Научная статья на тему 'Отрицаемое шифрование на основе блочных шифров'

Отрицаемое шифрование на основе блочных шифров Текст научной статьи по специальности «Математика»

CC BY
1155
278
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ / КРИПТОГРАФИЯ / ОТРИЦАЕМОЕ ШИФРОВАНИЕ / ВЕРОЯТНОСТНОЕ ШИФРОВАНИЕ / БЛОЧНЫЕ ШИФРЫ / КРИПТОГРАММА / COMPUTER SECURITY / CRYPTOGRAPHY / DENIABLE ENCRYPTION / PROBABILISTIC ENCRYPTION / BLOCK CIPHERS / CRYPTOGRAM

Аннотация научной статьи по математике, автор научной работы — Молдовян Николай Андреевич, Биричевский Алексей Романович, Мондикова Яна Александровна

Постановка проблемы: известные способы отрицаемого шифрования с разделяемым ключом, удовлетворяющие условию неотличимости по криптограмме от вероятностного шифрования, обладают сравнительно малой производительностью. Цель работы - повышение быстродействия алгоритмов отрицаемого шифрования, основанных на использовании блочных шифров. Методы: обращение блочного шифрующего преобразования, статистические эксперименты, одновременное шифрование двух независимых сообщений на двух различных ключах. Результаты: разработан новый способ выполнения процедуры отрицаемого шифрования, отличающийся от известных аналогов тем, что при зашифровании двух сообщений блочный шифр используется для выполнения прямого блочного преобразования по первому ключу и обратного преобразования по второму ключу. Получены формулы для оценки параметров алгоритмов на основе предложенного способа. Практическая значимость: предложенный способ представляет интерес для использования в средствах защиты информации от несанкционированного доступа.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Deniable Encryption Based on Block Ciphers

Purpose: The available methods of shared-key deniable encryption satisfying the criterion of indistinguishability from probabilistic encryption have comparatively low performance. This paper is devoted to developing a method for faster deniable encryption based on using block ciphers. Methods: Reversing the block-ciphering transformation, statistic experiments, simultaneous encryption of two independent messages using two different keys. Results: A new method was developed to carry out deniable encryption by performing direct block transformation with the first key and inverse block transformation with the second key when encrypting two messages. The formulas were derived to estimate the parameters of the algorithms based on the proposed method. Practical relevance: The proposed method can be applied in computer security systems.

Текст научной работы на тему «Отрицаемое шифрование на основе блочных шифров»

КОДИРОВАНИЕ И ПЕРЕДАЧА ИНФОРМАЦИИ X

УДК 681.3

ОТРИЦАЕМОЕ ШИФРОВАНИЕ НА ОСНОВЕ БЛОЧНЫХ ШИФРОВ

Н. А. Молдовяна, доктор техн. наук, заведующий лабораторией А. Р. Биричевскийа, аспирант Я. А. Мондикова6, аспирантка

аСанкт-Петербургский институт информатики и автоматизации РАН, Санкт-Петербург, РФ бСанкт-Петербургский государственный электротехнический университет «ЛЭТИ», Санкт-Петербург, РФ

Постановка проблемы: известные способы отрицаемого шифрования с разделяемым ключом, удовлетворяющие условию неотличимости по криптограмме от вероятностного шифрования, обладают сравнительно малой производительностью. Цель работы — повышение быстродействия алгоритмов отрицаемого шифрования, основанных на использовании блочных шифров. Методы: обращение блочного шифрующего преобразования, статистические эксперименты, одновременное шифрование двух независимых сообщений на двух различных ключах. Результаты: разработан новый способ выполнения процедуры отрицаемого шифрования, отличающийся от известных аналогов тем, что при зашифровании двух сообщений блочный шифр используется для выполнения прямого блочного преобразования по первому ключу и обратного преобразования по второму ключу. Получены формулы для оценки параметров алгоритмов на основе предложенного способа. Практическая значимость: предложенный способ представляет интерес для использования в средствах защиты информации от несанкционированного доступа.

