CC BY
49
ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА
2008 Математические методы криптографии № 2(2)
УДК 62-50:519.7
ОБРАТИМЫЕ ДИНАМИЧЕСКИЕ СИСТЕМЫ С ПЕРЕМЕННОЙ РАЗМЕРНОСТЬЮ ФАЗОВОГО ПРОСТРАНСТВА В ЗАДАЧАХ КРИПТОГРАФИЧЕСКОГО ПРЕОБРАЗОВАНИЯ ИНФОРМАЦИИ
А.М. Ковалев, В.А. Козловский, В.Ф. Щербак
Институт прикладной математики и механики НАН Украины, г. Донецк E-mail: {kovalev, kozlovskii, shvf}@iamm.ac.donetsk.ua
Рассматривается способ преобразования информации, основанный на применении теории обратимых систем управления. Предложен метод изменения размерности пространства состояний, усложняющий поведение системы без изменения структуры уравнений. Тем самым вводятся структурные ключи, которые также могут быть секретными.
Ключевые слова: обратные системы управления, защита информации, автомат, инвариантное множество.
В последнее время различные аспекты теории нелинейных динамических систем со сложным (хаотическим) поведением траекторий находят применение в области обработки и защиты информации. В данной работе реализован подход, связанный с использованием методов теории обратимых систем управления в коммуникационных технологиях [1, 2]. В работе рассматривается метод преобразования и передачи информации, использующий дуальное нелинейное преобразование информации по следующей схеме: оцифрованное сообщение подается как внешнее воздействие на вход динамической системы, информация о ее траекториях, неявно зависящая от входа, в виде сигнала направляется в коммуникационные сети. В случае наличия у передающей системы свойства обратимости может быть синтезирована обратная система, играющая роль дешифратора (приемник). В работе показано, что при использовании обратных систем может возникнуть эффект, названный динамической деградацией. Он связан с возможностью попадания траекторий на инвариантные множества в фазовом пространстве, лежащие на многообразиях меньшей размерности. В общем случае это оказывает негативное влияние на сложность поведения и, таким образом, уменьшает стойкость соответствующих алгоритмов шифрования к определенным видам атак. Поэтому представляет интерес задача нахождения способов компенсации таких вырождений динамики. Для дискретных систем в рамках этой схемы предложен метод управления размерностью пространства состояний и/или входов.
1. Обратимые динамические системы
Предположим, что передатчик является дискретной динамической системой, правые части которой зависят от вектора функции u(.) - оцифрованного информационного сообщения:
x(t+1) = f (x(t), u(t)), x(0) = x0; (1)
y(t) = h(x(t), u(t)), (2)
где x(t) e Rn, u(t) e Rm, y(t) e R^ определяют векторы состояния системы, ее вход и выход соответственно. По
каналам связи передается выходной сигнал - функция y(t), зависящая от состояния системы, ее параметров и
сообщения u(t). Для построения уравнений, описывающих динамику приемного устройства, рассмотрим задачу восстановления значений входного воздействия по значениям функции выхода. В теории управления непрерывными динамическими системами одним из способов ее решения является построение системы, обратной к исходной [2, 3]. В отличие от известных схем преобразования информации (гаммирования, маскирования сигнала), входная информационная последовательность u(t) подается на вход динамической системы, и выход y(t) при этом может и не зависеть явно от u(t). При этом система (1), (2) порождает однозначное отображение вход - выход
{x(0X u(0) u(1X ...} ^ [y^X y(1) ■••} (3)
по формулам
у(0) = h(x(0), u(0)) =h0(x(0), u(0)), y(\) = h(x(1), u(1)) = h(fx(0), u(0)), u(1)) = hi(x(0), u(0), u(1)), y(2) = h(x(2), u(2)) = h(fx(1), u(1)), u(2)) = h2(x(0), u(0), u(1)),
y(t) = h(x(t), u(t)) = ... = h,(x(0), u(0), ., u(t)), (4)
при котором неизвестному начальному состоянию и значениям последовательности {u(0), u(1), ...} соответствует известная выходная последовательность {y(0), у(1), ...}. Многие теоретические и практические задачи теории управления, связанные с определением состояния и параметров системы (1), построением обратных связей, сводятся к обращению этого отображения. Один из способов такого обращения может быть реализован с помощью обратной системы, т.е. системы вход - выход, у которой входом служит информация об y(.) на некотором интервале, а выходом является функция u(.).
