О связи границ применения специальной схемы защиты информации, основанной на q-ичных кодах Рида–Маллера Текст научной статьи по специальности «Компьютерные и информационные науки»

Раздел IV. Методы и средства криптографии и стеганографии

УДК 004.056.5

С.А. Евпак, В.В. Мкртичян

О СВЯЗИ ГРАНИЦ ПРИМЕНЕНИЯ СПЕЦИАЛЬНОЙ СХЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ОСНОВАННОЙ НА ^-ИЧНЫХ КОДАХ РИДА-МАЛЛЕРА

Целью работы является исследование условий применения схемы защиты легально тиражируемой цифровой продукции от несанкционированного распространения. Задачами работы являются, во-первых, исследование новых границ применения схемы защиты, а во-вторых, построение условий связи границ применения этой схемы. В соответствии с целью в работе проведено исследование условий применения схемы специального широковещательного шифрования (ССШШ), основанной на перспективных q-ичных кодах Рида— Маллера, и современных методах списочного декодирования в случае превышения допустимого числа членов коалиции злоумышленников. В соответствии с задачами в работе получены новые границы применения этой схемы, а также условия, представляющие связь как новых, так и исследованных ранее границ применения этой схемы. Полученные теоретические результаты можно использовать в ходе проектирования ССШШ при выборе значений параметров применяемого в ССШШ q-ичного кода Рида—Маллера и управляющих параметров применяемого в ССШШ списочного декодера.

q-коды Рида—Маллера; списочное декодирование; широковещательное шифрование; поиск злоумышленников.

S.A. Yevpak, V.V. Mkrtichan

АBOUT THE LINK BETWEEN THE BOUNDS OF APPLYING

OF THE SPECIAL INFORMATION PROTECTION SCHEME BASED ON THE Q-ARY REED-MULLER CODES

The purpose of the article is to study conditions of applying of a scheme of legally circulated digital products protection from unauthorized distribution. The objectives are to study new bounds of the scheme and to build a conditions of connections between the bounds of the scheme. According to the purpose an study of special broadcast encryption scheme (SBES), based on perspective q-ary Reed—Muller codes and modern methods of list decoding is carried out in case of exceeding ofpossible size of coalition members. According to the objectives a new bounds of applying of the scheme are constructed and a link between the bounds and a bounds constructed in previous works are deduced. This theoretical results can be applied during engineering of SBES, particularly during selecting a parameters of applied Reed-Muller code and parameters of applied list decoder.

q-ary Reed-Muller codes; list decoding; broadcast encryption; traitor tracing.

1. Введение и постановка задачи. В работе [1] рассмотрен перспективный способ защиты легально тиражируемой цифровой продукции от несанкционированного распространения, называемый схемой специального широковещательного шифрования (ССШШ). Известно, что злоумышленники, являющиеся легальными пользователями ССШШ, могут объединяться в коалиции и пытаться атаковать ССШШ. В [2], [3] доказано, что для эффективного поиска всей коалиции, или, по

крайней мере, ее непустого подмножества, можно применять q-ичные коды Рида-Маллера. В [4] представлена математическая модель эффективной ССШШ на основе q-ичных кодов Рида-Маллера и списочного декодера Пелликаана для q-ичных кодов Рида-Маллера. Целью настоящей работы является исследование математической модели эффективной ССШШ на основе q-ичных кодов Рида-Маллера и списочного декодера Пелликаана для q-ичных кодов Рида-Маллера в случае превышения допустимого числа членов коалиции злоумышленников.

2. Определение ^-ичных кодов Рида-Маллера и списочное декодирование.

Пусть - множество натуральных чисел, , - кольцо

полиномов m переменных с коэффициентами из поля Галуа , -

подпространство полиномов степени не выше r кольца , степень

монома есть , а степень полинома

f из есть максимальная из степеней входящих в него мономов.

Пусть, кроме того, - фиксированное упорядочение элементов про-

странства Хемминга F" = Fq x ... x Fq, где n = qm. Тогда q-ичный код Рида-Маллера R М q (r. m) порядка r определяется следующим образом [5]:

RMq (r .m) = { (/ (P 1) ,/ (P2 )./ (Pn) ) I / Є Fq [X1.Xm]}.

Из леммы 2 работы [2] вытекает, что для кода ) выполняется оценка

r < m(q — 1).

