УДК 681.0.245
ОЦЕНКА СТОЙКОСТИ СОВРЕМЕННЫХ КРИПТОСИСТЕМ С ИСПОЛЬЗОВАНИЕМ
МЕТОДА ЛИНЕЙНОГО АНАЛИЗА1
Е. А. Ищукова, Д. М. Алексеев*
Южный федеральный университет Российская Федерация, 344006, г. Ростов-на-Дону, ул. Б. Садовая, 105/42 E-mail: [email protected]
Представлено применение метода линейного криптоанализа к упрощенному алгоритму шифрования «Магма». Данная проблема затрагивает вопросы защиты при использовании современных средств шифрования при передаче информации. Проведен анализ блоков замены шифра и построены линейные статистические аналоги и соответствующие им вероятности.
Ключевые слова: линейный анализ, криптография, «Магма», анализ блоков замены.
EVALUATING RESISTANCE OF MODERN CRYPTOSYSTEMS USING THE METHOD
OF LINEAR ANALYSIS
E. A. Ishchukova, D. M. Alekseev*
Southern Federal University 105/42, Bolshaya Sadovaya Str., Rostov-on-Don, 344006, Russian Federation E-mail: [email protected]
This article presents the application of the linear cryptanalysis method to the simplified linear cryptanalysis algorithm "Magma". This problem concerns the issues of protection using modern encryption while transmitting information. In the result of the study the analysis of the replacement cipher blocks is made, linear statistical analogs and their corresponding probabilities are constructed.
Keywords: linear analysis, cryptography, "Magma", analysis of blocks.
Алгоритм шифрования «Магма» (ранее действовавший стандарт шифрования ГОСТ 28147-89) представляет собой симметричный блочный шифр, построенный по принципу сети Фейстеля, с размером блока входных данных 64 бита, секретным ключом 256 бит и 32 раундами шифрования. Подробнее ознакомиться с работой алгоритма шифрования данных «Магма» можно в [1, с. 9].
В связи с тем, что шифр «Магма» вошел в состав нового стандарта шифрования, его анализ является актуальной задачей. Исходя из того, что шифр «Магма» имеет фиксированные блоки замены, может быть выполнено разовое нахождение статистических аналогов, применение которых для дальнейшего анализа будет иметь постоянный характер.
Метод линейного криптоанализа впервые предложен в начале 90-х годов XX века японским ученым М. Матсуи и основывается на том, что существует возможность замены нелинейной функции шифрования системой линейных аналогов [2, с. 116]. Алгоритм анализа S-блоков замены можно найти в работах [3, с. 31; 4, с. 102].
В ходе исследования нами была рассмотрена задача анализа блоков замены и выявления пары векторов (а, Р), для которых вероятность того, что Q = 0, дает максимальное или близкое к максимальному отклонение.
1 Работа выполнена при поддержке гранта РФФИ № 15-37-20007-мол-а-вед.
В результате работы для каждого из восьми блоков замены были получены таблицы вероятностей. Пример такой таблицы для первого блока замены представлен на рис. 1.
Проанализируем полученные таблицы вероятностей для каждого блока замены. Для первого блока замены (рис. 1) можно выделить двадцать четыре вероятности, для которых отклонение наиболее близко к 1 и равно 0,5 (р = 0,75, р = 0,25).
После того, как проведен анализ блоков замены и выявлены пары векторов (а, Р) , можно перейти непосредственно к нахождению самих аналогов.
В рамках исследования будем рассматривать один раунд алгоритма шифрования «Магма» и иметь в виду допущение, которое заключается в замене операции сложения по модулю 2 на операцию сложения по модулю 2 (XOR). Таким образом, исследуемая упрощенная часть шифра (функция Р) представлена на рис. 2.
Рассмотрим первый раунд шифрования. На вход алгоритма шифрования поступает 64-битовое сообщение X, состоящее из двух равных частей. На вход функции Р первого раунда шифрования поступает 32-битовая правая часть входного сообщения Х33_64. Последовательность входных битов Х33_64 складывается по модулю 2 с первым раундовым подключом К1_32 . После сложения с подключом данные разбиваются на группы по 4 бита и поступают на вход соответствующих блоков замены.
