CC BY
82
X кодирование и передача информации X
УДК 519.688
применение модификации криптосистемы нидеррайтера для защиты информации при передаче видеоизображений
М. А. Самохина*,
ассистент, Московский физико-технический институт
Рассматривается построение модификации криптосистемы Нидеррайтера, основанной на матрице фробе-ниусовского вида, а также применение данной криптосистемы для передачи и защиты меняющихся изображений. Сделано заключение о криптостойкости системы.
Ключевые слова — криптосистемы с открытым ключом, линейные коды, ранговые коды, криптоанализ, теория информации, защита информации, помехоустойчивое кодирование.
Введение. Классическая криптосистема Нидеррайтера
В теории криптосистем с открытым ключом известны два основных типа систем, основанных на линейных кодах: система Мак Элиса (МсЕІісе) [1] и система Нидеррайтера [2]. В данной работе остановимся на криптосистемах, построенных на основе последней.
В качестве секретных ключей выбираются:
• проверочная матрица H = ], где і = 1,
2, ..., п, і = 0, 1, ..., г - 1, некоторого обобщенного кода Рида—Соломона над полем GF(q);
• случайно выбранная невырожденная скрем-блирующая матрица S порядка г над полем GF(q). Эта матрица вводится для того, чтобы скрыть от криптоаналитика видимые закономерности, разрушая структуру проверочной матрицы.
Открытым ключом является скремблирован-ная проверочная матрица Hcr = SH.
Сообщениями являются все п-векторы с координатами из поля GF(q) с весом, не превосходящим г/2. Здесь сообщения не являются кодовыми словами выбранного кода Рида—Соломона, а представляют собой всевозможные ошибки, которые этот код в состоянии исправлять.
* Научный руководитель — доктор техн. наук, профессор, заведующий кафедрой радиотехники Московского физико-технического института Э. М. Габи-дулин.
Шифротекст, соответствующий сообщению т, представляет собой г-вектор и вычисляется следующим образом:
С = шНтсг = тНт£Т.
Законный пользователь после приема шифро-текста с умножает его справа на матрицу а затем применяет известный лишь ему алгоритм быстрого декодирования и получает переданное сообщение т.
После официального представления данной классической схемы были предприняты неоднократные попытки ее вскрыть, которые увенчались успехом. В 1992 г. российскими криптоаналитиками Сидельниковым и Шестаковым была опубликована работа [3], где авторы описывали успешную атаку и приводили ее подробный алгоритм. Основная идея атаки состояла в раскрытии структуры закрытого ключа по открытому и подборе матриц Н и £ таких, что Н ст = £ Н.
Новая модификация криптосистемы Нидеррайтера
В настоящее время существует три основных подхода к модификации криптосистемы. Первый подход заключается в зашумлении проверочной матрицы кода введением скрывающей матрицы. Например, в работе [4] была предложена скрывающая матрица единичного ранга. В работе [5] использовались скрывающие матрицы ранга, значительно большего единицы. Второй
подход заключается в использовании различных метрик, отличных от классической хэмминговой метрики. Например, выбирается ранговая метрика (как в работе [6]) или вводится некая новая метрика. И третий вариант модифицирования классической криптосистемы Нидеррайтера — это построение кодов с набором специфических свойств. Рассмотрим вариант применения сразу трех способов модификаций.
Модификация на основе фробениусовской метрики. Новая нехэмминговая метрика данной модификации строится на немодифицированной матрице Фробениуса. Выбирается некоторая матрица F фробениусовского вида размером N х п с элементами из поля GF(qN):
F:
ЪЦ Ц
Ц2П—
п—1
h
N'
Ьч Ьч ■пыпы
Каждый элемент матрицы — элемент расширенного поля GF(qN). Элементы hv ^, ..., hN выбираются таким образом, чтобы они были линейно независимыми над базовым полем. Необходимо, чтобы ранг матрицы F не превосходил п и п < N. Обозначим ^1, (2, •••, ^ строки матрицы F. Норма любого ненулевого вектора x из пространства GF(qN)n определяется как минимальное число ненулевых коэффициентов а. в разложении:
х = ^ аіК
І=1
Для построения кода используется конкатенация матрицы F и некоторой матрицы Gk, имеющей такую же структуру, как и F:
Q
ц ц . 1 п—1 ^ .. ц 1 п—1
Ц2 ц . ..
