CC BY
42
ИНФОРМАТИКА И ВЫЧИСЛИТЕЛЬНАЯ
ТЕХНИКА
УДК 004.056
С. В. Запечников
ОБЕСПЕЧЕНИЕ СТОЙКОСТИ И КОРРЕКТНОСТИ ФУНКЦИОНИРОВАНИЯ КРИПТОСИСТЕМ В УСЛОВИЯХ УТРАТЫ АУТЕНТИЧНОСТИ ЧАСТИ КЛЮЧЕВОГО МАТЕРИАЛА
Введено понятие аутентичности как одного из аспектов безопасности ключевого материала криптосистем. Изложены теоретические положения, задающие систему показателей и критериев обеспечения аутентичности ключей. Приведены доказанные утверждения и теоремы о структуре ключевой системы, обеспечивающей выполнение требований аутентичности. Даны примеры анализа показателей аутентичности для некоторых типовых элементов ключевых систем. E-mail: SVZapechnikov@mephi.ru
Ключевые слова: защита информации, криптография, управление
ключами, информационные ресурсы.
Решение проблемы обеспечения стойкости средств криптографической защиты информации (СКЗИ) в условиях частичного разрушения ключевой системы (КС) требует создания соответствующего научно-методического аппарата. Математическая модель КС СКЗИ предложена в работах [1, 2]. В терминах этой модели под ключевым материалом СКЗИ понимается совокупность всех криптографических ключей участников криптосистемы и информация, сопровождающая их применение в СКЗИ. Модель оперирует понятиями: объект ключевой системы (ОКС) — минимальная совокупность взаимосвязанного ключевого материала — и компонент ОКС — минимальная логически неделимая единица ключевого материала в составе ОКС. В качестве наиболее существенного структурного свойства КС выделяется вычислимость значений одних компонентов ОКС из значений других компонентов. На основе этого свойства определяются понятия функциональной зависимости и временной функциональной зависимости между компонентами ОКС; строятся графы зависимости для ОКС, для любых элементов и подсистем КС, а также, КС в целом.
Методическая база количественных оценок безопасности ключевого материала СКЗИ предложена в работе [3]. Безопасность ключевого материала характеризуется показателями его доступности, аутентичности и секретности, построенными на основе единых предположе-
ний о противнике, и интегральным показателем безопасности. Система показателей естественным образом расширяется для ОКС и для подсистем КС. Понятия доступности и секретности в применении к ключевому материалу криптосистем по сути не отличаются от аналогичных понятий, применяемых к любой другой циркулирующей в компьютерных системах информации. Однако традиционное понятие целостности как одного из аспектов безопасности информации (наряду с доступностью и секретностью) требует расширения, когда речь идет о ключевом материале СКЗИ. В связи с этим предлагается использовать понятие аутентичности ключевого материала [3, 4].
Развернутое обсуждение показателей доступности и секретности проводится в работах [5 и 6] соответственно. В настоящей работе подробно рассмотрены показатели, характеризующие аутентичность ключевого материала.
Аутентичность ключевого материала как составляющая безопасности криптосистем. Показатели аутентичности ключевого материала. Аутентичность компонента ОКС Comj Е ОЬ],к на непрерывном временном интервале Л определяем как свойство компонента Comj, заключающееся в том, что значение компонента, считанное либо записанное в некоторый экземпляр ОКС в произвольный момент времени т в интервале Л, совпадает с его истинным значением.
Свойство аутентичности компонента ОКС подразумевает неизменность его значения в момент т по сравнению с истинным значением, которое он принял в момент создания либо последнего выполнения операции записи. Аутентичность проявляется в двух аспектах: целостности и подлинности. Вообще говоря, ни один из них не имеет смысла, если не обеспечен другой. Но в конкретных ситуациях существенное значение может иметь только один из них: так, при долговременном хранении экземпляра ОКС ставится задача обеспечения целостности, при передаче экземпляра ОКС по каналу связи важна подлинность.
Аутентичность в момент т означает возможность санкционированного совершения с компонентом ОКС в этот момент любой из операций (чтение, запись, удаление), причем при выполнении операции чтения из экземпляра ОКС будет считано значение Comj Е ОЬ совпадающее со значением, помещенным в него при выполнении последней по времени операции записи; при выполнении операции записи в экземпляр ОКС будет записано значение Comj Е ОЬ^, совпадающее с его истинным значением.
