Об одном общем подходе к описанию рюкзачных методов шифрования информации Текст научной статьи по специальности «Математика»

ТЕХНИЧЕСКИЕ НАУКИ TECHNICAL SCIENCES

УДК 004.056.5:510.52 ББК 22.127 Т 49

Тлюстен В.Ш.

Кандидат физико-математических наук, доцент кафедры прикладной математики, информационных технологий и информационной безопасности факультета математики и компьютерных наук Адыгейского государственного университета, Майкоп, тел. (8772) 593904, e-mail: val_t@mail.ru

Об одном общем подходе к описанию рюкзачных методов шифрования информации

(Рецензирована)

Аннотация. Построена общая математическая модель рюкзачных схем защиты информации, частными случаями которой являются известные схемы аддитивного и мультипликативного рюкзаков. В терминах этой общей модели сформулированы некоторые базовые алгоритмы шифрования-дешифрования информации.

Ключевые слова: защита информации, задача о рюкзаке, аддитивный рюкзак, мультипликативный рюкзак, шифрование, дешифрование, сверхрастущий рюкзачный вектор, ранговая рюкзачная схема.

Tlyusten V.Sh.

Candidate of Physics and Mathematics, Associate Professor of Department of Applied Mathematics, Information Technologies and Information Security of Faculty of Mathematics and Computer Sciences, Adyghe State University, Maikop, ph. (8772) 593904, e-mail: val_t@mail.ru

About one general approach to the description of knapsack methods

of information encryption

Abstract. The general mathematical model is constructed for the knapsack schemes of information security, special cases of which are the known schemes of additive and multiplicative knapsacks. In terms of this general model some basic algorithms of information encryption and decryption are formulated.

Keywords: information security, knapsack problem, additive knapsack, multiplicative knapsack, encryption, decryption, the supergrowing knapsack vector, the rank knapsack scheme.

1. Существует целый ряд, так называемых, рюкзачных методов шифрования-дешифрования информации, восходящих к оригинальным работам [1-3] и обладающих различными свойствами, которые в конечном счете определяют их практическую значимость. Все эти методы разнятся, помимо всего прочего, также и различными степенями общности лежащих в их основе математических моделей [4, 5]. Но при этом последние, как правило, укладываются в одну из двух явно различаемых и отдельно изучаемых исследователями схем - схемы аддитивного и схемы мультипликативного рюкзака. В данной статье делается попытка показать, что это различение в некоторой степени искусственно и что можно построить более общую, унифицирующую эти две схемы модель, которая названа в данной работе ранговой рюкзачной схемой (RRS).

Основная идея авторского подхода состоит в том, чтобы в рассматриваемую рюкзачную модель явным образом ввести числовой параметр r - ранг, определяющий конкретную разновидность схемы шифрования - RRS(r). В частности, полагая r=0 или r=1, из RRS(r), можно получить, соответственно, традиционные аддитивную или мультипликативную рюкзачные схемы (r0- или rl-рюкзаки). При этом ранговая рюкзачная схема определена таким образом, что помимо указанных двух известных разновидностей рюкзачных моделей, в рамках RRS(r) при r>1 возникают системы с той же структурой построения рюкзаков, но более высоких порядков, образующих в своей совокупности бесконечную, упорядоченную по возрастанию ранговых значений последовательность рюкзачных схем.

В терминах RRS со свободным параметром r автором формулируются некоторые базовые принципы и алгоритмы шифрования-дешифрования, одновременно охватывающие как

аддитивные, так и мультипликативные рюкзаки. Далее затрагивается вопрос о сохранении основных свойств стандартных версий рюкзачных схем так же и для КЯ8(г) при г>1 (высокоранговых рюкзаков). Наконец, на примере схемы ЯЯ8(2), названной в работе экспоненциальной рюкзачной схемой (г2-рюкзаком), устанавливается факт наличия некоторых особенностей высокоранговых рюкзачных схем, затрудняющих непосредственное их использование при построении рюкзачных систем защиты информации (РСЗИ).

2. Следуя обозначениям, принятым в [6], рассмотрим последовательность арифметических действий - сложения, умножения и возведения в степень, упорядоченную по ступеням (0-й, 1-й и 2-й ступеням):

Р0(а,х)=а+х, Р1(а,х)=ах, Р2(а,х)=ах.

Приведенные функции связаны следующими соотношениями:

Р1 (а,х+1)=Ро(а,Р1(а,х)), Р1(а,1)=а, Р2(а,х+1)=Р1(а,Р2(а,х)), Р2(а,1)=а.

В продолжение логической цепочки этих рекурсивных равенств для г=2,3,... дополнительно определяются функции, соответствующие действиям более высоких ступеней:

Рг+1(а,1)=а, Рг+1 (а,х+1)=Рг(а,Рг+1 (а,х)).

