О некоторых проблемах в задачах распределения криптографических ключей с помощью искусственных нейронных сетей Текст научной статьи по специальности «Математика»

42

Обработка информации и принятие решений

В.Ф. ГОЛИКОВ, Н.В. БРИЧ, В. Л. ПИВОВАРОВ

О НЕКОТОРЫХ ПРОБЛЕМАХ В ЗАДАЧАХ РАСПРЕДЕЛЕНИЯ КРИПТОГРАФИЧЕСКИХ КЛЮЧЕЙ С ПОМОЩЬЮ ИСКУССТВЕННЫХ НЕЙРОННЫХ СЕТЕЙ

Введение

В работах [1,2] предложено использовать синхронизируемые искусственные нейронные сети (ИНС) для решения задачи распределения ключей криптографической системы между двумя абонентами, имеющими не защищенный от прослушивания канал связи и не обладающими общим секретом. Предложенный метод в дальнейшем анализировался многими исследователями, в том числе и авторами этой работы [3], особенно тщательный анализ представлен в [4]. Однако, на наш взгляд, до сих пор не найдены ответы на некоторые очень важные вопросы, такие как:

- всегда ли процесс синхронизации по входам взаимодействующих ИНС заканчивается выравниванием векторов весовых коэффициентов персептронов, входящих в ИНС (значения изначально задаются абонентами случайно и независимо друг от друга), т.е. является ли процесс сходящимся;

- как определить момент наступления полной синхронизации сетей (полного равенства векторов весовых коэффициентов).

Основная часть

Пусть имеются ИНС, состоящие из К внутренних персептронов (рис. 1). Каждый пер-септрон имеет N входов.

Значения дискретной входной величины с равномерным распределением обозначено как xkj =±1, где к = 1, 2,...,K, j = 1, 2,...,N. Значение на выходе к-го внутреннего персеп-трона отправителя (получателя) обозначено как A B.

Индекс A / B означает, что операция касается обеих сетей A и B, а единичный индекс - что операция касается одной сети соответственно. Выходная величина O каждой ИНС:

оA / B =

= П yi/ B

к=1

K к

= Па(« кB) = Па

к=1 к=1

( N

I w'B Хк \j=1

\

У

(1)

A/B

где wkj - весовые коэффициенты (ВК) персептронов; а(а ^B) - модифицированная

функция знака.

Модифицированная функция знака

а(а A B) =

1, ст( а A / B) > 0, -1, а(а A B) < 0.

(2)

Если выходы обеих сетей идентичны

OA = OB, (3)

то векторы весов тех персептронов, для которых (О • ук ) > 0, корректируются в соот-

ветствии с правилом:

Рис. 1. Синхронизируемые ИНС

СИСТЕМНЫЙ АНАЛИЗ И ПРИКЛАДНАЯ ИНФОРМАТИКА

1-3, 2014

Обработка информации и принятие решений

43

WA/B [i +1] = wkA/B [i] + xkj [Ц0А,В[i]. (4)

А, В А, В

Если | wkj |> L , тогда wkj = L с соответствующим знаком.

В процессе синхронизации по открытому каналу передаются только значения входного вектора xj и выходных значений OA/В .

Сходимость процесса

Для сетей с архитектурой, представленной на рис. 1, строгое доказательство сходимости отсутствует и является весьма сложной теоретической задачей. На наш взгляд, гораздо проще решать эту задачу от противного, т.е. доказать, что существуют такие наборы параметров синхронизируемых сетей, при которых достижение полной синхронизации становится невозможным. В многочисленных экспериментах с сетями (рис. 1) были зафиксированы редкие реализации, в которых в течение длительного времени полная синхронизация так и не наступила. Детальный анализ эволюционирующих величин сетей показал, что в этих реализациях наступает эволюционный «тупик» - полная синхронизация не достигнута, а используемое правило корректировки ВК (соотношение (3)) запрещает ее проведение при любых дальнейших наборах xkj .

Пусть синхронизируемые сети состоят из одного персептрона с N входами. Согласно коррекция ВК персептронов не проводится, если OA ф ОВ или, что тоже самое, если УА Ф УВ , что равносильно

N ,

Е wu xi j > 0

j=i

N

Еwij xij < 0 j=i

или j

N A

Е wAj xi j < 0

j=i

N

Еwijxij > o. j=i

(5)

Если существуют такие значения и w/J- ,

при которых независимо от значений Xi j хотя бы одна из систем неравенств (5) справедлива, то коррекция ВК производится не будет, таким образом возникает указанный выше «тупик». Наборы xij обновляются, а ВК остаются неизменными т.е. несогласованными. Найдем частное решение (5). Например, пусть:

wA = wij = 0 , j=2,3,...,N. (6)

Тогда (5) примет вид

wilx11 > 0 j wilxii < 0

wnx11 или lw11xii

< 0. > 0.