Введем понятие относительного порядка входа для системы (1), (2). Так как значение функции h(x(t), u(t)) может не зависеть явно от значений u(t), то аналогично и правая часть выражения y(t+1) = h(fx(t), u(t)) может не содержать всех компонент вектора u(t). Определим, на сколько шагов происходит задержка между информацией на входе и выходе системы (1), (2). Это величина и указывает на относительный порядок входа. Пусть Yt = (y(0), у(1), ..., y(t)), Ht = (h0(.), hi(.), ..., ht(.)), x = x(0), u = u(0), остальные компоненты векторов входной последовательности, содержащиеся в правых частях (4), обозначим vt = (u(1), u(2), ..., u(t)). В этих обозначениях передаточное отображение (3) может быть переписано в виде
Yt = Ht (x, u, v,). (5)
Будем говорить, что система (1), (2) имеет относительный порядок а > 0 в некоторой области, если для всех x, u, vt из этой области
, 3H, (x, u, v) . „ , , , dHa (x, u, v„)
rank------------ < m, i = 0, 1, ..., а-1; rank-= m.
du du
Таким образом, относительный порядок а для дискретной системы указывает на номер элемента выходной последовательности, на которое явно влияют все компоненты первого элемента входной последовательности - вектора u(0). В общем случае решение уравнений Ya = Ha(x, u, va) относительно u имеет вид u = H0-1 (Ya, x, va) = G(Ya, x, va), что не позволяет определить u без знания значений va. Достаточным условием того, что решение алгебраической системы (5) не зависит от va , является равенство [2]
dHi (x, u, va) dHi (x, u, va)
rank—i------------— = m + rank—i--------—.
5(u,va) dva
Подставляя выражение u = G(Ya, x) в уравнения (1), получаем динамическую систему
x(t+1) = f (x(t), G(Ya(t), x(t))), x(0) = xo, (6)
выход которой совпадает со входом исходной системы (1)
u(t) = G(Ya(t), x(t)). (7)
Система (6), (7) является обратной динамической системой управления. Так как, по построению, Ya(t) = (y(t), y(t+1), ..., y(t+a)), то в обратной системе в качестве входа должен присутствовать фрагмент будущих значений выхода (2). При одинаковых начальных состояниях траектории исходной и обратной систем совпадают. Поэтому можно считать, что обратная система является альтернативной формой описания одного и того же отображения вход - выход (4).
Для систем со скалярным входом и выходом (m = p = 1) условия однозначного обращения отображения (4) заметно упрощаются. Равенства (5) в этом случае не содержат переменных va. При этом относительный
порядок означает номер элемента выходной последовательности, на который явно влияет первый элемент
входной последовательности.
Пример. Рассмотрим передатчик (шифратор) - нелинейную систему вход - выход, на вход которой подается сообщение u(t)
x1(t+1) = x2(t)x3(t) mod N, x2(t+1) = x1(t)x3(t) + u(t) mod N, x3(t+1) = x1(t)x2(t) mod N,
J(t) = x2(t). (8)
Сигнал jy(t) направляется в коммуникационную сеть. Ключом для расшифрования являются неизвестные
начальные условия системы x1(0) и x3(0). Приемник (дешифратор) - обратная система, с помощью которой
при известном ключе проводится восстановление состояния передающей системы
X1(t+1) = X2(t)X3(t) mod N, X1(0) = x1(0),
X2(t+1) = y(t+1), (9)
X3(t+1) = X2(t)X1(t) mod N, Хз(0) = x3(0).
Искомое входное воздействие определяется по формуле
u(t) = y(t+1) - X1(t)X3(t) mod N.