Придерживаясь предположения о том, что утрата безопасности ключевого материала всегда происходит по причинам, связанным с деятельностью противника, введем предположения о противнике. Допустим, что противнику известна структура КС, включая минимальные
множества вычислимости (ММВ) и минимальные последовательности вычислимости (МПВ) всех ее элементов [2]. Противник может нарушать аутентичность отдельных компонентов ОКС, что может быть обнаружено системными средствами СКЗИ, а может и не быть обнаружено. Противник самостоятельно выбирает стратегию нарушения аутентичности экземпляров ОКС. Пусть Ф1 — подмножество ОКС, заблокированных противником, Ф2 — подмножество ОКС, аутентичность которых нарушена противником, и нарушение аутентичности обнаружено системными средствами СКЗИ. Обозначим Ф = Ф1 и Ф2. Противник способен выполнять любые полиномиально ограниченные алгоритмы и, кроме того, имеет доступ к оракулам, реализующим применяемые в СКЗИ алгоритмы генерации кодов аутентификации сообщений и алгоритмы генерации электронной цифровой подписи (ЭЦП). Его преимущество над симметричными схемами аутентификации выражается величинами Л&идАС (1,д,ц), над схемами ЭЦП — величинами Л^и®3 (1,д,ц), где t и ц — доступные противнику временные и емкостные ресурсы соответственно, д — число запросов к оракулу, которое он может сделать. В этом смысле принятая модель противника является расширением моделей доказательной криптографии [7].
Вероятность успеха противника, т.е. вероятность того, что в произвольный момент времени т, приходящийся на интервал Л, компонент Comj Е Ф будет признан СКЗИ аутентичным, хотя на самом деле таковым не является, обозначим в (Comj,Л), считая ее постоянной на данном интервале. Если она зависит от времени, то в качестве в (Comj, Л) примем ее максимальное значение на интервале Л.
Выведем формулы для оценки значений в (Comj, Л).
Если в КС имеется п экземпляров ОКС OЬji, содержащего компонент Comj, а для получения значения Comj достаточно любого одного экземпляра ОКС, то в (Comj) = в(г) (Comj), где в^ - вероятность нарушения аутентичности ¿-го экземпляра ОКС. Если используется мажоритарный метод контроля, то
ß (Comj) = ß (Ccmty =
= 1 - £
neu
Д в(i) (Com3) Д (1 - в(j) (Com3))
ien jew\u
(1)
где Ш — множество всех экземпляров ОКС, |Ш | = п, и — множество всех подмножеств и Е Ш, таких, что |и| < п/2.
Для оценки вероятности нарушения аутентичности компонента Comj в каждом из экземпляров ОКС необходимо провести анализ методов обеспечения их аутентичности. Основным методом контроля
является введение избыточности в данные. Решение об аутентичности может быть принято либо при действительном совпадении проверочных разрядов с контрольным значением, либо при фальсификации противником информационных и проверочных разрядов блока данных, не обнаруживаемой системными средствами контроля. Учитывая тот факт, что всего насчитывается четыре типовых способа обеспечения аутентичности, можно указать следующие формулы для расчета этой вероятности.
1. Для идеальной бесключевой хэш-функции (вследствие свойства трудности обнаружения коллизий)
в(г) (С отз) = 2 |Л|/2в (к), (2)
где |к| — длина хэш-кода; в (к) — вероятность нарушения аутентичности хэш-кода.
2. Для кодов, исправляющих ошибки (КИО) (зависит от кода, но ограничена сверху),
в(г) (Сот3) < тах (2"^; 2"|Сот^|) в (^ , (3)
где — длина проверочных разрядов КИО; в — вероятность нарушения аутентичности проверочных разрядов КИО.
3. Для симметричной схемы аутентификации сообщений (зависит от применяемой криптосхемы)
в(г) (Сот3) =
= 1- (1-1пБееМаЦГ9 (*, Я,у)) (1 - в (Сотк)) (1 - 7 (Сотк)), (4)
где 1пБесМ[А~АГ9 (£, д, у) — значение функции небезопасности симметричной схемы аутентификации сообщений при атаках полиномиально ограниченного противника, способного делать д запросов к крипто-схеме, обладающего временными ресурсами £ и емкостными ресурсами у [7, с. 129]; в (Сотк); 7 (Сотк) - соответственно вероятности нарушения аутентичности и секретности ключа к симметричной схемы аутентификации сообщений.
4. Для схемы ЭЦП (зависит от применяемой криптосхемы)
в(г) (Сот3) = 1 - (^1 - 1пБеср"А9 (£, Я, у)) х
х (1 - в (Сот3к)) (1 - 7 (Сот3к)) (1 - в (Сотрк)), (5)
где 1пБес^"А[9 (£, д, у) — значение функции небезопасности схемы ЭЦП при атаках полиномиально ограниченного противника, способного делать д запросов к схеме, обладающего временными ресурсами £ и емкостными ресурсами у [7, с. 166]; в (Сотзк), в (Сотрк) — соответственно вероятности нарушения аутентичности секретного вк и
открытого pk ключей схемы ЭЦП; y (Comsk) — вероятность нарушения секретности ключа sk схемы ЭЦП.