<Тешетневс^ие чтения. 2016
* ! 2 3 4 5 s Й 8 1 Ш 11 Iii 14 15:
■ 0 0 8 Ii 0 0 8 .0. I 1s 8 .0. a. 0 8
1 0 ж 10 В щ 10 | 8 p Ш | 8 Щ 10 |
2 0 1 12 18 f & 12 w: 8 ■ Я 10 8 1 12 10
I 0 g 10 6 'S" 3 10 5 8 I ■1fl e 8 | 10 8
4.': 0 1 6 | f а e & 8' 1 Ш & 8' 1 e &
5 0 в 8 8 % В; 8 6 8 10 р,- 8 8 Si; 8 8
6. 0 6. 6 12; Д G 6 Ш 8. I G 12' 8. 6 G 12:
Ъ .0 & Ш 8 В 8 M 8 8 1 Ш 8 8 Ef Щ 8
1 .0 gl 10 8- Ss- ■ 18 8- 8 ä iß 8- 8 1 10 8-
э и ш 8- }■ 1.2. 81 8- 12 ff 8- 1.2. а 8-
10 0 в. а. | в ü 6' 8 Щ ü | 8 Щ. 8 |
11 0 6 s 10 'S' e 8 10 8 6- S' 10 8 8 10'
12 0 I 8 6 'S' G 8 8 8 1 1" 8 8 1 8 8
№ 0 4 Ш 6 Д., 4 6, 6 8. 4 Ш 6 8. 4 Ш 6
14 0 В а 8 'S:. a- 8. 8 8. Я & 8 8. ( 8. 8
15 .0 е 18 4 6 18 4 8 E 1i 4- 8 6t 18 4-
Рис. 1. Таблица вероятностей для первого блока замены
Х33
K,
Х33
Х37
K,
Y Y
122-25 126-29
Х41
к0
K1 -
Х45
K,
Y Y
J30-3?1 2 -5
Х49
K,.
Х53
K,
Х57
K~t
Y Y Y Y
1 6 - 9 J10-13 14-17 18-21
Х61 K„
S1 S2 S3 S4 S5 S6 S7 S8
Циклический сдвиг влево на 11 разрядов
Y1-3
Рис. 2. Функция Е для пе
Для того чтобы определить, какие биты будут получены на выходе каждого из блоков замены, необходимо к последовательности ^_32 применить операцию циклического сдвига вправо на 11 разрядов.
В соответствии с рис. 1 было выявлено несколько эффективных пар векторов (а,р). Рассмотрим одну из
таких пар (а, р) = (1101,0001), для которой
р ( = 0) = 0,25.
Для первого блока замены входным сообщением X является последовательность из четырех битов Х33 Х34 Х35 Х36 ; ключ содержит фрагмент из четырех битов К1 К2 К3 К4; выходное сообщение содержит в себе биты Y22 Y23 Y24 Y25. С учетом этого раскроем скалярные произведения в формуле (X, а)©(, Р) = (К, а):
Х33а1 © Х34а2 © Х35а3 © Х36а4
©Y22Pl © © Y24P3 © Y25P4 =
= К1а1 © К2а2 © К3а3 © К4а4.
;ого раунда шифрования
Подставив в вышеприведенную формулу значение векторов (а,Р) = (1101,0001) , получим линейный статистический аналог, для которого вероятность того, что Q = 0, равна 0,25:
Х33 ©Х34 ©Х36 © Y25 = K1 ©K2 ©K4.
В рамках исследования построение аналогов выполнено для одного раунда шифрования. Дальнейшие исследования в области линейного анализа шифра «Магма» связаны с построением линейных статистических аналогов применительно к нескольким (трем и более) раундам алгоритма шифрования, а затем применение полученных данных к анализу полного шифра. При анализе полного шифра потребуется применение распределенных вычислений, что может быть сделано в соответствии с алгоритмами, приведенными в работе [5, с. 25].