(10)
2. Эффект динамической деградации
Система (8) в отсутствие входного воздействия является нелинейной, и ее траектории при больших N обладают достаточно сложным поведением. Исключением являются траектории, лежащие на инвариантных множествах: x;(.) = 0 либо x;(.) = x, (.), i, j = 1, 2, 3. В первом случае состояние системы уже через шаг переходит в положение равновесия - начало координат. В общем случае, траектории, попав на инвариантные множества, остаются на нем во все последующие моменты, что приводит к падению размерности фазового пространства состояний системы. При введении в правую часть последовательности u(t) система (8) становится неавтономной, и естественно предполагать, что это лишь усложнит динамику выхода и тем самым повысит сложность задачи восстановления входа. Вместе с тем анализ результатов моделирования процесса передачи информации с помощью описанной схемы показывает, что, начиная с некоторого момента t, выход системы в точности совпадает с ее входом в момент t-1. Из этого следует предположение, что собственная динамика системы (8) перестает влиять на передаваемый сигнал.
Действительно, неавтономная система (8) также обладает инвариантными множествами x1(.) = 0, x3(.) = 0 и x1(.) = x3(.). При этом из полученных формул следует следующее рекуррентное выражение для определения u(t):
t
u(t) = j(t + 1) - C П y(J),
j=o
где C равно x1(0) для четных и x3(0) для нечетных значений t. Из последнего равенства, в частности, следует, что если для некоторого целого M значение выхода x1(M) x3(M) + u(M) = 0 mod N, то для любого i > M имеем y(i) = u(i—1). Таким образом, вместо шифрования информационной последовательности u(i) выход рассматриваемой динамической системы для любых значений ключевых параметров, начиная с некоторого момента, в точности передает значение входа с единичной задержкой.
Оп^>еделение. Эффект вырождения собственной динамики системы при введении в правую часть неавтономного возмущения, выраженный в виде падения размерности пространства состояний, назовем динамической деградацией.
Безусловно, при составлении схем преобразования и передачи информации с использованием динамических систем необходим учет этого эффекта. Для того чтобы избежать влияния динамической деградации, можно применить следующую схему. Поскольку динамика состояний для передающей и принимающей систем совпадает, то достаточно рассмотреть одну из них, например систему (1), (2). На первом шаге, одновременно с выбором уравнений для передатчика, требуется найти явное описание всех инвариантных множеств, допускаемых этой системой. Далее, при разработке алгоритмов передачи и приема сигнала должна быть предусмотрена проверка условий вырождения (попадания траектории на инвариантное множество). В случае такого попадания в некоторый момент t передающая и принимающая системы должны по согласованному правилу изменить последующее состояние на состояние, не принадлежащее инвариантному множеству. Тем самым траектория будет выведена, по крайней мере на какое-то число шагов, за его пределы. В частности, для рассмотренного примера может быть применено следующее правило: при наступлении в момент t одного из событий x;(t) = 0, ie {1, 2, 3} или x1(t) = x3(t) на следующем шаге системы (8), (9) стартуют с исходного начального условия: x(t+1) = X(t+1) =x0.
3. Автоматы-аналоги
При компьютерном моделировании бесконечных динамических систем фактически осуществляется замена исходной системы некоторым конечным аналогом, сохраняющим требуемые свойства исходной системы с определенной точностью. Оставляя в стороне вопросы точности моделирования исходной системы конечной, будем рассматривать заданную систему как прототип для построения конечной системы-аналога, переход к которой может быть осуществлен различными способами. В работе выбран один из возможных вариантов такой замены исходной динамической системы конечным автоматом с достаточно большими входным, внутренним и выходным алфавитами. При этом автомат описывается системой уравнений в конечном поле или кольце, возникающих естественным образом из описания исходной системы.
Автомат понимается как пятерка объектов A = (X, U, Y, 5, X) [4], где X - множество состояний, U - входной алфавит, Y - выходной алфавит, 5: X х U ^ X - функция переходов, X: X х U ^ Y - функция выходов.
Автомат называется автоматом без потери информации (БПИ), если из равенства X(x, u1) = X(x, u2) следует равенство u1 = u2 для любых xe X, u1 e U, u2 e U. Если множества состояний, входов и выходов автомата конечны, автомат называется конечным. Из контекста будет понятно, когда рассматриваются конечные автоматы. Функции 5 и X расширяются на множество U* слов конечной длины обычным образом.