Ключевые слова — компьютерная безопасность, криптография, отрицаемое шифрование, вероятностное шифрование, блочные шифры, криптограмма.

Введение

В целях защиты информации от атак с принуждением предложены процедуры отрицаемого шифрования (ОШ) [1]. В атаках указанного типа предполагается, что атакующий перехватывает криптограмму и принуждает отправителя и получателя раскрыть исходное сообщение и использованные при шифровании ключи и случайные значения (если последние применялись). Различают ОШ по открытому ключу получателя сообщения и по разделяемому секретному ключу, которым владеют отправитель и получатель. При этом второй тип ОШ главным образом связывается с шифрованием двух и более сообщений на различных ключах и соединением независимых криптограмм в единый шифртекст. При принуждающей атаке предполагается достаточным предоставление атакующему только одного из ключей (фиктивного ключа) для расшифрования соответствующего ему участка шифртекста и восстановления фиктивного сообщения [1]. При этом оставшаяся часть шифртекста интерпретируется как случайная последовательность, использованная для маскирования криптограммы. Несмотря на явную наивность такого понимания ОШ по разделяемым секретным ключам, оно лежит в основе ряда средств компьютерной безопасности, например, Best Crypt [www.j etico. com/products/personal-privacy/bestcrypt-container-encryption], FreeOTFE [www.softpedia.com/get/ Security/Encrypting/FreeOTFE.shtml], True Crypt [www.truecrypt.org].

Однако для защиты отдельных сообщений, которыми обмениваются удаленные пользовате-

ли, и отдельных файлов, хранимых в постоянной памяти ЭВМ, а также для построения защитных механизмов типа криптографических обманных ловушек [2], ориентированных на навязывание атакующему ложной информации, наивный подход к построению процедуры ОШ по разделяемому ключу представляется недостаточным. Действительно, наличие участков шифртекста, которые не используются для раскрытия фиктивного сообщения, дает атакующему существенные основания утверждать о неполноте раскрытия шифртекста. Устранение этого недостатка обеспечивается требованием неотличимости шифр-текста, полученного в результате ОШ, от шифр-текста, полученного в результате вероятностного шифрования фиктивного сообщения по фиктивному ключу, впервые обоснованным в работе [2] как одно из важных условий для обеспечения стойкости к принуждающим атакам.

В работе [3] описан общий способ построения алгоритмов ОШ, неотличимых по шифртексту от алгоритмов вероятностного шифрования, с использованием хэш-функций, а также представлен вариант реализации аналогичных алгоритмов с использованием блочных шифров. Однако недостатком способа [3] является сравнительно низкая производительность процедур ОШ, реализуемых на его основе.

В настоящей работе решается задача повышения производительности процедур ОШ, построенных на основе использования блочных шифров. Предложенный способ обеспечивает построение алгоритмов ОШ, обладающих в 100 и более раз высокой скоростью шифрования по сравнению с алгоритмами ОШ, построенными

на основе способа [3]. Существенный выигрыш в производительности достигается за счет того, что в процедуре ОШ блочный шифр используется не только в режиме шифрования, но и в режиме расшифрования.

Способ-прототип

Способ, предложенный в работе [3], позволяет любое трудно обратимое (однонаправленное) преобразование использовать для построения процедуры ОШ. В качестве однонаправленного преобразования рассматривались хэш-функции и блочные шифры. Отрицаемое шифрование предлагалось в виде одновременного шифрования двух сообщений (секретного и фиктивного) по двум независимым ключам, один из которых (фиктивный ключ) предназначен для раскрытия в случае принуждающей атаки. Способ легко расширяется на случай одновременного шифрования трех и более сообщений, однако при этом существенно падает производительность процедуры ОШ. Такое расширение интересно с теоретической точки зрения, но для практического применения его обоснование неочевидно, поэтому в дальнейшем будет рассмотрен только случай одновременного шифрования двух сообщений.