Формулы (2)-(5) демонстрируют взаимосвязь между криптографическими и некриптографическими механизмами обеспечения аутентичности данных. Так, из соотношений (2) и (3) следует, что только бесключевые механизмы могут рассматриваться в качестве первичных, обеспечивающих заданные показатели аутентичности: если дополнительных мер для обеспечения аутентичности хэш-кодов и проверочных разрядов КИО не принимается, то эти формулы принимают вид в(i) (Comj) = 2-|h|/2 и в (Com.j) < max (2-|d|; 2-|Comj|) соответственно. Ключевые механизмы вторичные, так как для них имеют место лишь рекуррентные соотношения (4) и (5), а достигаемые с их помощью показатели аутентичности зависят не только от показателей аутентичности ключевого материала криптосхемы, но и от показателей его секретности.
Если ни один из экземпляров Obji не аутентичен, то аутентичное значение Comj может быть восстановлено из любого ММВ ш (Comj) при условии, что все элементы этого множества аутентичны. Таким образом,
в (ш (Comj)) = 1 - П (1 - в (Comí)), (6)
Comi&u(Comj)
где в (Comí) отыскиваются по формуле (1).
Если ни один из экземпляров Obji не аутентичен и не существует ш (Comj), из которого могло бы быть восстановлено аутентичное значение Comj, его можно восстановить из любой МПВ в (Comj) при условии, что все элементы этой последовательности аутентичны. Таким образом,
в (в (Comj)) = 1 - П (1 - в (Comm)), (7)
Comrn£0(Comj)
где Кд (Comm) отыскиваются по формуле (1).
Пусть П [Comj ,АТ] С П [Comj] - подмножество множества всех ММВ компонента Comj, состоящее из таких ММВ, для которых жизненный цикл (ЖЦ) всех элементов ММВ включает интервал АТ. Минимальные множества вычислимости ш (Comj, АТ) £ П [Comj, АТ] будем называть ММВ, действующим на интервале АТ.
Пусть Л = (Ai,А2,...,Ат) — непрерывная последовательность временных интервалов. Пусть © [Comj, Л] С ©[Comj ] - подмножество множества всех МПВ компонента Comj, состоящее из таких МПВ, все элементы которых присутствуют в КС в течение хотя бы одного временного интервала АТ £ Л. Любую МПВ в (Comj) £ £ © [Comj, Л] будем называть МПВ, действующей на последовательности интервалов Л.
Лемма. Вероятность того, что компонент ОКС Сотз Е Obji неаутентичен в произвольный момент времени т временного интервала А, составляет
в (Сотз, АТ) = в (Сотз) х
х Д в (и (Сот3)) Д в (0 (Сот3)), (8)
ш(Сот^ )€П[Сот^- ,ХТ ] в (Сот^ )€©[Сот^- ,ХТ ]
где в (Сот3) определяется уравнением (1), в (и (Сотз)) — уравнением (6); в (0 (Сотз)) — уравнением (7).
Следствие. Пусть на непрерывной последовательности интервалов Л = (А1, А2,..., Ат) задано множество моментов времени (т1,т2,... ,Тт), таких, что Т1 Е А1, Т2 Е А2,... ,тт Е Ат. Тогда вероятность того, что Сотз Е Obji неаутентичен хотя бы в один из этих моментов времени, равна
т
в (Сотз, Л) = 1 - Д (1 - в (Сотз, А*)). (9)
в=1
Критерии аутентичности ключевого материала. В терминах введенных выше определений, используя лемму и ее следствие, доказывается справедливость следующих двух теорем (приводятся здесь без доказательства).
Теорема 1. (Критерий аутентичности ключевого материала на одном временном интервале.) Пусть Ф — подмножество компонентов ОКС Obji, аутентичность которых нарушена противником в некоторый момент времени т, приходящийся на временной интервал АТ. Если для компонента Сотз Е Obji существует хотя бы одно действующее ММВ или хотя бы одна действующая МПВ, ни один компонент которых не принадлежит множеству Ф, то из них можно получить истинное значение Сот3 Е Obji с вероятностью Р = 1 - Р*, где
Р* = Р(Сот** = Сотз Ф : (Сотз А) Е Ф^
V \ Зш(Сош3(Xr)) : УСош- / <£j V V (ЩСошз(Хт)) : ЧСош- / Ф)) < в(СоШз, Лт). (10)
Теорема 2. (Критерий аутентичности ключевого материала на непрерывной последовательности временных интервалов.) Пусть {Ф1, Ф2,..., Фт} — подмножества компонентов ОКС Obji, аутентичность которых нарушена противником в некоторые моменты времени, приходящиеся на временные интервалы, образующие непрерывную последовательность Л = (Аг, Аг+1,..., АТ,..., Аг+т). Если для компонента Сот3 Е Obji существует хотя бы одно ММВ или хотя бы одна
МПВ, действующие на Л, ни один компонент которых не принадлежит множеству Ф, то из них можно получить истинное значение Comj е Obji с вероятностью P = 1 — Pгде
P;=P (Com"; (Ат) =Comj (Ат) |{ФЬ Ф2,..., Фт} : (Comj (Ат) / Ф) V
V (Vk = I~m (Зш (Comj (Ак)) : VCom-0 / Фк)) V
V (Vk = I7m (Comj (Ак)) : VCom- / Фк))) <
< 1 — Д (1 — в (Comj, Ат)). (11)
m
Критерии аутентичности носят вероятностный характер. Вероятность выполнения условий, сформулированных в теоремах 1 и 2, не превышает коэффициента доступности компонента Comj, но если необходимые условия выполнены, то вероятность обеспечения аутентичности определяется по формулам (10) и (11).