п—1
цы1 ^ . л9 п—1
ё1 ё .. ё1 п—1
ё2 §2 .. §1_
п—1
,ёк §К . .. §К
О,
где
F
‘■ы1
1
га—1
ЦЛГ1
£1 §1„ ... ё! 1
§2 §2 ... §2 1 •
5
А §I ... 1,
N1 + К = N ^, gi — элементы поля GF(qN), линей-
но независимые в совокупности над базовым полем GF ^). Верхняя часть матрицы Q с элементами Щ используется для определения метрики, а нижняя часть с элементами §„ используется как порождающая матрица кода.
При шифровании открытого текста a = = (а1 а2 ... аЬ) из Ь информационных симво-
лов кодовый вектор вычисляется следующим образом:
У = а°к.
Вектор у можно представить в виде
У = («1 §1 + а2 §2 + ... + аъёъ — а1 §1 1 +
„п-1 „п-1 \
+ а 2 §2 + ... + ак§к ),
где число ненулевых коэффициентов а1 равно в. Пусть вектор у имеет в новой метрике норму, равную NF = т. Тогда у можно представить в виде
/ „п-1
У =(ьЩ1 + Ъ2 Щ2 + ... + ЪтЩт ••• Ъ1Щ1 +
+ Ъ 2Щ2 + ... + ЪтЩт )
Из полученных представлений вектора у следует, что в + т строк матрицы Q линейно зависимы. Учитывая, что в и т натуральные и в + т > п, то в + т > п +1 или NF > п - в + 1.
Минимальное расстояние линейного кода равно минимальному весу ненулевых кодовых слов, поэтому минимальное расстояние рассматриваемого кода не будет превосходить NF. Так как Ь > в, то dF > п - Ь + 1. Учитывая обобщенную границу Синглтона, можно записать равенство dF = п - Ь + 1.
Для удобства рассмотрения алогритма расшифрования шифротекст можно представить в виде суммы
с = g + е,
где g = ^ g2 ... gN1) — кодовый вектор, а e =
= (е1 е2 ... е^)— вектор ошибки.
Пусть норма строки ошибки в новой метрике равна I, тогда вектор e представляется в виде
е = т1Н1 + т2И2 + ... + тМ1 hNl,
причем
dH (т) = £.
Очень важно, что для кодов, описанных выше, существуют быстрые алгоритмы декодирования. При расшифровании легальный пользователь умножает полученный шифротекст ^ + e)S на S-1. Затем применяет алгоритм быстрого декодирования в новой метрике. В результате пользователь получит векторы g и e по отдельности. После применения алгоритма быстрого декодирования родительского кода легальный пользователь получит вектор т . Далее для получения открытого текста т остается умножить т на Р-1.
Криптоанализ новой модификации криптосистемы Нидеррайтера
После построения криптосистемы необходимо рассмотреть применимость к ней ранее известных атак. В случае, если атака применима, нужно вычислить ее трудоемкость и сравнить с трудоемкостью атак на криптосистемы, признанные мировым сообществом стойкими на данный момент. По результатам сравнения можно сделать вывод о стойкости самой криптосистемы.
Можно выделить два основных вида атак, применимых к рассматриваемой криптосистеме, — прямые и структурные. Под прямыми атаками понимаются перебор по искусственным ошибкам, перебор по сообщениям, декодирование опубликованного кода как случайного. Структурные атаки — это различные модификации атаки Гибсона, адаптированные к изменениям в криптосистеме, а также вариант атаки Сидельникова—Шестако-ва. При оценке трудоемкости каждой из атак необходимо учитывать размер открытого ключа.
Криптоанализ рассматриваемой криптосистемы можно свести к двум основным этапам:
1) нахождение вектора-ошибки, который необходим для исправления ошибки в новой метрике;
2) вычисление открытого текста по синдрому.
Что касается первого пункта, то для него необходимо выполнить ряд трудоемких операций. Второй этап менее ресурсоемкий и частично реализован на примере атаки Сидельникова—Ше-стакова, тем не менее, вторая часть атаки бессмысленна без прохождения первого этапа.
Декодирование случайного кода в ранговой метрике сводится к решению параметрической системы квадратных уравнений в базовом поле [7]. Подход к решению такой системы включает в себя перебор по некоторым переменным полученной системы.
