CC BY
15
Для каждого алгоритма проводилась серия замеров с различными входными данными, Чтобы повысить точность, каждый эксперимент с замером времени повторялся N = 10 раз, после чего полученные значения времени усреднялись, В результате экспериментов определены зависимости измеряемых параметров от размера входных данных.
Полученные данные позволяют сделать выводы об эффективности конкретных алгоритмов и понять границы их применимости при использовании в схемах zk-SNARK. Показано, что классические хеш-функции, такие, как sha256, плохо оптимизированы для zk-SNARK и могут ограниченно применяться только при относительно небольших размерах входных данных (порядка нескольких килобайт). Лучшие результаты показывают алгоритмы, изначально разработанные с целью оптимизации количества ограничений в RlCS-предетавлении (например, хеш-функция poseidon).
ЛИТЕРАТУРА
1. Ben-Sasson Е., ChiesaA., GenkinD., et al. SNARKs for C: Verifying program executions succinctly and in zero knowledge 11 LNCS. 2013. V.8043. P. 90-108.'
2. Eberhardt J. Scalable and Privacy-preserving Off-chain Computations. Thesis: Ph.D., Technical University of Berlin, Faculty IV — Electrical Engineering and Computer Science, 2021. 284 p.
3. Eberhardt J. and Tai S. ZoKrates — scalable privacy-preserving off-chain computations // IEEE Intern. Conf. Blockchain. Halifax, Canada, 2018. P. 1084-1091.
УДК 003.26 DOI 10.17223/2226308X/16/14
ОБ ОДНОМ РЕЖИМЕ РАБОТЫ БЛОЧНЫХ ШИФРОВ ДЛЯ ЗАЩИТЫ СИСТЕМНЫХ НОСИТЕЛЕЙ С БЛОЧНО-ОРИЕНТИРОВАННОЙ СТРУКТУРОЙ
А, М, Коренева, Г, В, Фирсов
В 2022 г. приняты рекомендации по стандартизации, определяющие режим работы блочных шифров DEC, используемый для защиты носителей информации с блочно-ориентированной структурой. Режим DEC имеет эксплуатационные особенности, усложняющие его использование для шифрования системных дисков, из-за чего востребован синтез альтернативных режимов для полнодискового шифрования. В большинстве существующего ПО для шифрования системных дисков используется режим XTS, но он имеет особенности, ухудшающие его криптографические качества. Предлагается модификация режима XTS — режим ХЕН (Хог-Encrvpt-Hash), для которого получена нижняя оценка уровня информационной безопасности и исследованы некоторые эксплуатационные характеристики.
Ключевые слова: полнодисковое шифрование, режим работы блочных шифров, симметричная криптография, криптографическая защита информации, системные носители информации.
Введение
Известно, что для классов систем криптографической защиты информации (СКЗИ), начиная с КС2 и выше, требуется обеспечить защиту от действий нарушителя, который, находясь внутри контролируемой зоны, может реализовать угрозу кражи носителя информации, В связи с этим требуется обеспечить конфиденциальность хранимых данных при наличии у нарушителя непосредственного доступа к диску. Для этого в СКЗИ используется криптографическая подсистема с функци-
ей полнодискового шифрования (ПДШ), то есть полного шифрования всех данных, расположенных на носителе, В существующих технических решениях, используемых для ПДШ, чаще всего применяются симметричные блочные шифры, функционирующие в специально разработанных режимах, которые учитывают эксплуатационные ограничения, возникающие при шифровании носителей информации,
В 2021 г, в ТК 26 (технический комитет по стандартизации «Криптографическая защита информации») завершилась разработка режима работы блочных шифров для защиты носителей информации с блочно-ориентированной структурой — Disk Encryption with Counter (DEC) [1]. Режим DEC требует, помимо шифртекста, хранить дополнительно счётчики, необходимые для его функционирования [2, 3], что ухудшает эксплуатационные качества, В связи с этим востребована разработка альтернативных решений для защиты информации на носителях. Во многих существующих решениях для ПДШ используется режим XEX-based Tweaked-codebook mode with ciphertext Stealing (XTS), описанный в MST SP 800-38E «Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices», При этом режим XTS обладает слабостями, лежащими в основе известных атак [4, 5]. Однако широта распространения режима XTS в прикладном ПО для ПДШ стала основанием для его выбора в качестве базового при построении предлагаемого режима ХЕН,
Целевые эксплуатационные характеристики формулируются с учётом повышенных требований к производительности подсистемы ПДШ, а также ограниченности доступной памяти раздела КК1 системного носителя, К данным характеристикам относятся:
— минимально возможное количество обращений к примитиву блочного шифра;
— отсутствие дополнительных данных, необходимых для работы режима и хранимых
Целевые криптографические характеристики формулируются на основании модели и возможностей нарушителя, рассмотренных в [5], В этой же работе проанализированы некоторые атаки на режим XTS, К целевым криптографическим характеристикам предлагаемого режима относятся:
- стойкость в модели RND-fdeCPA-sector [5] (формализация обеспечения конфиденциальности);
— невозможность построения атак, к которым уязвим режим XTS,
Обозначим через / длину блока в битах, п — количество блоков в секторе (0 < < п < 21), Здесь и далее V — множество битовых строк длины I, Е = СЕ(2)[х]/р(х), где р(х) = х128 + х7 + х2 + х + 1 для I = 128; р(х) = х64 + х4 + х3 + х + 1 для I = 64,
В предлагаемом режиме ХЕН применяется функция вида д : Е2 х ^ которая при фиксированных первых двух аргументах (их будем называть по. Iк.ночам н) является обратимой. Обозначим через дТ2Т3(у) значение функции д((т2, т3), у) для т2, т3 € Е, у € Определим дТ2,Тз(у):
9т2,т3(y) = (yi + Yt3 + Т2, У2 + Yt3 + Т2 ■ a, ..., yn-1 + Yt3 + Т2 ■ an 2, Yt3 + T2 ■ an ,
1. Целевые характеристики предлагаемого режима ХЕН
на диске.