Структура КС, обеспечивающая аутентичность ключевого материала. Аутентичность ОКС Obji на непрерывном временном интервале А определим как свойство ОКС, состоящее в том, что VComj е Obji, для которого требуется обеспечение аутентичности, аутентичен в любой момент времени т, приходящийся на интервал А.
Согласно модели [2] все компоненты ОКС, требующие обеспечения аутентичности, сосредоточены в его полях B, C, D, E. Обозначим в (Obji,, А) — вероятность того, что хотя бы один компонент Comj, содержащийся в полях B,C,D,E объекта Obji неаутентичен в фиксированный момент времени т, приходящийся на временной интервал А. Если определены в (Comj, А) для VComj е B U C U D U E, то
в (Obji, А) = 1 — Д (1 — в (Comj, А)). (12)
Comj GBUCUDUE
Вероятность того, что хотя бы один компонент Comj, содержащийся в полях B,C,D,E объекта Obji, неаутентичен по крайней мере в один из фиксированных моментов времени (т1,т2,... ,тт), приходящихся на непрерывную последовательность временных интервалов Л = (А1, А2,..., Ат), таких, что т1 е А1, т2 е А2,... ,тт е Ат, равна
в (Obji, Л) = 1 — Д (1 — в (Comj, Л)). (13)
Comj eObjz.BUCUDUE
Вследствие малости абсолютных величин в для качественных механизмов обеспечения аутентичности экспериментальное определение в затруднено, поэтому при расчетах по формулам (1)-(9), (12)-(13) следует пользоваться аналитическими выражениями.
Проведем теперь анализ показателей аутентичности более крупных элементов КС. Прежде всего укажем очевидное условие аутентичности ОКС.
Утверждение. Если в орграфе ОоЪ]гсуществует путь, начинающийся из компонента Сот31, принадлежащего полю Г, и заканчивающийся в компоненте Сот32, принадлежащем полю В либо С, то аутентичность компонента Сот32 не может быть нарушена противником, пока для У и (Сотз2): Сот31 Е и (Сот32) противником не нарушена аутентичность всех элементов этого ММВ.
Следствие. Чем меньше для некоторого Obji или Сотз Е Obji мощность подмножества таких ММВ (МПВ), в которых противник может получить несанкционированный доступ хотя бы к одному элементу, тем ниже вероятность нарушения аутентичности Obji или Сотз соответственно.
События, заключающиеся в нарушении аутентичности каждого отдельно взятого компонента или ОКС, как правило, можно считать независимыми. Поэтому в (КБ, А) = 1 - П (1 - в ^^^А)) и
ОЪн&Кв
в (КБ, Л) = 1 - П (1 - в (Obji, Л)), где в (Objl, А) определяется
ОЪн&Кв
последовательно по уравнениям (12) и (8), в (Obji, Л) — по уравнениям (13) и (9).
Оценка показателей аутентичности некоторых схем управления ключевым материалом. В работе [8] введено понятие схемы управления ключевым материалом (СУКМ). Под СУКМ понимается совокупность однородных в функциональном отношении криптографических протоколов и функций, предназначенных для организованного управления ОКС (компонентом ОКС) на протяжении его ЖЦ. Формально СУКМ — это совокупность четырех алгоритмов (протоколов), выполнимых за полиномиальное время:
КММБ =
= {Рат_Овп, КМ_Оеп_В1з1г, КМ _Яедеп_ЯеЖ$гг, КМ_Бе1}.
В нее входят следующие алгоритмы и (или) протоколы.
1. Алгоритм генерации начальных параметров схемы Par_Gen — детерминированный или вероятностный алгоритм, исходными данными для которого служат политика управления ключами и (или) политика безопасности КС. Алгоритм возвращает выбранные им значения параметров криптосистемы, необходимые для применения СУКМ.
2. Алгоритм (протокол) генерации и распределения ключевого материала KM_Gen_Distr — вероятностный алгоритм, на вход которого подаются выработанные алгоритмом Par_Gen параметры криптосистемы. Он возвращает выбранные в соответствии с этими параметрами значения множества компонентов ОКС, задействованных в СУКМ.