Важным требованием к процедурам ОШ является неотличимость криптограммы, формируемой в результате выполнения ОШ, от криптограммы, формируемой при вероятностном шифровании фиктивного сообщения. Это требование обеспечивается тем, что с алгоритмом ОШ ассоциируется некоторый алгоритм вероятностного шифрования (шифрования, в котором используются случайные значения) [2, 3]. Наряду с этим для последнего доказывается, что при определенных случайных значениях фиктивное сообщение в результате его шифрования по фиктивному ключу преобразуется в криптограмму, полученную в результате выполнения процедуры ОШ. При этом сама процедура ОШ также может быть как детерминистической, так и вероятностной. В последнем случае при выполнении процедуры ОШ используются случайные значения, которые определяют выработку конкретной криптограммы из множества возможных. В работе [3] предложен способ вероятностного ОШ, основанный на использовании односторонних преобразований, например хэш-функций.

В соответствии со способом [3] при использовании хэш-функции ¥н процедура ОШ реализуется следующим образом. Пусть даны сообщения Т (фиктивное) и М (секретное), представленные в виде последовательностей и-битовых знаков ..., ..., tZ} и {шг, т2, ..., т, ..., т2} соответственно. Одновременное шифрование этих сообщений по ключам КТ и КМ состоит в подборе

таких случайных k-битовых значений r1, r2,

r , ..., r (k > 2u), для которых одновременно вы-

полняются соотношения

FH(KT, i, r) mod 2u = ti и FH(KM, i, r) mod 2u = mv

где предполагается использование хэш-функций, выходное значение которых имеет разрядность не менее u бит. Значение счетчика i включено в аргумент хэш-функции для улучшения статистических свойств криптограммы при сравнительно малых значениях k и u. Если последние два значения достаточно велики, то можно обойтись без задания зависимости значения хэш-функции от номера преобразуемого знака исходного текста.

В случае построения процедуры вероятностного ОШ на основе re-битового блочного шифра E (re > 2u) одновременное шифрование пары сообщений T и M по ключам KM и KT выполняется как подбор случайных значений ri, удовлетворяющих следующим двум условиям:

EKT(ri) mod 2u = ti и EKM(r) mod 2u = mi. (1)

Формируемая криптограмма имеет вид R = {r1, r2, ..., ri, ..., rz}. Расшифрование выполняется по формуле EK(ri) mod 2u= qi, где qi — знаки восстановленного текста (T или M при K = KT или K = KM соответственно). При использовании блочных шифров обеспечивается более высокая скорость ОШ по сравнению со случаем использования хэш-функций. Однако по сравнению с производительностью Хб.ш [бит/с] блочного алгоритма шифрования E достигаемая скорость ОШ ХОШ существенно меньше:

X,

ОШ '

(2 -2u-1u/re)X(

б.ш'

(2)

Наиболее существенный вклад в снижение скорости шифрования при выполнении процедуры ОШ вносит необходимость многократного вычисления значений ЕКт(г) и ЕКм(г) для подбора такого г, при котором одновременно выполняются соотношения (1). Действительно, для текущего случайного значения г1 вероятность выполнения каждого из двух условий (1) равна 2~", а вероятность их одновременного выполнения — 2_2и.

Существенное повышение производительности процедуры ОШ, основанной на выполнении шифрующих блочных преобразований, может быть достигнуто использованием свойства обратимости функции блочного шифрования Е, которое принципиально отличает блочные шифры от хэш-функций. Однако для эксплуатации этого свойства требуется использовать в качестве знаков криптограммы выходные значения функции Е, а не входные, как это имеет место в способе [3]. Предлагаемый новый вариант построения процедур ОШ на основе блочных шифров описывается в следующем разделе.