Таким образом построена атака на модификацию криптосистемы Нидеррайтера, основанную на фробениусовской метрике [8]. Общая трудоемкость наиболее сложной части процесса декодирования составляет порядка O((Nr)3q(r-1)(k+1)2). Количество неизвестных в решаемой системе ра-
вно (Ь + т + 1) + N(r - 1). Таким образом, чтобы система была разрешима, необходимо, чтобы (Ь + + т + 1) + Щ(г - 1) < mN. Например, для (24, 12)-кода над полем GF(212), который может исправлять ошибки ранга вплоть до 3, сложность декодирования составит 252.
Опираясь на результаты проведенного криптоанализа, можно выделить основные условия для параметров криптосистемы, основанной на матрице Фробениуса, так, чтобы она могла считаться стойкой. При выборе (48, 24)-кода над полем GF(216) размер открытого ключа будет составлять
1 Кбит, а вычислительная сложность приведенной атаки составит порядка 2140. Из данного примера видно, что для ключа в 1 Кбит (сегодня такой размер ключа используется во многих стандартных асимметричных криптосистемах) количество операций рассматриваемой структурной атаки велико. Таким образом, структурные атаки, даже специально модифицированные под криптосистему, основанную на фробениусовской метрике, нельзя назвать успешными.
Применение новой криптосистемы в качестве системы совместного исправления ошибок и защиты от несанкционированного доступа
Рассмотрим применение предлагаемой модификации криптосистемы Нидеррайтера в качестве системы совместного исправления ошибок и защиты от несанкционированного доступа. За счет того, что в криптосистеме используются коды, которые успешно применяются в помехоустойчивом кодировании, система может быть использована и как система, исправляющая ошибки канала.
Предположим, что при передаче зашифрованного сообщения в криптосистеме возникают различного рода помехи, что приводит к искажению кодового слова. В случае, когда присутствует ошибка канала ~, совпадающая с одним из базисных векторов, она имеет в новой метрике норму, равную 1. Если искусственная ошибка e имеет норму t = ^ - 3)/2, тогда система может исправлять также и ошибки канала.
Чтобы гарантировать коррекцию ошибок канала, необходимо наложить дополнительные ограничения на выбор матриц в модуле инициализации. Для исправления ошибок канала в любом случае мы должны иметь представление о характере ошибок. Необходимо собрать статистику и, предварительно проанализировав ее, сделать вывод о характере ошибок и модификации криптосистемы в целях их исправления. В базовом поле шифротекст представляет собой матрицу с элементами из GF(q)
C =
ll ln
LN1 ••• Nn)
Элементы матрицы C имеют вид
c
= I sij (gluli + • • • + gkuki + hi)+•
sjj (gqJ 1 uu + •+gk 1 uki + 1)] mj
Пусть приемник получил шифротекст, искаженный ошибкой, в виде g + e + ~. В таких случаях, для того чтобы гарантировать коррекцию ошибок канала, необходимо наложить дополнительные ограничения на выбор матрицы Q. В работе [9] подробно рассматриваются такие ограничения и их зависимость от вида ошибки канала. Дополнительные ограничения на выбор матрицы Q приводят к ухудшению криптосистемы с точки зрения ее криптостойкости, для увеличения стойкости системы в этом случае следует увеличивать размер ключа.
Применение криптосистемы для передачи и защиты меняющихся изображений
Новая модификация криптосистемы Ни-деррайтера была предложена как часть новой системы с открытым ключом для передачи и защиты меняющихся изображений. При исследовании системы проводилось моделирование самой новой криптосистемы, системы сжатия видеоизображений и моделирование каналов с различного рода помехами. Автором данной статьи проводилось моделирование алгоритмов шифрования (и расшифрования) и согласование параметров системы в соответствии с существующими стандартами. Результаты исследования алгоритмов новой криптосистемы представлены на следующих графиках. На рис. 1 показана зависимость скорости шифрования от размера ключа криптосистемы для модифицированной системы Нидеррайтера, основанной на матрице Фробени-уса, и криптосистемы RSA при размере ключа 512 бит в нешумящем канале. Из графика видно, что предлагаемая криптосистема оказывается быстрее, чем криптосистема RSA.
