Научная статья на тему 'Протокол стойкого шифрования по разделяемому ключу малого размера в группе точек эллиптической кривой'

Протокол стойкого шифрования по разделяемому ключу малого размера в группе точек эллиптической кривой Текст научной статьи по специальности «Математика»

CC BY
332
96
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПРОТОКОЛ СТОЙКОГО ШИФРОВАНИЯ / КЛЮЧ МАЛОГО РАЗМЕРА / КОММУТАТИВНЫЙ ШИФР / ЗАДАЧА ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ / ЭЛЛИПТИЧЕСКАЯ КРИВАЯ / SECURE ENCRYPTION PROTOCOL / SMALL-SIZE KEY / COMMUTA-TIVE ENCRYPTION / DISCRETE LOGARITHM PROBLEM / ELLIPTIC CURVE

Аннотация научной статьи по математике, автор научной работы — Рыжков А. В.

Для гарантированной защиты информации, пе-редаваемой по открытым каналам, в условиях ограниченности ключевого материала недавно был предложен протокол на осно-ве объединения процедур бесключевого (коммутативного) шиф-рования и шифрования по секретному ключу малого размера (до 56 бит). С целью повышения производительности процедур коммутативного шифрования представляет интерес реализация указанного протокола в группе точек эллиптической кривой (ЭК). В статье с учетом особенностей использования ЭК пред-ставлены два варианта протокола. В первом варианте механизм аутентификации из исходного протокола переносится без из-менений, что накладывает ограничение на повторное исполь-зование секретного ключа малого размера. Во втором варианте предлагается новый механизм аутентификации, позволяющий снять указанное ограничение.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Рыжков А. В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Protocol for Secure Encryption with Using Small-size Key Based on Elliptic Curve

For guaranteed protection of the data, which is trans-mitted over open channels, in condition of limited keying material recently the protocol was proposed based on combining the key-less procedures (commutative encryption) and the private small-size key (56 bits) encryption. In order to improve the commutative encryption performance is of interest to implement the protocol based on elliptic curve (EC). In the article, regarding to the use of EC, two variations for the base protocol was proposed. In the first one the authentication mechanism is transferred from the original protocol unchanged, which imposes a restriction on reuse small se-cret key. In the second case the new authentication mechanism was proposed to remove this restriction

Текст научной работы на тему «Протокол стойкого шифрования по разделяемому ключу малого размера в группе точек эллиптической кривой»

Протокол стойкого шифрования по разделяемому ключу малого размера в группе точек эллиптической кривой

Рыжков А. В.

Санкт-Петербургский государственный электротехнический университет «ЛЭТИ»

Санкт-Петербург, Россия Ryzhkov.alex@gmail.com

Аннотация. Для гарантированной защиты информации, передаваемой по открытым каналам, в условиях ограниченности ключевого материала недавно был предложен протокол на основе объединения процедур бесключевого (коммутативного) шифрования и шифрования по секретному ключу малого размера (до 56 бит). С целью повышения производительности процедур коммутативного шифрования представляет интерес реализация указанного протокола в группе точек эллиптической кривой (ЭК). В статье с учетом особенностей использования ЭК представлены два варианта протокола. В первом варианте механизм аутентификации из исходного протокола переносится без изменений, что накладывает ограничение на повторное использование секретного ключа малого размера. Во втором варианте предлагается новый механизм аутентификации, позволяющий снять указанное ограничение.

Ключевые слова: протокол стойкого шифрования, ключ малого размера, коммутативный шифр, задача дискретного логарифмирования, эллиптическая кривая.

Введение

Если необходимо передать конфиденциальные сообщения по открытым каналам при наличии у отправителя и получателя общего секретного ключа малого размера (например, 32, 40 или 56 бит), то непосредственное шифрование сообщений по разделяемому ключу небезопасно, поскольку, перехватив криптограмму, нарушитель имеет практическую возможность подобрать ключ путем перебора по ключевому пространству. Однако ключ такого размера находит интересное применение в протоколах, включающих использование симметричной и ассиметричной криптографии.