А чтобы функции Рг(а,х) были всюду определены на К, для всех г=1,2,3,..., кроме того, полагается

Рг+1(а,0)=1.

Построенная таким образом бесконечная последовательность арифметических функций Ро(а,х), Р1(а,х), Р2(а,х), Рз(а,х), ... (1)

в силу способа ее определения обладает следующими свойствами:

1) Она упорядочивает все соответствующие ей арифметические действия по ступеням, причем так, что любой член указанной последовательности, начиная со 2-го, получается на основе предыдущего по одной и той же рекурсивной схеме. Например, как из сложения (действия 0-й ступени) возникает умножение (действия 1-й ступени) - а*(х+1)=а+(а*х), так из умножения возникает возведение в степень - а(х+1)=а*(ах) и из возведения в степень (действия второй ступени) возникает действие третьей ступени - Р3(а,х+1)=Р2(а,Р3(а,х);

2) Любая функция Рг(а,х), входящая в указанную последовательность, является, очевидно, вычислимой (примитивно-рекурсивной) функцией и имеет также вычислимую (частично-рекурсивную) обратную функцию Рг-1(а,х), которая может быть получена из данной функции применением к ней оператора минимизации следующим образом:

Рг1 (а,х)=ру(Рг(хУ)=а. (2)

Иными словами, формула (2) выражает тот факт, что вычисление функции Рг-1(а,х) обратной Рг(а,х), состоит в нахождении наименьшего корня для равенства Рг(ху)=а, рассматриваемого как уравнение относительно переменной у. Нетрудно видеть, например, что Р0-1(а,х)=а-х, Р1-1(а,х)=а/х, Р2-1(а,х)=1о§ха, что вполне отвечает традиционной трактовке обратных функций для сложения, умножения и возведения в степень соответственно. Эти примеры иллюстрируют также и частичность определенности обратных функций (то есть факт того, что результаты соответствующих им обратных операций либо не всегда существуют, либо могут находиться за пределами множества К).

3) Функции рассматриваемой последовательности растут тем быстрее, чем большими порядковыми номерами в этой последовательности они обладают. Умножение растет быстрее, чем сложение, возведение в степень растет быстрее, чем умножение и т. д.

В целях удобства дальнейших рассмотрений для любого фиксированного г=0,1,... введем дополнительные обозначения:

I г Iе =1 *1=Ь при к=1;

I г к=1 ^=Рг(М0 при к=2;

Рг(М1),...)) при к>2.

Тогда, например, будем иметь:

1) I 0 г3=1 t,=Po(t3,Po(t2,tl))=t3+(t2+tl)=T ,3=i t; (3)

2) I i i3=i t;=Pi(t3,Pi(t2,ti))=t3*(t2*ti)=n ,3=i t,; (4)

3) I 2 ,3=i t,=P2(t3,P2(t2,ti))= tf ). (5)

3. Основываясь на описанных выше понятиях, обозначениях и некоторых известных обобщениях рюкзачных систем защиты информации [4, 5], определим теперь ранговую рюкзачную схему ранга r (в дальнейшем, RRS(r)) как совокупность следующих ее компонент:

1. Множества Zp={0,i,...,p-i}, которое называется множеством спектра (р-спектра) данной схемы и задается выбором натурального числа p>i. Последнее, в свою очередь, называется порогом спектра;

2. Вектора ^r,p=(ai,a2,.,a„), составленного из n предметов с заданными объемами a,, aieN, i=i,...n, и такого, что его элементы удовлетворяют обеспечивающим инъективность [3] этого вектора ограничениям:

ai>i, a, >YJr,^Pr+i(a],Р~i)), i=2,...,n. (6)

Вектор Ar,p будем называть сверхрастущим вектором ранга r c порогом р и, кроме того, будем говорить о каждом элементе a, (i>i) из формулы (6), что он является сверхдоминантой ранга r (при заданном р) всех предшествующих ему элементов (сверхдоминиру-ет над ними) при данном способе их упорядочения.