2. Определение режима ХЕН и оценка его уровня информационной безопасности
где a = x — примитивный элемент поля F H— сложение в F — умножение в F; Fi : 4 F — отображение, сопоставляющее элементу r = ^ di2¿
кольца Z21 элемент
i=0
i-i
r = dix1 толя F G {0,1} i = 0,..., l — 1,
i=0
Помимо g, в предлагаемом режиме используется функция ф : F x Fn 4 Fn, являющаяся обратимой при фиксированном первом аргументе. Обозначим через фТз (y) значение ф(т3, y) для т3 G F и y G Fn, Определим фТз(y) следующим образом:
фтз (y) = (ZT3 , У2 + ZT3 , . . . , Уп + ZT3) ,
n ' 1
ZT3 = S yj • т3 . j=i
Пусть E — симметричный блочный шифр; M, C, K —множества открытых текстов,
шифртекетов и ключей соответственно; E : K x M 4 C - функция зашифрования
шифра E (будем обозначать E(K, m) через EK(m) дая K G K, m G M); Ai : Vi 4 F —
i-i
отображение, сопоставляющее строке a = (a0,..., ai-1) из Vi элемент d = aX no-
i=0
ля F a¿ G {0,1} i = 0,..., l — 1; Vi : F 4 Ví^^^^^^^^rne, обратное к A^
Как и режим XTS, ХЕН использует два независимых ключа K, K' G K, Из номера сектора SN вырабатываются три подключа:
Ti = Ai(EK(SN)), Т2 = Ai(EK(Vi(ti))), тз = Ai(Ew(SN)).
Процедура зашифрования в режиме ХЕН с использованием блочного шифра E состоит в следующем:
(wi,. ..,Wn) = фт3 (Ai(mi),..., Ai (mn)), yj = ai(ek(Vi(wj + Ti • aj-i))), j = 1,..., n, (Zi,...,Zn) = g-^T3 (yi ,...,Уn), c = (Vi(zi),..., Vi(Zn)),
где c = (ci,..., cn) — шифртекст; m = (mi,..., mn) — открытый текст; mj, cj G Vi, j = 1,...,n
При оценке уровня информационной безопасности использовалась методика, описанная в работах [6, 7], в которых также введены основные термины, обозначения и определения.
Теорема 1. Пусть п — случайная подстановка множества Vi, При фиксированных натуральных числах l, n, q верна следующая нижняя оценка уровня информационной безопасности режима ХЕН:
a j„.RND-fdeCPA-sector/ \ ^ 2(n + 1)2q2
^ ХЕНП (q) ^ ni ,
2i
q
sector [5].