Новый способ отрицаемого шифрования

Предлагаемый способ ОШ реализуется как выполнение процедуры одновременного шифрования сообщений Т и М в соответствии с формулами

ЕкТ(*1> = с. и ЕКм(ш1, т.) = е., (3)

где е. — ге-битовые блоки (знаки) криптограммы; т[ и т. — случайные значения. Восстановление знаков исходных сообщений из криптограммы С = {е1, е2, ..., е., ..., сг} предполагается осуществлять по формулам

^кт(е) = (^ т*) и Бкм(е.) = т г) (4)

где Б — функция расшифрования, обратная к функции Е, т. е. Б = Е_1, а случайные ^-битовые значения т. и т. в выходном значении функции Б отбрасываются (й > 2и; ге = и + Щ, в результате чего получают знаки Ь. и т. В соответствии с (3) процедура ОШ требует нахождения двух случайных значений т. и т., которые обеспечивают выполнимость условия ЕКт(Ь, т^) = ЕКм(т, г). Для случайно выбранных значений т[ и т. вероятность выполнения последнего равенства имеет достаточно малое значение 2_ге << 2 _2и, что ограничивает скорость ОШ при использовании непосредственного подбора пар случайных значений т и т .

Существенный выигрыш в производительности ОШ достигается применением следующего варианта нахождения блока криптограммы е по значениям Ь. и т., обеспечивающего выполнение условий (3) и лежащего в основе алго-

Начало / т, г = 1, р = 1 /

Сгенерировать тр

3

ср = ЕКм(ти тр) <-

1

БКт(ср) = (tр, тр)

Нет Ь р = п р = ] Яр = т + 1 -1 + 1

Сообщение «Шифрование пары знаков и т.» не выполнено

Нет

Нет

Да р < N Да

I < г

Да

Конец

■ Рис. 1. Блок-схема разработанного алгоритма ОШ

. = . + 1

ритма 1 (рис. 1). Предварительно выбирается произвольное значение тр и вычисляется значение ср = ЕКм(тр тр), затем — значение БКт(ср),

которое рассматривается как

Кт^-у конкатенация

Кт(с) = (Ьр, тР, где

и-битового значения t у и й-битового значения т-, т. е. БКт(с) = (Ь ,, тр. При нахождении такого значения т , при котором Ьр = Ь., полученное значение с может быть взято в качестве блока криптограммы с. При этом вероятность выполнения равенства Ьр = Ь. (совпадение случайного и-битового значения Ьр с заданным и-битовым значением Ь) равна 2_и >> 2_2и, что определяет существенное повышение скорости ОШ по сравнению со способом [3].

Алгоритм 1: совместное шифрование сообщений т и м.

1. Установить значение счетчика I = 1.

2. Установить значение счетчика р = 1.

3. Сгенерировать случайное й-битовое число т.

4. Вычислить значение ср = ЕКм(т, т).

5. Вычислить значение Б выходное ге-битовое значение функции расшиф рования интерпретируется как конкатенация и-битового значения Ьр и й-битового значения т

6. Сравнить значения Ь . и Ь.. Если Ьр = Ь., то взять в качестве значения с. значение с и перейти к шагу 7, в противном случае перейти к шагу 3.

7. Если р < N, то прирастить значение счетчика р — р + 1, вычислить т р — тр _1 + 1 и перейти к шагу 4, иначе вывести сообщение «Шифрование пары знаков Ь. и т. не выполнено». (Вопрос о выборе значения N рассмотрен в следующем разделе.)

8. Если I < г, то прирастить значение счетчика I — I + 1 и перейти к шагу 2, иначе СТОП.

Алгоритм 1, описывающий процедуру ОШ, формирует выходную криптограмму С, которая вычислительно неотличима от криптограммы, полученной в процессе следующего алгоритма вероятностного шифрования фиктивного сообщения. Данный алгоритм относится к вероятностным процедурам ОШ, в которых в ходе шифрования используются случайные значения.

Алгоритм 2: ассоциируемый алгоритм вероятностного шифрования фиктивного сообщения м по фиктивному ключу Км.

1. Установить значение счетчика I = 1.

2. Сгенерировать случайное й-битовое число т..

3. Вычислить значение с. = ЕКм(тт).

4. Если . < г, то прирастить значение счетчика I — I + 1 и перейти к шагу 2, иначе СТОП.