3. Системы r-шифрования

Пусть сообщение, которое требуется закодировать, оно иногда называется спектром (p-спектром), имеет следующий вид:

Wp=(xi,x2,.,xn), x,eZp. (7)

Тогда его шифрование по рюкзачной схеме RRS(r) может быть выполнено в соответствии с формулой:

Sr,p,n=Zr ,n=i(Pr+i(a,,xI)), p>i, n>0, r=0,i,... . (8)

Алгоритм соответствующего процесса в самом общем виде может выглядеть так:

//Алгоритм i (шифрование r-рангового рюкзака длины n)

For i:=2 to n do Begin

S:=Pr(Pr+1(ai ,xi),S);

End;

S :=S;

r,p,n• ^

4. Системы r-деширования

Дешифрование шифротекста Sr,p,n с целью восстановления исходного спектра Wp=(xi,x2,.,xn) требует использования обратных арифметических операций. Оно основано на следующих вытекающих из способа построения вектора Ar,p и выбранной нами процедуры шифрования соотношениях:

x,=x,+i, Pr~\S,I r]n=i(Pr+i(a],x])))>ab i=n,...,i. (9)

Начав процесс с обнуления всех результирующих переменных x, и далее двигаясь от старших (наибольших) значений a, к младшим, согласно формулам (9), при каждом фиксированном i с помощью обратной функции PгХ следует «изымать» a, из S, одновременно накапливая единицы в переменной x, с тем же индексом ,, пока выполняется указанное неравенство. После чего переключаться на переменную с меньшим индексом до полного исчерпания всех переменных. Более точно этот процесс может быть описан следующим алгоритмом:

//Алгоритм 2 (дешифрование r-рангового рюкзака длины n)

s:=S ;

For i:=n downto 1 do Begin

xi:=0;

While S>ai do Begin S:=Pr~\S, ai);

End

End

Заметим, что выход из внутреннего цикла "while" в вышеприведенном алгоритме гарантируется тем, что процесс повторных в общем случае изъятий из S сверхдоминанты at, реализуемый обратной функцией Prl, в конце концов, приведет к полному исключению этой компоненты из S, что, по самому определению сверхдоминантности, немедленно нарушит условие продолжения цикла.

4. Известные классические РСЗИ аддитивного и мультипликативного типа в постановке обобщенного рюкзака [4, 5], как нетрудно теперь в этом убедиться, могут рассматриваться как частные случаи построенного выше семейства ранговых рюкзачных систем, имеющие ранги r=0 и r=1, соответственно.

Пусть, например, выбраны значения параметров p=3, n=3 и W3=(2,0,1) - спектр, который необходимо зашифровать. Тогда могут быть построены следующие схемы.

1. Схема аддитивного рюкзака (r=0)

1) Построим сверхрастущий rO-вектор, компоненты которого удовлетворяют неравенствам (6). Выбрав для построения минимальный по модулю вектор из всех возможных таких векторов и фиксировав в формулах (6) параметры r=0, p=3, n=3, получим:

Ло,з=(аьа2,аз)=(2,5,15),

где a1=2;

a2=2*(p-1)+1=2*2+1=5; a3=2*(p-1)+5*(p-1)+1=2*2+5*2+1=15.

2) Теперь, располагая вектором A0,3, по формулам (8) мы можем зашифровать сообщение W3=(2,0,1) и получить для него шифротекст:

S0,3,3=15*1+5*0+2*2=19.

3) Наконец, осуществляя процесс дешифрования S0,3,3=19, в соответствии с формулами (9), по алгоритму 2 мы оказываемся способными также и восстановить исходный спектр W3=(2,0,1).

2. Схема мультипликативного рюкзака (r=1)

Повторение тех же шагов, что и в предыдущем пункте для ранга r=1, при решении той же задачи, позволит несколько иначе интерпретировать те же самые формульные схемы, реализовав, по сути, вариант обобщенного мультипликативного рюкзака.

Легко убедиться, что на этот раз мы получим:

A1,3=(a1,a2,a3)=(2,5,101), а процесс зашифровки для W3=(x1,x2,x3)=(2,0,1) приведет к шифротексту:

S133=P2(a3,X3)*P2(a2,X2)*P2(a1,X1)=1011*50*22=404.

Дешифровка, соответственно, снова будет состоять в применении к S1,3,3 алгоритма 2, работа которого, что также нетрудно проверить, завершится восстановлением исходного вектора W3=(2,0,1).

Говоря о мультипликативных ранцевых схемах, следует отметить, что они могут вариативно различаться структурой построения вектора A1,p=(a1,a2,... ,an), который, вообще говоря, может и не быть с необходимостью сверхрастущим. Более того, из-за слишком быстрого роста векторных компонент, удовлетворяющих условию сверхдоминирования, на практике могут использоваться и другие условия определения этого вектора, также обеспечивающие его инъективность (отделимость его компонент).

Понятие отделимости компонент вектора, вероятно, нуждается в дальнейшем уточнении, однако здесь пока мы ограничимся интуитивным его толкованием. Например, как это обычно и полагается для мультипликативных рюкзаков, достаточно того, чтобы вектор A1,p состоял из попарно взаимно-простых компонент.