Далее автомат удобно описывать системой уравнений над конечным кольцом или полем. В этом случае его функционирование рассматривается в дискретном времени te T = {0, 1, 2, ...,} и задается каноническими уравнениями, например, в таком варианте:
x(t+1) = 5(x(t), u(t)), y(t) = X(x(t), u(t)), t e T. (11)
Оставляя в стороне вопросы приближения, возникающие при переходе от исходной системы к ее автоматной модели, принимаем во внимание лишь то, что конечность числа значений участвующих в них величин и необходимость сохранения формы уравнений, отражающей связи между этими величинами, делают естественным рассмотрение этих уравнений как уравнений в конечных полях [5] или кольцах. Поле, содержащее д элементов, обозначается через С^(д). Ниже уравнения (12) дают пример такого автомата (названного автоматом Лоренца [6]), получающийся в результате перехода от непрерывной системы Лоренца как прототипа [7] и введения в нее входного воздействия:
ха(/+1) = XI (г) + АА1(х2(г) - *!(*)), х2(г+1) = х2(г) + А(А2х1(г) - х2(г) - х1(г)х3(г) + Аи(г)), х3(г+1) = х3(г)+ й(х1(г)х2(г) - А3х3(г)) у(г) = х2(г) + А(А2х1(г) - х2(г) - х1(г)х3(г) + Аи(г)). (12)
Уравнения (13) описывают обратный автомат:
Х1(/+1) = Х1(г) + ы^г) - Х1(г)),
Х2(г+1) = у(г+1),
Хз(г+1) = Хз(г)+ А(Х1(/)Х2(/) - ^(г)),
М(г) = (((у(г) - ВД-Г1 - ^(г) + Х2(г)+ ^(^(г))-^1. (13)
Далее все операции в уравнениях понимаются как операции в некотором поле СДд). Заметим, что входной сигнал в систему можно вводить разными способами, выполняя лишь требование обратимости системы. В автоматном случае это означает, что автомат-преобразователь должен быть БПИ-автоматом [4] или без потери информации конечного порядка, если допускается обращение системы с запаздыванием. Автоматы Лоренца, как легко видеть, являются БПИ-автоматами в любом поле. Так как обычно речь идет об обработке информации с помощью компьютеров, то такая информация представляется последовательностью битов, более крупных единиц - байтов или блоков, кратных байтам по длине. В этом случае число различных элементов, описываемых всевозможными комбинациями значений отдельных битов, равно 2т = д, где т = 8к, к е N. Поэтому соответствующие вычисления можно проводить либо в кольце 2?, либо в поле GF(2m). Так как компьютерная обработка информации осуществляется побайтно, то реализацию автоматных аналогов удобно рассматривать в полях GF(28k), к = 1, 2, ... В этом случаев в качестве базового рассматривается поле GF(g) = GF(28) и неделимым элементом информации выступает байт. Такое поле строится как кольцо классов вычетов многочленов над полем GF(2) по неприводимому над этим полем многочлену, например такому: f (х) = х8 + х4 + х3 + х2 + 1. Вычеты А0 + А1х + А2х2 + А3х3 + А4х4 + А5х5 + А6хб + А7х7 по модулю соответствующего многочлена описываются как булевы векторы А0, А1, ..., А7, где А, равно 0 или 1, г = 0, 1, ..., 7. Эксперименты по шифрованию информации с помощью автоматов Лоренца позволили обнаружить следующий эффект. Если входное слово, подаваемое на автомат, подвергается искажениям (например, один из символов меняется на какой-то другой), то возможны два варианта: либо выходное слово, начиная с момента искажения, полностью изменяется, либо через некоторое число шагов после момента искажения оно совпадает с соответствующим конечным отрезком неискаженного выходного слова. Последнее свойство аналогично свойству самосинхронизируемости некоторых поточных шифрсистем [8] и говорит об определенной устойчивости автомата к искажениям входной информации. Этот эффект и наблюдался при расшифровывании искаженной информации автоматами Лоренца. В [6] на основе введенных понятий синхронизируемости и к-локальной синхронизируемости состояний описана структура некоторых автоматов, обладающих такими свойствами. Способность восстановления функционирования алгоритма преобразования после искажения входных последовательностей может либо поддерживаться (как, например, в самосинхронизирующихся поточных шифросистемах), либо подавляться, как свойство, ограничивающее распространение искажения одного символа на возможно большее число символов шифртекста. Такие особенности могут влиять на криптостойкость алгоритмов. В п. 2 описано явление деградации, связанное с вырождением множества траекторий динамической системы в результате попадания в некоторое подмножество состояний фазового пространства. В [6] показано, что в автоматном случае это свойство может быть следствием особенностей структуры графа переходов автомата, которую можно описать следующим образом. На множестве состояний автомата определяется специальная конгруэнция к-локальной синхронизируемости состояний, которая описывает свойство «устойчивости» к «искажениям» подслов фиксированной длины во входных последовательностях. Доказано, что факторизация по этой конгруэнции определяет фактор-автомат, в котором множество состояний распадается на непересекающиеся циклы. Уход с этих циклов возможен только при дополнительных управляющих воздействиях на автомат, переводящих его в новое состояние. Такое состояние, вообще говоря, может и не принадлежать исходному множеству состояний. Далее предлагается способ формирования таких воздействий, заключающийся в регулировании размерности пространства состояний и изменении, таким образом, исходного множества состояний.