Наличие алгоритма 2 явно показывает, что алгоритм 1 удовлетворяет требованию неотличимости ОШ от вероятностного шифрования. Действительно, потенциально реализуем выбор случайных значений т., при котором выходная криптограмма алгоритма 2 совпадает с выходной криптограммой алгоритма 1 (при одних и тех же значениях м и Км).

Алгоритм 3: расшифрование криптограммы С по ключу К.

1. Установить ключ шифрования К = Км (восстановление фиктивного сообщения М) или К = КТ (восстановление секретного сообщения Т) и значение счетчика I = 1.

2. Вычислить значение %i = 0К(е) ^у 2й.

3. Если I < г, то прирастить значение счетчика I — I + 1 и перейти к шагу 2, иначе СТОП.

Алгоритм 3 выдает выходное сообщение {%1; 12, ..., ..., хг}, которое совпадает с фиктивным сообщением М, если было установлено значение ключа К = КМ, или с секретным сообщением Т, если было установлено значение ключа К = КТ.

Описанные алгоритмы 1, 2 и 3 реализуют передачу секретного сообщения Т между удаленными пользователями, которые предварительно согласовывают общий секретный ключ КТ и общий фиктивный ключ КМ по следующему сценарию, стойкому к принуждающей атаке.

1. Алиса (отправитель) генерирует фиктивное сообщение М, после чего, используя алгоритм 1 и ключи КТ и КМ, зашифровывает совместно сообщения Т и М и полученную криптограмму С направляет по открытому каналу Бобу (получателю).

2. Боб расшифровывает криптограмму С, используя алгоритм 3 и ключ КТ, и получает секретное сообщение Т.

3. Ева (атакующий), имеющая возможность наблюдать за трафиком открытого канала, перехватывает криптограмму С, после чего принуждает одновременно Алису и Боба раскрыть сообщение, содержащееся в криптограмме С, и ключ шифрования.

4. Алиса (и Боб) предоставляют Еве ключ Км и алгоритм 2 как алгоритм, использованный для зашифрования переданного (полученного) сообщения, и алгоритм 3 как алгоритм для расшифрования сообщения.

5. Ева расшифровывает криптограмму С, используя алгоритм 3 и ключ КМ, в результате чего получает сообщение М. После этого Ева зашифровывает сообщение М по ключу КМ в соответствии с алгоритмом 2, используя случайные й-битовые значения г, восстановленные при расшифровании криптограммы С, и убеждается, что сообщение М действительно преобразуется в криптограмму С.

Для того чтобы уличить Алису и Боба в обмане, Ева должна взломать базовый алгоритм блочного шифрования, т. е. вычислить ключ КТ, что практически невыполнимо, если разрядность этого ключа составляет 128 бит и более, а в качестве базового алгоритма используется стойкий блочный шифр, например ГОСТ 28147 [4].

Выбор параметров и оценка производительности алгоритма отрицаемого шифрования

Производительность алгоритма, описанного в предыдущем разделе, существенно зависит от среднего числа л выбираемых значений Г; при шифровании одной пары знаков ti и т1. Значение "л зависит от вероятности выполнения на шаге 6 условия = ti, которая равна Рг(^ = ti) = 2-и и определяется разрядностью знаков ti и т1. Вероятность невыполнения условия tj = ti для ц последовательных значений ; = 1, 2, ..., ц равна

РГ„(^ * ^ = (1 - 2-")Ц,

(5)

откуда получаем значение вероятности выполнения условия tj = ti на ц-м шаге

Рг„^ = Ц = 1 - (1 - 2-и)„ (6)

и значение

Л = 2-и + 2[1 - (1 - 2-")2] + ... +

+ ц[1 - (1 - 2-и)„] + ... + N[1 - (1 - 2-")^.

Более удобной является приближенная формула

Л » [Рг(^ = -1 = 2"

■ ]

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(7)

с помощью которой получаем следующую оценку производительности предложенного алгоритма ОШ:

АОш » (2-"-1и/и)\

б.ш'

(8)

Сравнение с формулой (2), относящейся к ОШ по способу [3], показывает, что предложенный вариант реализации процедуры ОШ на основе блочных шифрующих преобразований дает увеличение производительности ОШ примерно в 2" раз.