В работе [5] представлен алгоритм списочного декодирования q-ичного кода Рида-Маллера, на который далее будем ссылаться как на Алгоритм 1. Входными параметрами алгоритма являются параметры q, r и m кода R М q (r ,m) . При декодировании на вход алгоритма подается слово , где

- длина кода . Декодер производит поиск всех кодовых слов в пределах

сферы, центром которой является , радиусом - величина

Я = |"n — Д n (n — d) — І I . (1)

где - минимальное расстояние кода . Выходом алгоритма является

список всех информационных векторов b Є R М q (r ,m) , удовлетворяющих условию: . Оценка эффективности работы алгоритма 1 списочного декоди-

рования q-ичного кода Рида-Маллера составляет О (n) операций в поле Fq и О (n 3 ) операций в поле .

3. Математическая модель схемы специального широковещательного шифрования, основанной на ^-ичных кодах Рида-Маллера и списочном декодере для них. Для получения доступа к распространяемым данным пользователь ССШШ получает от распространителя данных ключевую пару, включающую, в частности, так называемый вектор-номер, являющийся словом помехоустойчивого кода С ([1], [4], [6]). Злоумышленники могут объединить свои вектор-номера в коалицию и строить потомков коалиции. Множество всевозможных коалиций кода

мощности не более обозначается через ; множество потомков

коалиции обозначается через и определяется правилом

desc (С,) = {w = (W1,....wj є Fn : Vi є {І ;...;n} Wiє С,Д

где С, i - множество i-х координат всех вектор-номеров коалиции С,; множество пиратских вектор-номеров коалиции определяется правилом . Под

множеством-потомков кода будем понимать

de s c c ( С) и С; є с о al с ( С) de s c ( С).

Пиратские вектор-номера можно применять для нелегального доступа к тиражируемым данным.

Через 7С ( С) будем обозначать максимальное число нулей в пиратском вектор-номере, который может быть порожден коалицией мощности c из множества С\{ 0}. Нетрудно видеть, что

(п — й) < (С) < с (п — й) .

Пусть с е Л, С - произвольный код. Код С является с-БР-кодом тогда и только тогда, когда

V Се со а1с ( С) Уг е С : г 6 { С\ С} = г £ des с (С) \ С.

Отметим, что код является ^БР-кодом тогда и только тогда, когда никакая коалиция злоумышленников мощности не более с не может осуществить прямую компрометацию легального пользователя, не входящего в нее, путем создания его вектор-номера.

Пусть с е Л, С - произвольный код. Код С является с-1РР-кодом тогда и только тогда, когда

Ум/ е deSСс (С П {; : 6 с1е 5 с (С;) }С Ф 0 .

Отметим, что код является ^РР-кодом тогда и только тогда, когда для любого потомка пересечение всех порождающих коалиций не пусто [7].

Пусть с е Л, С - произвольный код. Код С является с-ТА-кодом тогда и только тогда, когда

V Се со а1с (С) Ум е des с (С) \/г е С\ С;3 у 6 С: й(м/,у) <й (м/,г).

Отметим, что код С является с-ТА-кодом тогда и только тогда, когда для любого пиратского вектор-номера ближайшим кодовым словом являет-

ся элемент у, входящий в каждую из создающих его коалиций. Этот элемент в [7] предлагается находить переборным декодером.

Сформулируем лемму, содержащую необходимые далее результаты работы [7] о с-ТА-кодах и с-1РР-кодах.

Лемма 1 ([7], раздел 1.3). Пусть с е Л, С - произвольный код длины п с минимальным расстоянием d и мощностью N над полем Галуа Рч. Тогда

1) если для кода С выполняется условие

^ ^ п й > п —

то код является -ТА-кодом и выполняется условие

УС0 6 соа1е(С)\Лл/ 6 Р": м/ 6 с1е5с(С0)\С0 =>

0 Ф (в (м/,п — ^) П С) с С0,

2) если выполняется условие

д < с < Л,

то код С не является с-1РР-кодом;

3) если код С является с-ТА-кодом, то код С является с-1РР-кодом;

4) если код С является с-ТА-кодом, то код С является с-БР-кодом.

Для построения ССТТТТТТ используют, в частности, с-1РР-коды и с-ТА-коды [2], [4], [6], [7].

Лемма 2 ([8], раздел 3.1). Пусть с е Л, С - линейный код длины п с минимальным расстоянием d над полем Г алуа Рч и пусть выполняется равенство

п — ( С) + 1 < д.