4. Управление размерностью пространства состояний
Пусть А = (X, и, У, 5, X) - автомат Мили. Автомат В = (X?, Цв, Ув, 5в, Хв) будем называть подавтоматом автомата А (и писать В с А), если Хв с X, Цв с Ц, Ув с У, а 5в и Хв есть сужения соответственно функций 5 и X на множество X? х Ц?.
Пусть автомат А описывается системой (11) над полем GF(g). В этом случае автомат будем обозначать через Аг Результаты теории конечных полей позволяют считать, что GF(g) есть подполе поля GF(g") при любом натуральном п. В силу этого уравнения (11) можно понимать как уравнения, задающие некоторый автомат А?" в поле GF(g"). Ограничения его функций на поле GF(g), в силу замкнутости последнего, определяют подавтомат, изоморфный автомату А?, который будем обозначать таким же образом. Пусть задана последовательность расширений поля GF(g), GF(gm1), GF(gm2), ..., GF(gmи), такая, что тг|тг+1, г = 1, ..., п-1. В этом случае GF(g) с GF(qm1) с GF(gm2) с ... с GF(gmи), что определяет, в силу вышесказанного, последовательность автоматов Аг с А^ с . с А^. Если же числа т,, г = 1, ., п-1, произвольны (в частности, попарно взаимно просты), то поле GF(gm), где т - наименьшее общее кратное этих чисел, содержит всякое подполе GF(gm;), а значит, имеется и вложение соответствующих автоматов. Более того, все сказанное справедливо и в случае, когда в качестве расширения поля GF(g) выбирается его алгебраическое замыкание (обозначим его GF(g”)). Тогда и соответствующие уравнения, задающие исходный автомат, можно понимать как уравнения в поле GF(g”), и эти уравнения задают уже бесконечный автомат А?”. Из единственности алгебраического замыкания GF(g”) и вышесказанного следует
Утверждение. Для произвольных автомата А? и натурального т справедливы включения А? с А^ с А?”.
Сказанное обосновывает построение нового автомата А(т1, ..., т„) фактически с переменными множествами состояний, входов и выходов. Его функционирование в любой момент времени совпадает с функционированием одного из автоматов А^,, г = 1, ..., п. Смена одного автомата другим или «принудительная» смена текущего состояния в процессе функционирования может осуществляться при выполнении некоторого предиката Р(х, р), определенного на XX Ц*, где X и V - множества состояний и входов соответственно текущего автомата А.
В качестве указанного предиката можно выбрать, например, условие появления деградации, описанное выше, условие попадания в определенные состояния или появление фиксированных подслов во входной последовательности. Например, для систем (8), (9) такой предикат можно определить как Р = ((х1(г) = х3(г)) V (х1(г)-х2(г)-х3(г) = 0)) л (м(г)-м(г-1)-м(г-2) = 0)). Его истинностное значение определяет «принудительную» смену состояния, например, по такому правилу: х1(г+1) = и(г), х2(г+1) = м(г-1), х3(г+1)) = и(г-2), либо, если отказаться от условия неравенства нулю трех последовательных входных символов, по более простому правилу из п. 2: х(г+1) = X(г+1) = х0.
Дополнительные вычисления для проверки истинности предиката, естественно, повышают сложность алгоритма преобразования информации. Это требует наложения ограничений на временную и емкостную сложности вычисления таких предикатов. В приведенном примере эту сложность легко оценить: при фиксации верхней границы размерности обе сложности оцениваются некоторыми константами. В целом это не повышает порядка оценок по сравнению с алгоритмом без вычисления предиката. В общем случае ситуация более сложна и требует исследования структуры автомата.