(7)

Для любых возможных значений xn (±1) одна из систем (7) будет справедлива, если имеет место

wiAi * wii < 0 . (8)

Таким образом, «тупик» возникает для значений ВК, определяемых (7) и (8). Эти значения весовые коэффициенты могут принять как при генерации начальных значений, так и в процессе синхронизации.

Найдем вероятность возникновения «тупика» при генерации начальных значений ВК. Это сложное событие, состоящее из суммы N событий, каждое из которых заключается в том, что один из ВК отличен от нуля, а остальные равны нулю. Вероятность этого события равна

N

P = Е P,

j=i

где Pj - вероятность того, что j-тый весовой

коэффициент не равен 0, а остальные равны 0.

А В

Вероятность того, что wii Ф 0, wii Ф 0,

.А В

а wij = wij = 0 , j=2,3,...,N, равна

Pi = p (wi2 = 0, wi3 = 0,..., wiN = 0, wii >

> 0, wfi = 0, wi3 = 0,..., wiN = 0, wii < 0) +

+p (wi2 = 0, wi3 = 0,..., w/N = 0, wii <

< 0, wi2 = 0, wi3 = 0,..., wiN = 0, wii > 0).

Поскольку все перечисленные события независимы, то

Pi = P (wi2 = 0) P (wi3 = 0 )...

P(wiN = 0)P(wii > 0)P(wi2 = 0)P(wi3 = 0)... P(wiN = 0)P(wii <0) + P(wi2 = 0)P(wi3 = 0)...

P(wiN = 0)P(wii < 0)P(wi2 = 0)P(wi3 = 0).

P (wiN = 0)P(wii > 0).

Так как для ИНС, состоящей из одного персептрона, каждый ВК может принять d значений, где d = 2 L +1, то

P

(wj = 0) = d-i, P (w^ > 0) = (L +1) d-1,

P

( А Л w// < 0

= Ld

-1

v у

и окончательно имеем

1-3, 2014

СИСТЕМНЫЙ АНАЛИЗ И ПРИКЛАДНАЯ ИНФОРМАТИКА

44

Обработка информации и принятие решений

P1 = 2 L ( L +1) (2 L +1)-2 N.

Аналогично найдем вероятность P2. Это вероятность аналогичного сложного события при котором все ВК персептрона равны 0 за исключением второго. Аналогично находим P3, P4, ..., PN. Окончательно вероятность искомого «тупика» равна

N

P = £P. = 2NL (L +1) (2L +1)-2N . (9)

j=1

Для ИНС, состоящей из К персептронов, где К - нечетное число, несложно найти тупиковые значения ВК. Пусть ВК первого персептрона каждой сети выбраны согласно (6), (8), что обеспечивает у1 Ф у1 при любых наборах x., следовательно, для остальных К-1 персеп-тронов необходимо обеспечить yi = yi , где i = 2,3,K. В этом случае OA Ф OB и коррекция ВК не должна проводиться. Для этого можно задать, например, следующие значения ВК

wfj = wB , i = 2 ,3,., K ; j=1,2,—, N.

Рассуждая аналогично, можно найти значения ВК, при которых не будет осущест-

вляться их коррекция и при четном количестве персептронов.

Определение момента наступления полной синхронизации

Экспериментальное исследование, приведенное с помощью имитационной модели, показало, что число тактов синхронизации tc, необходимое для наступления равенства ВК, является случайной величиной с законом распределения, зависящим от параметров сетей -L, К, n (рис. 2).

Как видно из рис. 2, величина tc изменяется от 0 до нескольких тысяч тактов. Действительно, tc = 0 , если векторы WA (0),WB(0) изначально оказались равными. Естественно, вероятность этого события очень мала. Например, если длина векторов в битах равна d, то вероятность равна P(WA (0) = WB (0) )=1/ 2d .

Неопределенность относительно наступления полной синхронизации ВК для абонентов приводит к тому, что процесс синхронизации может продолжаться уже после выравнивания ВК. Это предоставляет злоумышленнику время на реализцию одной из возможных атак на формируемые ключи [4]. К сожале-

Рис. 2. Закон распределения числа тактов синхронизации, необходимых для наступления равенства ВК

СИСТЕМНЫЙ АНАЛИЗ И ПРИКЛАДНАЯ ИНФОРМАТИКА

1-3, 2014

Обработка информации и принятие решений

45

нию, в известных нам работах вопрос об остановке процесса синхронизации ВК не рассматривается.