Код является -ТА-кодом тогда и только тогда, когда выполняется неравенство

Следствие ([8], раздел 3.2). Пусть с е Лъ С - циклический код длины п с минимальным расстоянием d над полем Г алуа Рч. Тогда для кода С выполняется условие

Для построения эффективной ССШШ удобно использовать с-ТА-коды [4], [6]. Теорема 1 ([4], раздел 3). Пусть с є N ъ г, т (є N ) такие, что выполняется условие г < д, а С — Я М ч (г, т)-код над полем Рч, Е - определено в (1). Если выполняется условие

Рассмотрим д-ичный код Рида-Маллера с параметрами такими, что выполняется условие (2). Тогда по теореме 1 код С является с-ТА-кодом и может быть использован для защиты от коалиционных атак [2]. При этом при обнаружении пиратского вектор-номера м/ применяется следующий порядок действий котроллера: подать д, г и т и вектор м/ на вход Алгоритма 1 и на выходе получить список Ь ( с С) легальных вектор-номеров из коалиции. Из того, что с-ТА-коды является и с-БР-кодами, следует, что помимо возможности эффективного поиска злоумышленников в модели исключается возможность прямой компрометации невиновных пользователей. Под компрометацией пользователя контроллером будем понимать существование такого потомка из , что применение к нему декодера дает

список, включающий вектор-номер данного пользователя.

4. Исследования схемы специального широковещательного шифрования, основанной на ^-ичных кодах Рида-Маллера и списочном декодере для них, в случае превышения пороговой мощности коалиции. Формулировка основных результатов. Выше отмечено, что условие с < В0 ( С) является необходимым условием корректной работы эффективной ССШШ. В случае превышения мощности коалиции порога корректная работа модели не гарантируется.

Согласно [9] возможны следующие ситуации результата работы контроллера.

1. Для пиратского вектор-номера м/ получен непустой список Ь ( С С) легальных вектор-номеров из коалиции, однако, в нем оказались вектор-номера невиновных пользователей. Это событие назовем компрометацией невиновного пользователя списочным декодером Пелликаана (см. Алгоритм 1).

2. Ближайшим к м/ является вектор-номер невиновного пользователя. Это событие назовем компрометацией невиновного пользователя переборным декодером.

3. Вектор-номер м/ нелегальный, однако полученный от контроллера список пуст. Это событие не приводит к компрометации невиновного пользователя.

4. Вектор-номер легальный, но создан некоторой коалицией (

de s сс ( С) П С). Это событие назовем прямой компрометацией невиновного пользователя.

В случае 4 контроллер не имеет возможности обнаружить факт коалиционной атаки. В случае 3 контроллер обнаружит факт коалиционной атаки с превышением мощности коалиции допустимого порога , но предпринять каких-

либо действий не сможет. В случаях 1 и 2 контроллер рассмотрит список вектор-номеров, в котором в качестве вектор-номера злоумышленника имеет смысл рассматривать вектор-номер, ближайший к .

Аналогично [6] введем классификацию различных случаев нарушения (1). Пусть N - множество натуральных чисел, N = N \ { 1 } , г,т е N , С - Я М ч (г ,т) -код,

Е = |"п — У п (п — й) — 1 | . Рассмотрим множества (С) , называемые областями

компрометации кода . Пусть

^е(С) = с(п - сГ).

(2)

то, во-первых, код является -ТА-кодом, а во-вторых

V С0 Є со а1 с( С) Уи Є Р^ :и Є сіє б с ( С0) \ С0 = 0 Ф (В (и, Е) П С) Є С0.

ПХ(С) = {сеЛ^: ЗреС ЭС0есоа1с(С\{г7}) Эwedesc(C0)\C0: (1(у,ш)<Е}.

Область кода это множество мощностей таких коалиций, при кото-

рых для некоторого кодового слова существует коалиция, у которой хотя бы один из потомков расположен на расстоянии не далее от данного кодового слова. Очевидно, что - множество таких значений , при которых для кода

существует возможность компрометации некоторого невиновного пользователя в результате применения Алгоритма 1 к потомку коалиции. Пусть П2(С) = {сеЛ^: БреС ЭC0ecoalc(C\{г7})Эwedesc(C0)\C0Vг^eC0: с1(р,уу)<с1(у\7,и)}.

Область кода есть множество мощностей таких коалиций, при кото-

рых для некоторого кодового слова существует коалиция , у которой хотя бы один из потомков расположен не далее от , чем от любого элемента . Пусть ^з(С) = {ceN1■. ЭубС ЭС0есоа1с(С\{г7}): г7edesc(C0)\C0}.

Область кода это множество мощностей таких коалиций, при которых

для некоторого кодового слова существует коалиция, у которой является потомком. Пусть

П4(С) = {ceN1■. Эwedescc(C) Сс = 0}.

(1:м/6с1е5с(С£)}

Область кода это множество мощностей таких коалиций, у которых

не имеется возможности определить ни одного члена коалиции по некоторому ее потомку.