Значение N в предложенном алгоритме выбирается с учетом получения достаточно малого значения Р%(^ * t), т. е. вероятности того, что шифрование текущей пары знаков ti и т1 не будет выполнено. Из формулы (5) получаем уравнение для вычисления N по заданному значению Р%(^ * t¡):

* ^ = (1 - .

(9)

Оценим порядок некоторого значения N' > N > л, для чего подставим в (5) значение и воспользуемся соотношением

ц = л/2 » 2"-1

Рг„& * t1) < 1 - ц2-и = 1 - 2и-12-и = 1/2. (10)

М- ;

Обозначая целую часть отношения N'/("2^) как некоторое натуральное число ю, получаем

Рг^ (tj * Ц < (1/2)ю = (1/2)2^/г|. (11)

Задавая пороговое значение вероятности * ti) в виде отрицательной степени в числа 2, легко вычислить N':

2-в > ^ N' > в" = в2

и-1

(12)

Последнее значение может быть использовано в качестве значения N в алгоритме 1, задающем процедуру ОШ. Выбор больших значений параметра N в алгоритме 1 практически не влияет на его производительность, поскольку случаи, когда требуется выполнить число попыток выбора значения г, существенно превосходящее значение л, встречаются сравнительно редко.

Типичная зависимость количества выборок значений г, от номера шифруемого блока при значении параметра и = 4 показана на рис. 2. Из графика видно, что большинство значений лежит в пределах 20 выборок на блок. Среднее число л выборок значений г, определенное экспериментально для различных режимов ОШ, близко к теоретическим значениям, вычисляемым по формуле (7).

Значение параметров и и п следует выбирать таким образом, чтобы число N.. всех возможных

случайных значений r превосходило N, для чего достаточно выполнения неравенства Nr > N'. Поскольку Nr = 2k, последнее неравенство выполняется при 2k > 2"log2PrN (tj ^ t). Варианты выбора параметров алгоритма ОШ, представляющие практический интерес, приведены в табл. 1.

Экспериментальная проверка эффективности работы разработанного способа отрицаемого шифрования была выполнена на базе программной платформы Microsoft .NET Framework. Результаты измерений скорости шифрования приведены в табл. 2.

Производительность предложенного способа ОШ прямо пропорциональна производительности используемого алгоритма блочного шифрования. Современные аппаратные реализации алгоритма ГОСТ 28147 обеспечивают производительность 1000 Мбит/с и более. При таких реализациях

■ Рис. 2. Зависимость количества выборок значений г, от значения / при использовании алгоритма ГОСТ 28147 в качестве базового блочного шифра и параметров и = 4, к = 60

■ Таблица 1. Варианты выбора параметров алгоритма ОШ и оценка достигаемой скорости шифрования (А-Ош)

n u k л Pr^ (tj ^ t) (s) N' Nr Л.'ОШ, отн. ед.

32 4 28 24 2-16 (24) 27 228 224

32 8 24 28 2-16 (24) 211 224 221

64 8 56 28 2-32 (25) 212 256 220

64 8 56 28 2-е4 (26) 213 256 220

96 8 88 28 2-32(25) 212 288 220

96 12 84 212 2-64 (26) 217 284 216

128 16 112 216 2-64 (26) 221 2112 212

■ Таблица 2. Результаты измерений скорости шифрования алгоритма ОШ при использовании в качестве базового алгоритма блочного шифрования шифров ИС5 [5] и ГОСТ 28147 [4]

Режим работы алгоритма ОШ Производительность алгоритма 1: эксперимент/формула (8), бит/с Значение л: эксперимент/формула (7) Производительность базового шифра, бит/с

п = 32, и = 8, к = 24 (бит); базовый шифр — ИС5 1150/1360 257/256 2 728 211

п = 32, и = 4, к = 28 (бит); базовый шифр — ИС5 10260/10920 14/16 2 728 211

п = 64, и = 8, к = 56 (бит); базовый шифр — ГОСТ 28147 1176/1000 240/256 4 093 953

п = 64, и = 4, к = 60 (бит); базовый шифр — ГОСТ 28147 9627/8000 15/16 4 093 953

производительность ОШ на базе ГОСТ 28147-89 будет достигать значения 6,3 Мбит/с.