Для решения этой задачи возможен следующий подход. В процессе синхронизации пока WA (i)ф WB (i), наблюдаются такты, в которых OA (i) Ф OB (i), и такты, в которых OA (i) = OB (i) . Последние могут образовывать непрерывные последовательности и свидетельствовать о наступлении полной синхронизации с некоторой вероятностью. Действительно, как показали эксперименты, довольно часто встречаются отрезки тактов длиной до нескольких сотен и более совпадений OA (i) = OB (i), однако синхронизация еще не достигнута. Введем в рассмотрение случайную величину t - длину непрерывной последовательности тактов, в которых OA (i) = OB (i), но полной синхронизации не наступило. Моделирование показывает, что эта величина изменяется от 2 до нескольких сотен. Огибающая закона распределения этой величины представлен на рис. 3.

В качестве предельно значения t, при котором возможно наступила полная синхронизация, можно выбрать квантиль распределения уровня £ случайной величины t. Обозначим

эту величину ^инхр. Таким образом, вероятность того, что случайная величина t не превысит ^инхр, должна быть не менее £

^синхр

х P(t)> £. (10)

t=2

Решая (10) относительно ^инхр, получим пороговое значение для принятия решения об остановке процесса синхронизации.

Рассмотрим пример. Пусть синхронизируемые ИНС имеют параметры: L = 5, К = 5, N = 5. Зададимся двумя уровнями квантилей 81 = 0,95, 82 = 0,01 и вычислим значения ^инх1 и ^инх2, соответствующие этим уровням. Для этого промоделируем процесс синхронизации и построим закон распределения длин отрезков t для сетей с заданными параметрами P(t) (рис. 4). При этом оказалось, что: ^инх1 = 61 , ^инх2 = 82. Т.е. чтобы обнаружить наступление полной синхронизации ИНС с вероятностью ошибки 5% или 1% нужно остановить процесс синхронизации, когда достигнута длина отрезка тактов, в которых OA (i) = OB (i), равная 61 или 82 соответственно.

Поскольку предлагаемый способ носит вероятностный характер, то в некоторых случаях процесс формирования общего ключа будет

1-3, 2014

СИСТЕМНЫЙ АНАЛИЗ И ПРИКЛАДНАЯ ИНФОРМАТИКА

46

Обработка информации и принятие решений

Рис. 4. Определение момента наступления полной синхронизации

остановлен слишком рано, и абоненты будут иметь несовпадающие ключевые последовательности. Поэтому предлагаемый метод может быть дополнен механизмом проверки WA(i) = WB(i). Так как значения WA(i), WB(i) являются секретными, и обмениваться ими в открытом виде нельзя, то предлагается обмениваться значениями некоторой функции f (WA/B(i)), которая должна обладать следующими свойствами:

1. Еслиf (WA(i)) = f (WB(i)), то WA(i) = WB(i).

2. Знаяf (WA/B(i)), вычисление WA/B(i) представляет собой задачу огромной вычислитель ной сложности.

3. Зная WA/B(i), относительно легко вычисляется f (WA/B(i)).

Этим условиям наиболее полно соответствуют функции, относящиеся к классу хэш функций и широко используемые в криптогра фии. Они, как правило, стандартизованы и хорошо исследованы.

Литература

1. Kanter, 1 The Theory of Neural Networks and Cryptography, Quantum Computers and Computing / I. Kanter, W.Kinzel. - 2005. Vol. 5, n. 1. - P. 130-140.

2. Kinzel, W. Neural Cryptography / W.Kinzel, / I. Kanter // 9th International Conference on Neural Information Processing, Singapore, 2002.

3. Голиков, В. Ф. Механизм синхронизации весовых коэффициентов в искусственных нейронных сетях Кинцеля и проблемы безопасности / Н.В. Брич, В.Ф. Голиков // Электроника ИНФО. - №6(96). - С.185-188.

4. Ruttor, A. Dynamics of neural cryptography / A. Ruttor, I. Kanter, and W. Kinzel // Phys. Rev. E, 75(5):056104, 2007.

СИСТЕМНЫЙ АНАЛИЗ И ПРИКЛАДНАЯ ИНФОРМАТИКА

1-3, 2014