Библиографические ссылки
1. Криптографическая защита информации. Блочные шифры [Электронный ресурс]. URL: https:// www.tc26.ru/standard/gost/GOST_R_3412-2015 .pdf (дата обращения: 10.08.2016).
2. Бабенко Л. К., Ищукова Е. А. Современные алгоритмы блочного шифрования и методы их анализа. М. : Гелиос АРТ, 2006. 376 с.
3. Бабенко Л. К., Ищукова Е. А., Сидоров И. Д. Параллельные алгоритмы для решения задач защиты информации. М. : Горячая линия-Телеком, 2014. 304 с.
4. Бабенко Л. К., Ищукова Е. А. Криптоанализ современных систем защиты информации Актуальные аспекты защиты информации : моногр. Т. : Изд-во ТТИ ЮФУ, 2011. С. 102-180.
5. Бабенко Л. К., Ищукова Е. А., Сидоров И. Д. Применение параллельных вычислений при решении задач защиты информации // Программные системы: теория и приложения. 2013. Т. 4, № 3-1 (17). С. 25-42.
References
1. Cryptographie protection of information. Block ciphers. URL: https://www.tc26.ru/standard/gost/GOST_ R_3412-2015.pdf.
2. Babenko L. K., Ishcukova E. A. Modern block encryption algorithms and methods of analysis // Moscow, "Helios ART", 2006. 376 p.
3. Babenko L. K., Ishcukova E. A., Sidorov I. D. Parallel algorithms for solving the problems of information security // M. : Hot line Telecom, 2014. 304 p.
4. Babenko L. K., Ishcukova E. A. Cryptanalysis of modern systems of information protection Actual aspects of information security : monogr. T. : Publishing house TSURE, 2011. P. 102-180.
5. Babenko L. K., Ishcukova E. A., Sidorov I. D. Application of parallel calculations in solving problems data protection // Software systems: theory and applications. 2013. T. 4. Vol. 3-1 (17). P. 25-42.
© Ищукова Е. А., Алексеев Д. М., 2016
УДК 004.056
ОБЕСПЕЧЕНИЕ НЕПРОТИВОРЕЧИВОСТИ РАСШИРЕННОЙ РОЛЕВОЙ МОДЕЛИ БЕЗОПАСНОСТИ НА ОСНОВЕ RBAC
Д. Д. Кононов
Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44 E-mail: [email protected]
Представлена разработка критериев непротиворечивости расширенной ролевой модели безопасности, ориентированной на использование в веб-приложениях. Показана актуальность обеспечения безопасности, перечислены классические модели безопасности, описана расширенная ролевая модель на основе RBAC. Для данной модели разработаны и описаны критерии непротиворечивости.
Ключевые слова: безопасность, ролевая модель, разграничение доступа.
CONSISTENCY OF EXTENDED ROLE-BASED SECURITY MODEL BASED ON RBAC
D. D. Kononov
Institute of Computational Modeling SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: [email protected]
This work describes consistency criteria of extended role-based security model for web applications. Author shows importance of web application security, lists classic security models, and describes extended role-based security model based on RBAC. For this security model, author creates and describes consistency criteria.
Keywords: security, role model, access control.
Современное развитие систем телекоммуникаций и веб-приложений поднимает вопросы безопасности, которые являются актуальными, а методы и средства защиты - востребованными. Обеспечение безопасности - комплексная задача, одной из составляющих которой является разграничение доступа на основе заданной политики безопасности. Важной частью политики безопасности является модель безопасности.
Целью данной работы является дальнейшее развитие модели безопасности, ориентированной на использование в веб-приложениях. В работе приведены критерии, обеспечивающие непротиворечивость этой модели безопасности.
В настоящее время основными моделями разграничения доступа являются дискреционная, мандатная, ролевая. Дискреционные модели безопасности