Также ощутимое влияние на скорость ОШ оказывает значение параметра и. Однако повышение быстродействия за счет уменьшения значения и ограничивается тем, что при этом возрастает отношение размера криптограммы к размеру шифруемых сообщений. По сравнению со способом ОШ [3], основанным на использовании блочных шифров, алгоритм 1 обладает производительностью в у » 2и раз более высокой при использовании одного и того же базового блочного шифра. Значение коэффициента у равно 16 при и = 4 и 256 при и = 8.

Заключение

Впервые алгоритмы ОШ, удовлетворяющие требованию неотличимости от вероятностного шифрования, предложены в работе [2] с использованием операций возведения в большую дискретную степень по простому модулю. При таком подходе к построению алгоритмов ОШ требуется выполнение самостоятельных исследований их стойкости. В работе [3] впервые предложено построение алгоритмов ОШ указанного типа с использованием известных хэш-функций и алгоритмов блочного шифрования, стойкость которых хорошо исследована. Основной результат настоящей работы состоит в разработанном новом способе ОШ, удовлетворяющего требованию неотличимости от вероятностного шифрования и основанного на использовании блочных шифров. Предложенный способ позволяет построить алгоритмы ОШ, производительность которых существенного выше (в 16 раз и более) по сравнению с алгоритмами, основанными на способе [3]. Применение стойких блочных шифров для

Литература

1. Canetti R., Dwork C., Naor M., Ostrovsky R. Deniable Encryption // Advances in Cryptology — CRYPTO 1997: Proc.17th Annual Intern. Cryptology Conf., Santa Barbara, California, USA, Aug. 17-21, 1997. P. 90-104.

2. Березин А. Н., Биричевский А. Р., Молдовян Н. А., Рыжков А. В. Способ отрицаемого шифрования // Вопросы защиты информации. 2013. № 2. С. 18-21.

3. Морозова Е. В., Мондикова Я. А., Молдовян Н. А. Способы отрицаемого шифрования с разделяемым ключом // Информационно-управляющие системы. 2013. № 6. С. 73-78.

4. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. — М.: Изд-во стандартов, 2007. — 28 с.

реализации предложенного способа ОШ обеспечивает стойкость разрабатываемых на его основе алгоритмов ОШ. Действительно, гипотетическая успешная атака на такие алгоритмы ОШ, например атака на основе известных или специально подобранных исходных текстов, может быть применена и для взлома базового алгоритма шифрования.

Другим результатом выполненной работы является получение формул для оценки значений параметров алгоритма ОШ, основанного на предложенном способе. Из данных табл. 1 видно, что производительность не зависит от выбираемого значения N, что объясняется малой вероятностью случаев, когда процесс шифрования пары знаков исходных тестов Ь. и т. потребует выполнения N циклов, включающих шаги 3_6 алгоритма ОШ, если задано малое значение вероятности Р^ (Ь р ^ Ь). Экспериментом подтверждено, что среднее число (г|) выбираемых значений т р много меньше значения N.

В качестве базового алгоритма блочного шифрования Е представляет интерес использование 64-битовых скоростных шифров с высокой эффективностью аппаратной реализации [6-8], что позволит достигнуть производительности ОШ, равной 10-100 Мбит/с. Более высокая производительность достигается при использовании блочных шифров с малым размером входного блока ге, однако использование значений ге < 32 требует решения задачи разработки режимов использования ОШ, обеспечивающих улучшение маскирования статистических свойств исходных текстов. Последнее представляет самостоятельную задачу отдельного исследования.

Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 14-07-00061-а.