Недавно был предложен протокол стойкого шифрования по ключу малого размера (ПМК) путем вовлечения в процесс шифрования на ключе малого размера процедур коммутативного криптографического преобразования, не требующего использования разделяемых секретных ключей [1-4]. Последние относятся к так называемым процедурам бесключевого шифрования [5], недостатком которых является то, что требуется обеспечить возможность аутентификации передаваемых сообщений. Таким образом, коммутативное шифрование обеспечивает заданный уровень стойкости путем выбора соответствующих параметров бесключевого шифрования, а малый ключ используется в механизме аутентификации передаваемых сообщений. Существующие ПМК основываются на вычислительной сложности задачи дискретного логарифмирования по простому модулю, имею-

щей субэкспоненциальную сложность [1, 2]. Для повышения производительности процедур коммутативного шифрования можно реализовать ПМК в группе точек эллиптической кривой (ЭК), заданной над конечным полем, так как при правильном выборе ЭК обеспечивается экспоненциальная стойкость [6, 7], что позволяет существенно уменьшить размер чисел, над которыми выполняются операции умножения по модулю, за счет чего повышается производительность алгоритмов шифрования.

Статья построена следующим образом. В первой части рассматривается протокол бесключевого шифрования как базовый элемент дальнейшего построения ПМК, а также особенности построения в группе точек ЭК и применения ключа малого размера при таком построении. Во второй части предлагается базовая реализация ПМК в группе точек ЭК (ПМК1) с использованием механизма аутентификации из исходного протокола, что в случае реализации на основе ЭК накладывает ограничение на повторное использование секретного ключа малого размера. Далее предлагается возможная модификация протокола (ПМК2) с целью снятия указанного ограничения.

Протокол бесключевого шифрования

Наиболее яркий пример решения задачи защищённой передачи информации без предварительной договорённости о ключе/обмена ключами - трехпроходной протокол Шами-ра [3, с. 516], который позволяет передать секретное сообщение по открытому каналу (защищая информацию от несанкционированного доступа со стороны пассивного нарушителя) без использования отправителем и получателем общих (разделяемых) секретных ключей или выработки общего ключа. С учетом последнего данный протокол может быть назван протоколом бесключевого шифрования. Протоколы данного типа основаны на использовании стойкого алгоритма коммутативного шифрования (АКШ) - алгоритма шифрования Ек сообщения Мпо ключу к, для которого выполняется условие коммутативности ЕК^ (Ек (М)) = Ек (Ек (М)).

- процедура расшифровки на ключе к в алгоритме Ек, параметры А и В являются секретными ключами отправителя и получателя, соответственно. Схема протокола в общем описывается следующим образом:

1) отправитель сообщения М шифрует М по своему секретному ключу А, получает шифротекст С = ЕЛ (М) и посылает С1 по открытому каналу получателю;

2) получатель зашифровывает шифротекст С1 по своему секретному ключу В, получает шифротекст С2 = ЕВ(С1) = = Ев (Ел (М)) и посылает С2 отправителю;

3) отправитель, используя процедуру расшифровки Б по своему секретному ключу А, преобразует сообщение С2, получает шифротекст С3 = Ба (С2) = Ев (М) и посылает С3 получателю сообщения М;

4) получатель из полученного шифротекста С3 восстанавливает сообщение М по формуле М = Бв (Ев (М)).

Используемые в этом протоколе локальные (неразделяемые) ключи А и В выбираются каждой стороной независимо, причём передаваемое сообщение может разбиваться на множество блоков, каждый из которых может преобразовываться с использованием разных пар локальных ключей. Заметим, что на третьем шаге протокола отправитель передаёт шифротекст С3 - сообщение М, зашифрованное на ключе получателя, - но в то же время отправитель не знает ключа получателя. Получение такого шифротекста обеспечивается свойством коммутативности: БА (С2) = БА (Ев (ЕА (М))) = = Ба (Еа (Ев (М)) = Ев (М).

В качестве коммутативной функции шифрования А. Ша-мир и - независимо - Дж. Омура предложили возведение в степень по простому модулюр [8]. Также известна аналогичная схема при реализации коммутативной функции как возведение в степень по модулю неприводимого многочлена в поле двоичных многочленов - схема шифрования Мес-си - Омуры [9]. В последнем случае возможно построение «идеального» коммутативного шифра в конечных полях двоичных многочленов, степени которых являются простыми числами Мерсенна [10, 11], т. е. шифра, свободного от «слабых» сообщений, шифрование которых дало бы возможность потенциальному нарушителю вычислить часть секретного ключа.

Приведённая схема бесключевого шифрования представляет практический интерес, как и схема открытого распределения ключей Диффи - Хеллмана, позволяя двум сторонам, не разделяющим общий секрет, конфиденциально обменяться информацией по незащищённому каналу. В то же время практическое значение протокола бесключевого шифрования ограничено тем, что он не обеспечивает стойкости к атакам активного нарушителя, который может выдавать себя за отправителя или получателя сообщения (уязвим к атаке «человек посередине»).

