LAVRINENKO, N.I. CHERVYAKOV

The article deals with a review of the main provisions of the concept of active safety in modern cryptography. The mathematical algorithms that implement the basic provisions of the concept of active safety is presented, discussed the questions of the application of the concept of active safety with elliptic curve cryptosystems.

e-mail:

GreatAntonchik-r@yandex.ru,

chervyakovni@yandex.ru

Keywords: the concept of active safety, the scheme of secret sharing, the threshold for a cryptosystem.