Отметим, что сдвиг двух точек пространства на некоторый вектор сохраняет расстояние между ними, а сдвиг множества потомков любой коалиции на произвольный кодовый вектор образует множество потомков сдвинутой на тот же вектор коалиции. Отсюда вытекает, что для каждого / множество Пг ( С) состоит из таких , при которых возможна соответствующая компрометация не только одного, но и нескольких пользователей.

Очевидно, - целочисленный отрезок вида: ,

где - величина, называемая рубежом областей компрометации . Да-

лее будем использовать следующие обозначения:

Д г (г,т ах;) = т ахт 6 NД г (г,т;> ; Д 1 (г,гт П = гт пт 6 NД г (г,т;> .

Непосредственно из определений вытекает справедливость вложения

Пз ( С)£П2( С) .

В зависимости от конкретных условий, при которых проектируется ССТТТТТТ. вычисление рубежей позволяет уточнить параметры используемого кода

и декодера для того, чтобы уменьшить негативные последствия возможности превышения пороговой мощности коалиции злоумышленников. Действительно, если мощность с коалиции злоумышленников превышает рубеж Д х (г, т) , то возможна компрометация невиновного пользователя списочным декодером. Если мощность с коалиции злоумышленников превышает рубеж , то возможна компроме-

тация невиновного пользователя переборным декодером. Если мощность с коалиции злоумышленников превышает рубеж , то возможна прямая компроме-

тация невиновного пользователя.

Непосредственный расчет рубежей является достаточно непростой

комбинаторной задачей, поэтому если Д г (г, т) для некоторого / вычислить не удается, то интерес представляет задача получения границ для значений . Для

решения этих задач введем следующие величины:

в 2 (д,г,т) = [;- —Ь? + т^Ьг| , в4 (д ) = д.

Очевидно, выполняются неравенства

вх (д ,г) < В2 (д,г,т) < В4 ( д) .

Вгія.г) =

Сформулируем основной результат работы о рубежах R;(r, ш) множеств компрометации П t ( С) .

Теорема 2. Пусть с е Nb г,ш е N , а С = RM ч (г ,ш) - q-ичный код Рида-Малера. Если выполняется условие r < q, то рубежи R 1 (г, ш) , R 2(г,ш) , R 3 (г, ш) и R 4 (r, ш) имеют следующие границы

Вх (q ,r) < R х (r,mi n) , R 2(r,m ax) < В2 ( q, r, ш) < R 3(r,mi n) ,

R 4 (r,m ax) < R 3(r,min ) , R4 (r, max) < B4 (q ) .

Если выполняется условие , то выполняется равенство

R 2 Crrn) = 2 .

Если выполняется условие 9 r < q, С Ф R M 2 ( 1 , 1 ) , тогда выполняется неравенства

R x (r, ш) < R 2(r,rn) .

Доказательство теоремы 2 основывается на результатах работ [2], [3] и [6] и публикуется отдельно. Полученные теоретические результаты можно использовать в ходе проектирования ССТТТТТТ при выборе значений параметров r и q применяемого в ССТТТТТТ q-ичного кода Рида-Маллера. Представленные границы позволяют делать вывод о возможности различных типов компрометации контроллером невиновных пользователей в случае атаки коалиции мощности , превосходящей порог .

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Silverberg A., Staddon J., Walker J. Application of list decoding to tracing traitors // In Adv. in Cryptology - ASIACRYPT 2001 (LNCS 2248). - 2001. - P. 175-192.

2. Евпак С.А., Мкртичян В.В. Исследование возможности применения д-ичных кодов Ри-да-Маллера в схемах специального широковещательного шифрования // Известия вузов. Северо-Кавказский регион. Естественные науки. - 2011. - № 5. - С. 11-15.

3. Евпак С.А., Мкртичян В.В. Об исследовании возможности применения д-ичных кодов Рида-Маллера в специальных схемах защиты информации от НСД // Обозрение Прикладной и Промышленной Математики. - 2011. - Т. 18. Вып. 2. - С. 268-269.

4. Евпак С.А., Мкртичян В.В. Применение д-ичных кодов Рида-Маллера в схемах специального широковещательного шифрования // Труды научной школы И.Б. Симоненко.

- Ростов-на-Дону: ЮФУ, 2010. - С. 93-99.

5. Pellikaan R., Wu X.-W. List decoding of д-ary Reed-Muller Codes // IEEE Trans. On Information Theory. - 2004. - Vol. 50 (4). - P. 679-682.

6. Деундяк В.М., Мкртичян В.В. Математическая модель эффективной схемы специального широковещательного шифрования и исследование границ ее применения // Известия вузов. Северо-Кавказский регион. Естественные науки. - 2009. - № 1. - С. 5-8.