Таким образом, в общем случае можно сказать, что условие r-сверхроста вектора Ar,p, положенное в основу построения семейства r-рюкзаков в данной работе, является, по всей вероятности, достаточным (по крайней мере, это очевидно для r=0 и r=1), но при этом не является необходимым для отделимости его компонент.

5. Данное нами определение семейства ЯЯБ(г) позволяет по существу не различать структуру аддитивных (г=0) и мультипликативных (г=1) рюкзачных схем. Но при этом возникает вопрос о том, как обстоят дела с высокоранговыми рюкзачными схемами (так мы будем называть ЯЯБ(г) при значениях г=2,3,...). Пригодны ли они в принципе для решения задач защиты информации? В частности, является ли однозначно обратимой рюкзачная схема ЯЯБ(2), которую естественно было бы назвать схемой экспоненциального рюкзака (так как основная «кодирующая» операция ранга 2 в данном случае представлена функцией Р2(а,х)=ах)?

Ответы на эти вопросы, в частности, из-за нарушения свойств ассоциативности и коммутативности для функции Р2(а,х) и для всех других, имеющих более высокий ранг функций рассматриваемого класса, которые на ней основаны, к сожалению, не вполне удовлетворительны.

Действительно, вернемся к сообщению Ж3=(2,0,1), которое попытаемся зашифровать по схеме ЯЯ8(2) на основе предположительно уже построенного вектора Л2,3=(а1,а2,а3). Возвращаясь к формулам (8) и раскрыв их, для данного случая получим:

Са 1

^2,3,3=Р2(Р3(а3,1),Р2(Р3(а2,0),Р3(а1,2)))=Р2(а3,Р2(1,а1о1))= а] =а3. (10)

Из этого примера видно, что при наличии нулей в шифруемом сообщении соответствующий процесс приводит к появлению степеней единицы, что, в свою очередь, может вызвать утрату информации, содержащейся в показателях этих степеней. В данном случае оказалась полностью утерянной информация о компоненте а1.

Эта одна из неприятных особенностей высокоранговых схем формально может быть устранена исключением возможности появления единиц в качестве оснований степеней в составе шифротекста, формируемого в процессе шифрования. Самый простой и очевидный способ добиться этого состоит в том, чтобы:

A) Увеличить компоненты Wp на единицу, соответственно увеличив на единицу и параметр р, до начала процесса шифрования;

B) Вычесть единицу из компонент полученного в результате дешифрования вектора , окончательно получив Жр.

Более тонкие и не приводящие к дополнительному «разбуханию» шифротекстов методы устранения этой, а также и других носящих принципиальный характер проблем, возникающих при г>1, возможно, лежат на пути внесения изменений в систему определений функций Рг. В любом случае, более подробное рассмотрение высокоранговых схем рюкзачного шифрования (к слову сказать, в силу их чрезвычайно высокой степени «разреженности» могущих представлять, по-видимому, не более чем академический интерес), мы оставляем за рамками данной работы.

Примечания:

1. Merkle R., Hellman M. Hiding information and signatures in trapdoor knapsacks // IEEE Transactions on Information Theory. 1978. Vol. IT-24. P. 525-530.

2. Koblitz N. A Course in Number Theory and Cryptography. N. Y.: Springer-Verlag, 1987. 236 pp.

3. Саломаа А. Криптография с открытым ключом. М.: М^, 1995. 318 с.

4. Осипян В.О. Об одном обобщении рюкзачной криптосистемы // Известия вузов СевероКавказского региона Новочеркасск: ЮжноРоссийский гос. техн. ун-т, 2003. Приложение № 4. С. 18-25.

5. Осипян В.О. О системе защиты информации на основе проблемы рюкзака // Известия Томского политехнического университета. 2006. Т. 309, № 2. С. 209-212.

6. Мальцев А.И. Алгоритмы и рекурсивные функции. Москва: Наука, 1965. 392 с.

References:

1. Merkle R., Hellman M. Hiding information and signatures in trapdoor knapsacks // IEEE Transactions on Information Theory. 1978. Vol. IT-24. P. 525-530.

2. Koblitz N. A Course in Number Theory and Cryptography. N. Y.: Springer-Verlag, 1987. 236 pp.

3. Salomaa A. Public Key cryptography. M.: Mir, 1995. 318 pp.

4. Osipyan V.O. On a generalization of the backpack cryptosystem // News of Higher Schools of The North Caucasus Region. Novocherkassk: South-Russian State Tech. University, 2003. Appendix No. 4. P. 1825.

5. Osipyan V.O. On the information security system based on the backpack problem // News of Tomsk Polytechnic University. 2006. Vol. 309, No. 2. P. 209212.

6. Maltsev A.I. Algorithms and recursive functions. Moscow: Nauka, 1965. 392 pp.