3. Алгоритм (протокол) регенерации и перераспределения ключевого материала KM_Regen_Redistr — детерминированный либо веро-
ятностный алгоритм, на вход которого подаются параметры криптосистемы, выработанные алгоритмом ParGen, значения компонентов ОКС, выработанные при вызове алгоритма KMGenDistr либо при предыдущих вызовах алгоритма KM_Regen_Redistr. Алгоритм возвращает выбранные им новые значения множества компонентов ОКС, задействованных в СУКМ.
4. Алгоритм уничтожения ключевого материала KMDel — детерминированный алгоритм, на вход которого подаются параметры, выработанные алгоритмом Par_Gen. Алгоритм присваивает всем компонентам ОКС, задействованным в СУКМ, пустые значения.
Пусть Л = {А1, А2,..., Ат} — последовательность временных интервалов, составляющих ЖЦ СКЗИ, на каждом из которых ключевой материал неизменен. Алгоритм Par_Gen выполняется однажды перед началом работы СУКМ, KMGenDistr выполняется перед началом интервала А1, KM_Regen_Redistr выполняется каждый раз перед началом интервалов А2,..., Ат, KM Del выполняется после окончания интервала Ат.
С помощью понятия СУКМ удобно формализуются широко распространенные на практике приемы повышения стойкости криптосистем к разрушению ключевого материала. На основе обобщения многочисленных примеров криптосхем, взятых из зарубежной литературы, выделяется несколько СУКМ, в частности: простое резервирование ключевого материала; пороговая схема разделения секрета (СРС); СРС с произвольной структурой доступа; СРС, функционирующая в модели "активной безопасности"; схема дистанционного управления ключами; схема эволюции ключей, обеспечивающая совершенную опережающую безопасность (perfect forward security); схема эволюции ключей с изоляцией ключа (key-insulated cryptosystem); схема эволюции ключей с базой, устойчивая к вторжению (intrusion-resilient cryptosystem).
Показатели аутентичности являются объективно фиксируемыми величинами. Анализ показателей аутентичности элементов КС имеет целью получение для СУКМ выражений, позволяющих рассчитать в (SKSСУКМ, Ат) или в (SKSСУКМ, Л), и сопоставление их с величинами, характеризующими аутентичность ключевого материала без применения СУКМ. Изменение показателей аутентичности элементов КС при применении СУКМ характеризуется коэффициентом, выражающим отношение вероятностей того, что один и тот же ключевой материал утратит аутентичность за одинаковое время в условиях при-
СУКМ в (SKS™, Ат)
менения к нему СУКМ и без таковой: A = —4 —'- или
в (SKS, Ат)
асукм = в (SKSСУКМ Л) в (SKS, Л) '
Анализ проводился при следующих исходных предположениях:
• границами интервалов являются моменты смены (перезаписи) значений компонентов ОКС;
• утрата аутентичности ключевого материала происходит в некоторый момент времени, приходящийся на рассматриваемый интервал, вследствие деятельности противника, при этом фаза ЖЦ компонента ОКС, в которой происходит это событие, и способ совершения атаки не принимаются во внимание;
• показатели аутентичности всех задействованных в СУКМ компонентов ОКС определяются по формулам (1)-(5) в зависимости от используемых методов контроля целостности и подлинности;
• для СУКМ с изменяющимся ключевым материалом нарушения аутентичности компонентов ОКС, не обнаруженные на одном временном интервале, приводят к нарушению аутентичности компонентов ОКС на всех последующих интервалах, поэтому показатели аутентичности считается зависящими от показателей на предыдущих интервалах.
Приведем примеры полученных результатов.
Пример 1. Резервирование ключевого материала. Особенность данной СУКМ состоит в том, что анализ ее показателей аутентичности в сильной степени зависит от принятого способа доступа к компонентам ОКС и контроля их достоверности.
1. Если значение Сот3 считывается каждый раз из некоторого
одного, ¿-го экземпляра ОКС, то в {СотБаскир, ^ = в {Сот^, ^,
где в^Сот^,^ — его показатель аутентичности. Чаще всего на практике все экземпляры ОКС характеризуются равными показателями аутентичности. Если при этом каждый из них подвержен атакам противника, приводящим к нарушению аутентичности, с равными и постоянными интенсивностями у, то, считая, что суммарная их интенсивность до и после применения СУКМ не изменяется, получаем
дБаскир = - (1 -
2. Если значение Сот3 считывается всякий раз из одного, но случайно выбранного экземпляра ОКС, то в (СотБаскир, а) =
,(г)
з - вычисляется так же.
= тах в (Сот^, а) , а АБаскир
г=1,п ^ '
3. Если при чтении значения Сотз используется мажоритарный контроль, то
ß (ComBackup, Л) = = 1 - £
ueu
П ß (Сош^Л^ П (i - в (Сошm
l&u meW\u
где Ш — множество всех экземпляров ОКС; |Ш| = п; и — множество всех подмножеств и Е Ш, таких, что |и| < п/2. При равных вероятностях нарушения аутентичности всех экземпляров имеем
(\ \п/2\ / / \\ 1 / / \ \ п_1
СотВаскир, А] = 1- Е С [в (Саш^, \)) (1 - в (Сот, где г = 1, п.