5. Rivest R. L. The RC5 Encryption Algorithm // Fast Software Encryption: Proc. 2nd Int. Workshop. 1995. Vol. 1008. P. 86-96.

6. Moldovyan N. A., Moldovyan A. A. Data-Driven Block Ciphers for Fast Telecommunication Systems. Auerbach Publications. — N. Y.; London: Talor & Francis Group, 2008. — 185 p.

7. Moldovyan N. A., Moldovyan A. A., Eremeev M. A. A Class of Data-Dependent Operations // International Journal of Network Security. 2006. Vol. 2. N 3. P. 187-204.

8. Moldovyan N. A., Moldovyan A. A., Sklavos N. Controlled Elements for Designing Ciphers Suitable to Efficient VLSI Implementation // Telecommunication Systems. 2006. Vol. 32. N 2/3. P. 149-163.

UDC 681.3

Deniable Encryption Based on Block Ciphers

Moldovyan N. A.a, Dr. Sc., Tech., Head of a Research Laboratory, Professor, [email protected] Birichevskiy A. R.a, Post-Graduate Student, [email protected] Mondikova Ya. A.b, Post-Graduate Student, [email protected]

aSaint-Petersburg Institute for Informatics and Automation of RAS, 39, 14 Line, V. O., 199178, Saint-Petersburg, Russian Federation

bSaint-Petersburg State Electrotechnical University "LETI", 5, Professora Popova St., 197376, Saint-Petersburg, Russian Federation

Purpose: The available methods of shared-key deniable encryption satisfying the criterion of indistinguishability from probabilistic encryption have comparatively low performance. This paper is devoted to developing a method for faster deniable encryption based on using block ciphers. Methods: Reversing the block-ciphering transformation, statistic experiments, simultaneous encryption of two independent messages using two different keys. Results: A new method was developed to carry out deniable encryption by performing direct block transformation with the first key and inverse block transformation with the second key when encrypting two messages. The formulas were derived to estimate the parameters of the algorithms based on the proposed method. Practical relevance: The proposed method can be applied in computer security systems.

Keywords — Computer Security, Cryptography, Deniable Encryption, Probabilistic Encryption, Block Ciphers, Cryptogram

References

1. Canetti R., Dwork C., Naor M., Ostrovsky R. Deniable Encryption. Advances in Cryptology — CRYPTO 1997. Proc. 17th Annual Intern. Cryptology Conf., 1997, pp. 90104.

2. Birichevskiy A. R., Moldovyan N. A., Berezin A. N., Ryzhkov A. V. A Method of the Deniable Encryption. Voprosy zashchity informatsii, 2009, no. 2, pp. 18-21 (In Russian).

3. Morozova E. V., Mondikova Y. A., Moldovyan N. A. Methods of Deniable Encryption with a Shared Key. Informatsionno-upravliaiushchie sistemy, 2013, no. 6, pp. 73-78 (In Russian).

4. Russian Standard GOST 28147-89. Systems for Processing Information. Cryptographic Protection. Algorithm for Cryptographic Transformation. Moscow, Standartov Publ., 2007. 28 p. (In Russian).

5. Rivest R. L. The RC5 Encryption Algorithm. Proc. 2nd Int. Workshop "Fast Software Encryption", 1995, vol. 1008, pp. 86-96.

6. Moldovyan N. A., Moldovyan A. A. Data-driven Block Ciphers for Fast Telecommunication Systems. Auerbach Publications. New York, London, Talor & Francis Group, 2008. 185 p.

7. Moldovyan N. A., Moldovyan A. A., Eremeev M. A. A Class of Data-dependent Operations. International Journal of Network Security, 2006, vol. 2, no. 3, pp. 187-204.

8. Moldovyan N. A., Moldovyan A. A., Sklavos N. Controlled Elements for Designing Ciphers Suitable to Efficient VLSI Implementation. Telecommunication Systems, 2006, vol. 32, no. 2/3, pp. 149-163.

i Надоели баннеры? Вы всегда можете отключить рекламу.