Пусть входная последовательность р = м1м2.мк в некотором исходном алфавите Ц = GF(g) подается на автомат А(т1, ..., т„). Она обрабатывается этим автоматом либо посимвольно, либо блоками размера т,, г = 1, ..., п, где размер блока определяется выбором поля, как указывалось выше. В результате обработки всей последовательности р она оказывается разбитой на подслова разной длины (блоки), каждое из которых преобразуется своим автоматом. Это разбиение заранее неизвестно и определяется предикатом Р(х, р). Если он существенно зависит от х, этот параметр или иной другой можно сделать секретным, в дополнение к секретным коэффициентам, задающим конкретный автомат-шифратор в каждом сеансе преобразования. В качестве такого предиката для автоматов Лоренца, учитывая возможность попадания на вышеуказанные циклы фактор-автомата, может быть выбрано, например, условие совпадения текущего состояния с заранее заданным состоянием, уже появлявшимся в один из предыдущих моментов времени, либо условие появления во входном слове заданного подслова. При выполнении этих условий происходит изменение размерности очередного обрабатываемого блока. Размер блока может выбираться из заранее оговоренного списка значений в порядке, который либо жестко фиксирован, либо снова может определяться некоторым предикатом. Если в списке все значения размерностей взаимно просты, то наименьшая размерность поля (как векторного пространства), содержащего все подполя выбранных размерностей, равна произведению этих размерностей. Это усложнит анализ поведения шифрующего автомата на основе выбора, в силу утверждения 1, в качестве исходного поля указанного надполя. Помимо этого, усложнение анализа поведения шифрующего автомата определяется также тем, что задача восстановления разбиения входного слова на заданные подслова, каждое из которых обрабатывается своим подавтоматом, относится к классу задач упаковки. Эта задача может решаться перебором, если заранее известен список возможных размерностей. Однако прямой перебор затруд-
нен, так как число вариантов указанных разбиений с ростом длины слова даже при небольших значениях m, растет достаточно быстро.
Заключение
Предложенный метод динамического изменения размерности пространства состояний позволяет усложнять поведение системы без принципиального изменения ее описания и сложности алгоритма преобразования. Пополнение описания системы условиями, меняющими размерность пространства состояний, а не саму систему уравнений означает, что фактически таким образом вводятся, помимо параметрических, структурные ключи, которые также могут быть секретными. Это позволяет повысить стойкость соответствующих алгоритмов преобразования информации. Предложенный вариант обработки информации динамическими системами с переменной размерностью пространства состояний может быть полезным при разработке шифров с регулируемой степенью криптостойкости. При этом необходимы дополнительные исследования, связанные с вопросами формирования последовательностей примитивных полиномов для описания соответствующих полей и автоматов, с оценкой усложнения соответствующих алгоритмов и по памяти, и по времени, и др.
ЛИТЕРАТУРА
1. Feldmann U., Hasler M. and Schwarz W. Communication by chaotic signals: the inverse system approach // Int. J. Circ. Theory Appl. 1996. V. 24. P. 551 - 579.
2. Ковалев А.М., Щербак В.Ф. Управляемость, наблюдаемость, идентифицируемость динамических систем. Киев: Наукова думка, 1993. 285 с.
3. Ковалев А.М. Критерии функциональной управляемости и обратимости нелинейных систем // ПММ. 1998. Т. 62. Вып. 1. C. 110 - 120.
4. Кудрявцев В.Б., Алешин С.В., Подколзин А.С. Введение в теорию автоматов. М.: Наука, 1985. 320 с.
5. Лидл Р., Нидеррайтер Т. Конечные поля. М.: Мир, 1988. Т. 1, 2. 820 с.
6. Козловский В.А., Толмачевская Л.А. Автоматные аналоги динамических хаотических систем // Труды ИПММ НАН Украины. 2003. Т. 8. С. 59 - 69.
7. Данилов Ю.А. Лекции по нелинейной динамике. Элементарное введение. М.: Постмаркет, 2001. 184 с.
8. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии. М.: Гелиос АРВ, 2002. 480 с.