Значение поддерживаемой частоты для RSA в 2 раза ниже, чем аналогичное у предлагаемой новой криптосистемы. Такое сравнение не совсем корректно для шумящего канала, так как для использования RSA в шумящем канале необходимо производить кодирование с вероятностью ошибки в бите не более 10-8. Это дополнительное ограничение на использование криптосистемы RSA, которое невозможно реализовать в случае канала с шумами, что приводит к дополнитель-
6000
и
400 800 1200 1600 2000
Размер ключа, бит
■ Рис. 1. Зависимость скорости шифрования от размера ключа криптосистемы: 1 — модификация криптосистемы Нидеррайтера; 2 — RSA
ным трудностям. Для их решения необходимы слишком ресурсоемкие затраты, такие как применение в дополнение к криптосистеме системы помехоустойчивого кодирования. В результате, кроме превосходства по скоростям, использование предлагаемой модификации криптосистемы Нидеррайтера не требует дополнительных затрат как для разработки программного комплекса, так и для увеличения вычислительных мощностей используемого аппаратного комплекса.
При различных параметрах криптосистемы ее стойкость будет варьироваться в зависимости от поддерживаемой частоты смены видеокадров. На рис. 2 представлен график такой зависимости в нешумящем канале при размере кадров, соответствующих возможностям сотового телефона SonyEricsson W900. Размер кадра при использовании современных методов сжатия составляет в среднем 12 Кбит (240 х 320 пикселей). Для ча-
Поддерживаемая частота смены изображений, кадров/с
■ Рис. 2. Зависимость стойкости от поддерживаемой частоты смены кадров
Размер ключа, бит
■ Рис. 3. Зависимость частоты смены кадров от размера ключа: 1 — HDTV; 2 — видео стандартной четкости, SD; 3 — NTSC (National Television Standards Committee); 4 — сотовый телефон Nokia E66; 5 — сотовый телефон SonyEricsson W900
стоты 25 кадров стойкость криптосистемы остается настолько высокой, что потери стойкости для исправления ошибок канала несущественны.
Далее рассмотрим результаты моделирования для размеров кадров, соответствующих различным стандартам. Графики зависимости поддерживаемой частоты смены кадров от размера ключа при различных размерах кадров при использовании модификации криптосистемы Нидеррай-тера представлены на рис. 3.
Приведены средние значения размеров кадров для рассматриваемых стандартов и часто применяемых устройств, пиксель:
HDTV............................... 1920 х 1080
Видео стандартной четкости, SD..... 720 х 576
NTSC .............................. 648 х 486
Сотовый телефон Nokia E66.......... 640 х 480
Сотовый телефон SonyEricsson W990__ 240 х 320
В случае передачи видеоизображения повышенного качества HDTV частота смены изображений, поддерживаемой системой, заметно сокращается. Однако для видео стандартной четкости SD соответствующая этому стандарту частота в 25 кадров поддерживается и для канала с шумом.
Скорость шифрования в системе можно заметно увеличить, осуществляя шифрование изображения с помощью более производительных симметричных алгоритмов, а шифрование сеансового ключа осуществлять уже при помощи предлагаемой системы. Но такая модификация может быть применена только для случая канала без шума.
■ Рис. 4. Зависимость частоты смены кадров от размера кадра: 1 — AES, теоретически возможный предел; 2 — AES
Например, при использовании в качестве симметричного алгоритма AES или ГОСТ 28147-89 при выборе соответствующих параметров асимметричной криптосистемы можно уже гарантировать передачу изображения в формате стандарта HDTV.
Графики зависимости поддерживаемой частоты смены кадров от размера кадров при использовании симметричного алгоритма AES256 и новой модификации криптосистемы Нидеррайтера представлены на рис. 4. Размер сеансового ключа составляет 256 бит, размер открытого ключа системы — 512 бит.
Из графика видно, что даже при стандартной реализации AES без ускорений (линия 2), поддерживаемая частота смены изображений возрастает в 10 раз.
Литература
1. McElice R. J. A Public Key Cryptosystem Based on Algebraic Coding Theory // DSN Progress Report 42-44. Pasadena, CA: Jet Propulsion Lab, 1978. P. 114-116.
2. Niederreiter H. Knapsack-Type Cryptosystem and Algebraic Coding Theory // Problem Control and Information Theory. 1986. Vol. 15. P. 19-34.