7. Staddon J.N., Stinson D.R., Wei R. Combinatorial properties of frameproof and traceability codes // IEEE Trans. Inf. Theory. - 2001. - Vol. 47. - P. 1042-1049.

8. Fernandez M., Cotrina J., Sorario M. and Domingo N. A note about the traceability properties of linear codes // In Information Security and Cryptology - ICISC 2007 (LNCS 4817). - 2007.

- P. 251-258.

9. Деундяк В.М., Мкртичян В.В. Исследование границ применения схемы защиты информации, основанной на РС-кодах // Дискретный анализ и исследование операций. - 2011.

- Т. 18, № 1. - С. 21-38.

Статью рекомендовал к опубликованию к.т.н., доцент Н.С. Могилевская.

Евпак Сергей Александрович - Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный университет»; е-mail: sergej-evpak@yandex.ru; 344029, г. Ростов-на-Дону, пр. Маршала Жукова, 30/95, кв. 365; тел.: 89094142919; кафедра алгебры и дискретной математики факультета математики, механики и компьютерных наук; аспирант.

Мкртичян Вячеслав Виталиевич - ФГАНУ НИИ "Спецвузавтоматика"; e-mail: realdeal@bk.ru; 344015, г. Ростов-на-Дону, ул. Малиновского, 72/2, кв. 136; тел.: 88632202486, 89044417791; старший научный сотрудник.

Yevpak Sergey Alexandrovich - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; е-mail: sergej-evpak@yandex.ru; 30/95, Marshal Zhukov avenue, 365 flat, Rostov-on-Don, 344029, Russia; phone: +79094142919; the department of the algebra and discrete mathematics of the faculty of mathematics, mechanics and computer sciences; postgraduate student.

Mkrtichan Vyacheslav Vitalievich - FSSI RI "Spetsvuzavtomatika"; e-mail: realdeal@bk.ru; 72/2, Malinovskogo street, 136 flat, Rostov-on-Don, 344015, Russia; phones: +78632202486, +79044417791; senior researcher.

УДК 517.19

Е.А. Михайлова

СИСТЕМА ЗАЩИТЫ МАК-ЭЛИСА В СЛУЧАЙНЫХ СЕТЯХ НА БАЗЕ СЕТЕВОГО КОДА РИДА-СОЛОМОНА*

Рассматривается задача защищенной от помех и наблюдателя передачи одной и той же информации от одного источника некоторому количеству получателей в сети неизвестной структуры. Задача решается на основе предложенного Кёттером и Кшишангом метода случайного сетевого кодирования. В этом методе сеть представляется графом неизвестной структуры, в узлах которого над пришедшими пакетами совершаются случайные линейные преобразования. В работе построена модель сетевого канала, использующего линейное сетевое кодирование, рассмотрены предложенные Кёттером и Кши-шангом подпространственные сетевые коды Рида-Соломона, обеспечивающие эффективную помехоустойчивую передачу данных по такому сетевому каналу. Представлены алгоритмы кодирования и декодирования. Построена новая матричная интерпретация кодирования, приведен соответствующий алгоритм. На базе сетевых кодов Рида-Соломона в их матричной интерпретации построена система защиты с открытым ключом, являющаяся некоторым аналогом известной криптосистемы Мак-Элиса. Целью построенной системы защиты является защищенная передача от одного отправителя, знающего открытый ключ, нескольким получателям, владеющим общим секретным ключом, некоторого одинакового набора данных. Приведены алгоритмы шифрования и расшифрования для построенной системы защиты, доказана теорема о корректности работы алгоритмов. В заключение построена симметричная версия системы защиты, изменены соответствующие алгоритмы, отмечены достоинства и недостатки симметричной версии.

Помехоустойчивое кодирование; сетевые коды Рида-Соломона; случайная линейная сеть; система защиты с открытым ключом; криптосистема Мак-Элиса.

E.A. Mikhailova

MCELICE SECURITY SYSTEM IN RANDOM NETWORK BASED ON REED-SOLOMON NETWORK CODE

The problem of error-correction transmission of the same data from one source to several receivers in wiretapped network of unknown structure is considered. The solution based on random network coding technigue provided by Koetter and Kschischang. In this method network represent as an unknown structured graph, where each intermediate node creates a random linear combination of the received data and transmits this random combination. The network channel model, using a linear network coding, is constructed. Network subspace Reed-Solomon codes pro-

* Работа подержана грантом ЮФУ на 2013 год ИТ-213.01-24/2013-147. 200