3. Сравнение с существующими режимами работы блочных шифров
для ПДШ
Из определения режима ХЕН следует, что для его работы не требуется сохранять какие-либо данные на носителе информации. Для сравнения, режим DEC требует хранения отдельного счётчика на каждый сектор и раздел (набор последовательных секторов одного диска, объединённых логически) [3]. Таким образом, при шифровании раздела объёмом 32 Гбайт с использованием блочного шифра с размером блока 128 бит потребуется хранить 512 Мбайт дополнительных данных при размере сектора 512 байт либо 64 Мбайт при размере сектора 4096 байт. Для защиты системных носителей информации это может быть затруднительно в связи с ограниченным объёмом системного раздела EFI (100 Мбайт),
Предложенный режим ХЕН реализован на языке С с использованием встроенных в компилятор функций, соответствующих инструкции умножения без переноса (PCLMÏÏLQDQ), а также набору инструкций SSE2, и впоследствии интегрирован в модифицированную сборку ПО VeraCrvpt, Проведено сравнение производительности зашифрования и расшифрования данных одного сектора в режиме ХЕН с режимами XTS, CMC (CBC-Mask-CBC) и НЕН (Hash-ECB-Hash), Данные режимы выбраны для сравнения, так как не требуют хранения дополнительных данных, кроме номера сектора, то есть удовлетворяют принятым эксплуатационным ограничениям, С режимом DEC сравнение производительности не проводилось по причине невозможности обеспечить одинаковые условия функционирования режимов в проводимом эксперименте. Необходимость хранения счётчиков режима DEC не позволяет смоделировать принятые условия шифрования системного носителя информации. Результаты представлены в таблице, за единицу принято время работы режима XTS, Использовался блочный шифр Кузнечик из ГОСТ 34,12-2018, Эксперимент проводился на ПЭВМ с процессором Intel(R) Соге(ТМ) Î7-9750H с постоянной тактовой частотой 2,6 ГГц, ОЗУ типа DDR4 объёмом 8 Гбайт, 64-битной операционной системой maeOS 13,1,
Относительное время зашифрования и расшифрования секторов
Режим Зашифрование, 512 байт Зашифрование, 4096 байт Расшифрование, 512 байт Расшифрование, 4096 байт
XTS 1 1 1 1
ХЕН 1,087 1,046 1,092 1,069
CMC 1,351 1,409 1,533 1,431
НЕН 0,670 0,812 1,022 0,994
Результаты эксперимента показывают, что предложенный режим ХЕН уступает в производительности режиму XTS не более 10 %, что связано с увеличением количества выполняемых операций, В то же время предложенный режим не позволяет провести некоторые вычисления единожды заранее, в отличие от режима НЕН, из-за чего последний оказывается более производительным. Предложенный режим совершает n+З вызова блочного шифра против 2n+1 для режима CMC, что даёт преимущество более 35 %.
Полученные результаты могут быть востребованы при совершенствовании и разработке подсистем полнодискового шифрования в составе средств криптографической защиты информации.
ЛИТЕРАТУРА
1. Рекомендации по стандартизации Р 1323565.1.042-2022 «Информационная технология. Криптографическая защита информации. Режим работы блочных шифров, предназначенный для защиты носителей информации с блочно-ориентированной структурой». М.: Стандартинформ, 2022.
2. Bodganov D. and Nozdrunov V. Some properties of one mode of operation of block ciphers // 10th Workshop CTCrvpt 2021. Pre-proceedings. 2021. P. 12-17.
3. Богданов Д., Ноздрупов В. Шифрование носителей информации. Режим DEC // Pvc-Крипто'2021. https://www.ruscrypto.ru/resource/archive/rc2021/files/02_bogdanov _nozdrunov.pdf.
4. Isobe T. and Minematsu K. Plaintext recovery attacks against XTS beyond collisions // LNCS. 2020. V. 11959. P. 103-123.
5. Firsov G. and Koreneva A. On one block cipher mode of operation used to protect data on block-oriented storage devices // Modern Inform. Technologies and IT-Education. 2022. No. 18(3) P. 691-701.
6. Смышляев С. В. Математические методы обоснования оценок уровня информационной безопасности программных средств защиты информации, функционирующих в слабодоверенном окружении: дис. ... докт. физ.-мат. наук. \!.. 2022.
7. Ахметзянова Л. Р. Комбинаторные свойства схем обеспечения конфиденциальности и целостности информации: дис. ... канд. физ.-мат. наук. \!.. 2022.
УДК 519.719.2 DOI 10.17223/2226308Х/16/15
ПОСТРОЕНИЕ РАЗНОСТНОГО СООТНОШЕНИЯ ДЛЯ АЛГОРИТМА КБ-256
А. В. Курочкин, А. Б. Чухно, Д. А. Бобровский
Построено разностное соотношение для алгоритма шифрования КБ-256. Вероятность его выполнения для 15 из 16 раундов не меньше чем 2-134.
Ключевые слова: разностный и линейный методы криптографического анализа, КБ-256.
В данной работе построено разностное соотношение для блочного алгоритма шифрования КБ 256-3 на основе обобщённой сети Фейстеля [1].
Применение разностного метода [2] к алгоритму блочного шифрования состоит из двух этапов. На первом, подготовительном, этапе для схемы строятся разностные соотношения. На втором этапе по имеющемуся материалу проверяется гипотеза о вероятности выполнения соотношения — отличие её от равновероятной при опробовании ключа шифрования.
Пусть h : Vn ^ Vm — преобразование, a G Vn, b G Vm — фиксированные векторы. Тогда пара (a, b) называется разностным соотношением, если существуют x G Vn, такие, что верно равенство
h(x 0 a) 0 h(x) = b. Вероятность разностного соотношения равна
Pa,b = P[h(x 0 a) 0 h(x) = b] = |{x : h(x 0 a) 0 h(x) = b}|/2n
После выделения нелинейных преобразований и оценки их разностных характеристик строится последовательность согласованных соотношений, позволяющая оценить вероятность выполнения разностного соотношения [2].