Когда все экземпляры ОКС, кроме того, характеризуются равными и постоянными интенсивностями ц атак противника, приводящих к нарушению аутентичности, имеем
/ \п/2\ \ /
дБаскир = | 1 - ^ С1п (1 _ е-^Х1)1 е(п-1)1А1 \ (1 - е-^П1Х1).
n
l=0
Пример 2. Пороговые СРС. В (т, п)-пороговой СРС значение компонента Comj восстанавливается при условии доступа к любому подмножеству из т долей секрета. Обозначим через Вт т-элементные подмножества долей секрета {Сот]л,..., Сот^ }. В каждом случае восстановление значения Comj может осуществляться из различных т-элементных подмножеств долей секрета в соответствии с используемым алгоритмом доступа к Comj. За показатель аутентичности следует принять наибольшую величину, т.е.
в (Сот?88, А) = швх 1 - П (1 - в (Сот1з, А)И .
Бт А
К 3&Бт )
Если показатели аутентичности для всех долей секрета СРС одинаковы, то в (Сот^88, А) = 1 - (1 - в (Сот1, А))т. При тех же предположениях относительно интенсивностей атак противника, что и для предыдущей СУКМ, АТ88 = (1 - е-^т1А )/(1 - е-^п|А|).
Пример 3. СРС с произвольной структурой доступа. В этой СУКМ восстановление значения компонента Comj осуществляется при условии доступа к любому из минимальных авторизованных подмножеств В* долей секрета, каждое из которых совпадает с одним из ММВ компонента Comj. Нарушение аутентичности минимального авторизованного подмножества происходит, если нарушена аутентичность хотя бы одного его элемента. Итак, за показатель аутентичности следует принять
ß (ComfSS, А) = max
(l - П (! - в (Comh,А))
I зев*
При тех же предположениях, что и ранее, имеем
Agss = max {1 - e^|B*||A|}/(1 - e-^.
Пример 4. СРС, функционирующие в модели "активной безопасности" [9]. На каждом отдельно взятом временном интервале Лв данная СУКМ характеризуется теми же показателями аутентичности, что и СРС с произвольной структурой доступа:
ß (CojPS A) =maxh -
П (! - в (Comh А))} ,
jeß* )
jeB*
где Б* — минимальные авторизованные подмножества долей секрета. Значения в (Comí, As) не зависят от показателей аутентичности долей секрета на предыдущих временных интервалах, так как перед началом каждого нового интервала происходит регенерация долей секрета. На последовательности интервалов Л = (Ai, A2,..., Am} в соответствии с (9) показатель аутентичности принимает вид
m
в (ComSSPS, Л) = 1 - Д (1 - в (ComSSPS, As)) =
s=1
= 1 - П ^ - m^j1 - П (1 - в (Comíj A))}) .
Пример 5. Схема эволюции ключей, обеспечивающая совершенную опережающую безопасность. Очевидно, что применение к компоненту ОКС Comj этой СУКМ не изменяет его показателей аутентичности на каждом отдельно взятом временном интервале. Учитывая, что СУКМ функционирует на последовательности интервалов Л = (A1, A2,..., Am}, заметим, что показатель аутентичности Comj на каждом очередном интервале определяется всей совокупностью показателей на предыдущих интервалах. Отсюда получаем
m
в (CompFS, Л) = 1 - П (1 - в (Comj, As |Ai,..., As-i)) =
s=1
= 1 -П (1 -П в (Comj, Au)
s=1 V u=1
Задачи, возникающие в связи с обеспечением аутентичности ключевого материала. Задача обеспечения аутентичности определяется особенностями этого понятия применительно к ключевому материалу криптосистем — в широком смысле она включает в себя контроль информационных ресурсов СКЗИ, т.е. контроль элементов информационного наполнения КС и взаимосвязей между ними, и контроль функциональных ресурсов СКЗИ, т.е. в контексте решаемой задачи контроль целостности программного обеспечения. Контроль информационных ресурсов подразумевает обеспечение неизменности
значений ключевого материала на всех этапах его жизненного цикла (целостность), привязку к субъектам-владельцам и информации, определяющей порядок его применения в криптосистеме (подлинность), а также невозможность отказа от факта обладания ключом и совершения посредством него криптографических операций (неотказуемость).
Введенный в работе [1] подход к описанию структуры КС на основе выделения функциональных зависимостей между ОКС и их компонентами позволяет дать удобную классификацию задач, решение которых необходимо для обеспечения аутентичности информационных ресурсов СКЗИ.