3. Сидельников В. М., Шестаков С. О. О системе шифрования, основанной на обобщенных кодах Рида— Соломона // Дискретная математика. 1992. Т. 3. Вып. 3.
4. Gabidulin E., Ourivski A., Pavlouchkov V. On the
modified Niederreiter cryptosystem // Information Theory and Networking Workshop. Metsovo, Greece, 1999. P. 50.
5. Габидулин Э. М., Обернихин В. А. Коды в F-метрике Вандермонда и их применение. Долгопрудный: МФТИ, 2005.
6. Габидулин Э. М. Теория кодов с максимальным ранговым расстоянием // Проблемы передачи информации. Т. XXI. Вып. 1. 1985.
7. Уривский А. В., Йоханссон Т. Новые способы декодирования кодов в ранговой метрике и их криптографические приложения // Проблемы передачи информации. 2002. Т. 38. Вып. 3. С. 83-93.
8. Самохина М. А. Криптоанализ систем, основанных на линейных кодах // Проблемы информационной безопасности. Компьютерные системы. 2008. Вып. 2. С. 94-103.
9. Самохина М. А. Применение модификаций криптосистем Нидеррайтера в системах исправления ошибок и защиты от несанкционированного доступа // Моделирование и обработка информации: Сб. науч. тр. 2008. С. 127-136.
уважаемые авторы журнала
При подготовке рукописей статей редакция просит Вас руководствоваться следующими рекомендациями.
Объем статьи (текст, таблицы, иллюстрации и библиография) не должен превышать эквивалента в 16 страниц, напечатанных на бумаге формата А4 на одной стороне через 1,5 интервала в Word шрифтом Times New Roman размером 1З.
Обязательными элементами оформления статьи являются: индекс УДК, инициалы и фамилия автора (авторов), ученая степень, звание, полное название организации; заглавие, аннотация (5-7 строк) и ключевые слова на русском и английском языках.
Формулы набирайте в Word, при необходимости можно использовать формульный редактор; для набора одной формулы не используйте два редактора; при наборе формул в формульном редакторе знаки препинания, ограничивающие формулу, набирайте вместе с формулой; для установки размера шрифта никогда не пользуйтесь вкладкой Other..., используйте вкладку Define; в формулах не отделяйте пробелами знаки: + = -.
При наборе символов в тексте помните, что символы, обозначаемые латинскими буквами, набираются светлым курсивом, русскими и греческими — светлым прямым, векторы и матрицы — прямым полужирным шрифтом.
Иллюстрации в текст не заверстываются и предоставляются отдельными исходными файлами, поддающимися редактированию:
— рисунки, графики, диаграммы, блок-схемы изготавливаются в векторных программах: Visio 4, 5, 2002-200З (*.vsd); Coreldraw (*.cdr); Excel; Word; Adobelllustrator; AutoCad (*.dxf); Компас; Matlab (экспорт в формат *.ai);
— фото и растровые — в формате *.tif, *.png с максимальным разрешением (не менее З00 pixels/inch).
Наличие подрисуночных подписей обязательно (желательно не повторяющих дословно комментарии к рисункам в тексте статьи).
В редакцию предоставляются:
— сведения об авторе (фамилия, имя, отчество, место работы, должность, ученое звание, учебное заведение и год его окончания, ученая степень и год защиты диссертации, область научных интересов, количество научных публикаций, домашний и служебный адреса и телефоны, факс, e-mail), фото авторов: анфас, в темной одежде на белом фоне, должны быть видны плечи и грудь, высокая степень четкости изображения без теней и отблесков на лице, фото можно представить в электронном виде в формате *.tif, *.png с максимальным разрешением — не менее З00 pixels/inch при минимальном размере фото 40 х 55 мм;
— экспертное заключение.
Список литературы составляется по порядку ссылок в тексте и оформляется следующим образом:
— для книг и сборников — фамилия и инициалы авторов, полное название книги (сборника), город, издательство, год, общее количество страниц;
— для журнальных статей — фамилия и инициалы авторов, полное название статьи, название журнала, год издания, номер журнала, номера страниц;
— ссылки на иностранную литературу следует давать на языке оригинала без сокращений;
— при использовании web-материалов указывайте адрес сайта.