Пусть С0^г = (У0^г ,Е0^г) — граф зависимости между компонентами ОКС ОЬ]г. Если в графе 00щг существуют такие множества вершин У1,У2,... ,Ут, где У = {Сотк1,..., Соткз}, 8 = 1,т, что для Ур Е {1,...,т} существует г = р, такое, что Ар = ш (Аг), Аг = ш (Ар) и Эр, такое, что Ар = р (Аг), Аг = р-1 (Ар), где р
— биективное отображение, то будем называть подмножество вершин А=А 1 иА2и.. .иАт областью эквивалентности ключевого материала ОКС ОЬ]г. Область эквивалентности — это такое подмножество компонентов ОКС, которое представляет изоморфные компоненты ОКС, причем переход из одной формы их представления в другую всегда возможен с помощью некоторой последовательности биективных отображений.
Пример 6. Для компонента Comj, к которому применена (¿,п)-пороговая СРС и используется шифрование для защиты пересылаемых по каналам связи долей секрета, область эквивалентности есть множество У = {Сот3}иВ*и.. .иВ^ иБ*и.. .и^*сгп = {Сот3}и{Сот51 }и...
... и {Сот3п} и {Соте1} и ... и {Сотвп}, где В*, г = 1, СП — минимальные авторизованные подмножества долей секрета, Б*, г = 1, СП
— подмножества шифротекстов долей секрета, составляющих минимальные авторизованные подмножества В*, а значения каждой пары компонентов связаны соотношениями Сотед = Ек (Сот3д), д = 1,п, где Е — некоторое преобразование зашифрования, к — ключ шифрования.
Используя введенное понятие, можно выделить три самостоятельных задачи контроля информационных ресурсов СКЗИ.
1. Обеспечение целостности компонентов ОКС — это обеспечение достоверности компонентов ОКС, входящих в каждую из областей эквивалентности ключевого материала ОКС, т.е. обеспечение биективно сти всех преобразований компонентов ОКС в пределах области эквивалентности и в том числе тождественного преобразования, в условиях отсутствия абсолютно надежных средств преобразования и хранения данных.
2. Обеспечение подлинности ОКС — это фиксация существования функциональных зависимостей первого либо второго рода между компонентами ОКС, что соответствует регистрации факта существования дуг в графе, описывающем ОКС.
3. Обеспечение невозможности отказа от ключевого материала и совершенных с помощью него операций — это фиксация факта существования на определенном временном интервале (или в определенный момент времени) какого-либо компонента ОКС, что соответствует регистрации факта существования вершин в графе, описывающем ОКС.
Решение всех трех задач основано на введении информационной и структурной избыточности в СКЗИ путем создания и сохранения избыточных компонентов ОКС, функционально зависимых от контролируемых компонентов ОКС.
Задача обеспечения целостности ключевого материала есть задача контроля биективности тождественного преобразования данных, интерпретируемых как информационные разряды кодового слова. Для реализации процедур контроля необходимо добавление проверочных разрядов: они могут рассматриваться как дополнительные компоненты ОКС, функционально зависимые от контролируемых компонентов. При транспортировке и хранении ключей на ключевых носителях СКЗИ она решается традиционными средствами — при помощи КИО и криптографических хэш-функций.
Задача обеспечения подлинности ключевого материала в отличие от предыдущей может быть сформулирована только применительно к совокупности компонентов ОКС, находящихся в отношении функциональной зависимости (как предельный случай — применительно к ОКС в целом). Средствами обеспечения подлинности являются симметричные схемы аутентификации сообщений и схемы ЭЦП.
Задача обеспечения невозможности отказа от ключевого материала и совершенных посредством него криптографических операций решается посредством применения схем ЭЦП для подписания сообщения, содержащего удостоверяемый ключевой материал и метку времени, фиксирующую момент его существования. Невозможность отказа может быть обеспечена только асимметричными криптосхемами, т.е. в данном случае — схемами ЭЦП, так как секретные ключи подписи всегда имеют единственного владельца. Следовательно, при возникновении спора о факте создания какого-либо документа, заверенного цифровой подписью, его автор устанавливается однозначно.
Среди перечисленных задач новой является задача обеспечения целостности данных при нетождественных биективных преобразованиях ключевого материала. Автором разработан метод решения этой задачи и реализующие его алгоритмы контроля целостности ключевого
материала при его преобразованиях в СКЗИ, использующих пороговые СРС и пространственное распределение ключевого материала по принципу систем с дробной кратностью резервирования [10].
Заключение. В работе обобщены результаты исследования, направленного на разработку теоретических основ создания СКЗИ, корректно функционирующих и сохраняющих криптографическую стойкость при разрушении части ключевого материала, и на поиск путей их реализации. Так, на основе разработанного автором подхода к модельному представлению КС предложена и обоснована система показателей аутентичности единиц ключевого материала, сформулированы и доказаны критерии его аутентичности. Выяснены требования к структуре КС, обеспечивающие гарантии аутентичности ключевого материала по введенной системе показателей. Поисковая часть исследования позволила выявить и формализовать типовые элементы конструкции КС, названные схемами управления ключевым материалом. Для некоторых из них даны аналитические оценки величин, показывающих их способность влиять на безопасность ключевого материала СКЗИ в части показателей аутентичности. Систематизированы технические задачи, возникающие в связи с необходимостью обеспечить аутентичность ключевого материала, и намечены пути их решения.
СПИСОК ЛИТЕРАТУРЫ
1. Запечников С. В. Модель ключевой системы многопользовательских средств защиты информации // Управление защитой информации: Материалы X Междунар. науч.-практ. конф.: сб. науч. тр. - Минск, "Амалфея", 2006. -С. 199-201.
2. З а п е ч н и к о в С. В. Модельное представление ключевых систем средств криптографической защиты информации // Безопасность информационных технологий. - 2008. - № 4. - С. 84-92.
3. Запечников С. В. Принципы обеспечения стойкости криптосистем к компрометации ключей // Безопасность информационных технологий. - 2008. -№ 1. - С. 80-87.
4. З а п е ч н и к о в С. В. Методы и алгоритмы, обеспечивающие аутентичность ключевого материала криптосистем в условиях воздействия дестабилизирующих факторов // Материалы X Междунар. науч.-практич. конф. Информационная безопасность. Ч. 2. - Таганрог: Изд-во ТТИ ЮФУ, 2008. - С. 146-149.
5. Запечников С. В. Обеспечение высокой доступности ключевого материала криптосистем в условиях воздействия дестабилизирующих факторов // Актуальные проблемы безопасности информационных технологий: Материалы II Междунар. науч.-практич. конф. (Сиб. гос. аэрокосмич. ун-т, 9-12 сент. 2008 г.) - Красноярск, 2008. - С. 17-21.
6. Запечников С. В. Обеспечение криптографической стойкости при компрометации части ключей // Безопасность информационных технологий. - 2008. - № 4. - С. 93-102.
7. Goldwasser S., Bellare M. Lecture notes on cryptography [электронный ресурс]. - University of California at San Diego, 1997 - 2000. - Режим доступа: http://www-cse.ucsd.edu/users/mihir.
8. Запечников С. В. Повышение стойкости средств криптографической защиты информации на основе применения схем управления ключевым материалом // Материалы XII Международной конференции "Комплексная защита информации", Ярославль, 2008 г. - М.: РФК-Имидж Лаб, 2008. - С. 85-87.
9. Запечников С. В. Модель "активной безопасности" и возможности ее реализации в системах криптографической защиты информации // Безопасность информационных технологий. - 1998. - № 4. - С. 52-54.
10. Запечников С. В. Контроль целостности информационных ресурсов при распределенном хранении данных // Безопасность информационных технологий. - 2008. - № 2. - С. 86-91.
Статья поступила в редакцию 20.11.2008
Сергей Владимирович Запечников родился в 1974 г., окончил в 1997 г. Московский государственный инженерно-физический институт (технический университет). Канд. техн. наук, доцент кафедры "Информационная безопасность банковских систем" национального исследовательского ядерного университета "МИФИ". Автор 88 научных работ в области информационной безопасности и защиты информации.
S.V. Zapechnikov (b. 1974) graduated from the Moscow Engineering and Physics Institute (technical university) in 1997. Ph. D. (Eng.), assoc. professor of "Data Security of Banking Systems" department of the National Research Nuclear University "MIFI". Author of 88 publications in the field of data security and data protection.
УДК 004.78:025.4.036
В. М. Вишневский, Р. В. Железов АВТОМАТИЗИРОВАННАЯ
ИНФОРМАЦИОННО-СПРАВОЧНАЯ СИСТЕМА ПОИСКА ОПТИМАЛЬНЫХ ПУТЕЙ ПРОЕЗДА НА ПАССАЖИРСКОМ ТРАНСПОРТЕ
Рассмотрены принципы построения и реализации информационно-справочной системы поиска оптимальных путей проезда на пассажирском транспорте. Описан оригинальный алгоритм поиска кратчайших путей с учетом расписаний пассажирского транспорта. Приведена архитектура программно-аппаратной реализации системы и интернет-сайта для доступа к справочной информации. E-mail: vishn@iitp.ru
Ключевые слова: информационная система, расписание, пассажирский
транспорт, оптимизация, Интернет.
Предоставление справочной информации об оптимальных путях проезда на пассажирском транспорте является необходимым условием для качественного обслуживания пассажиров. Полнота предоставленной информации не только помогает пассажиру, но и повышает эффективность пассажирских перевозок, уменьшает нагрузку на транспортные сети вследствие оптимизации пассажиропотока.
Первые электронные справочные системы расписаний транспорта появились в 80-х годах прошлого века. На постсоветском пространстве