В ПМК упомянутый недостаток устраняется за счет использования механизма аутентификации передаваемых сообщений посредством шифрования передаваемых криптограмм симметричным алгоритмом на разделяемом ключе малого размера, благодаря чему потенциальный нарушитель не имеет возможности выдать себя за легального отправителя или получателя сообщения и найти значение секретного ключа методом угадывания или полного перебора. В качестве коммутативной функции в исходной работе [1, 2] использовано возведение по простому модулю р, т. е. задача дискретного логарифмирования в конечном простом поле, имеющая субэкспоненциальную сложность. При таком подходе каждое сообщение, кроме сообщения, представляющего нулевую битовую цепочку, интерпретируется ненулевым элементом поля. Однако для задания высокой стойкости АКШ требуется использовать поля, порядок которых выражается простым числом или степенью простого числа размером не менее 1024 бит, что существенно ограничивает

производительность АКШ. При этом увеличение быстродействия АКШ путем выбора в качестве модуля простого числа р специального вида связано также со следующим ограничением: в разложении числар - 1 будут содержаться делители сравнительно малого размера, которые определяют наличие «слабых» значений сообщения. При использовании ЭК возможны существенное уменьшение размера чисел, над которыми выполняются операции умножения по модулю, а также выбор специальной структуры модуля р без того, чтобы это приводило к появлению «слабых» сообщений.

Особенности построения протокола в группе точек ЭК

Построение протоколов шифрования с использованием групп рациональных точек ЭК для выполнения процедур шифрования представляет интерес в связи с тем, что при правильном выборе ЭК обеспечивается экспоненциальная стойкость [6, 7], что позволяет существенно уменьшить размер чисел, над которыми выполняются операции умножения по модулю, за счет чего повышается производительность алгоритмов шифрования.

Обычно предполагается, что входное сообщение, предназначенное для шифрования, не должно иметь ограничений, кроме как ограничений на длину шифруемых блоков или на максимально допустимое значение при его интерпретации как двоичного числа. Это связано с тем, что в реальных ситуациях может понадобиться шифрование разных сообщений.

Данное требование трудно реализовать при разработке коммутативных шифров с использованием ЭК, заданных над конечными полями, поскольку координаты точек ЭК должны удовлетворять некоторому уравнению третьей степени, а значит, не все пары значений соответствуют точкам ЭК. Синтез АКШ с использованием вычислений на ЭК требует решения задачи кодирования сообщений точками ЭК.

Один из подходов к решению этой задачи предложил Н. Коблиц: «встраивать» сообщения в точку ЭК (вероятностное кодирование сообщения точкой ЭК), набросок алгоритма можно найти в [7, с. 202]. Для построения АКШ в группе точек ЭК на основе способа вероятностного кодирования сообщения точкой ЭК сообщение дополняется случайными битами (размещение и количество которых заранее оговаривается) так, что получаемые значения являются абсциссами точек ЭК. Задаваемые таким образом точки далее используются в коммутативных преобразованиях. Сообщение из точки ЭК декодируется простым отбрасыванием числа добавленных при кодировании бит. Важным элементом при построении алгоритма вероятностного кодирования сообщения точкой ЭК является выбор достаточной длины присоединяемой битовой последовательности для обеспечения пренебрежимо малой вероятности следующих событий:

• невозможно найти кодирующую точку для случайного сообщения;

• существует хотя бы одного сообщение заданной длины, которое невозможно закодировать точкой ЭК.

В [12, 13] показано, что для различных значений порядка простого и конечного двоичного поля, над которым задана ЭК, достаточным является увеличение сообщения не более чем на 5 %.

Другим вариантом решения задачи отображения сообщения в точку ЭК является способ «расщепления» сообщения

[13]: оно представляется по достаточно простой формуле парой из двух значений, одно из которых - абсцисса случайно выбранной точки ЭК, второе - значение случайного вида, необходимое для восстановления исходного сообщения из точки ЭК. При «расщеплении» сообщения размер шиф-ротекста вдвое превышает размер исходного сообщения: сообщение m представляется парой значений (C, Mx), где C - значение произвольного вида, а M - значение абсциссы точки ЭК. При этом сам процесс кодирования сообщения точкой ЭК всегда выполняется за одну итерацию по простой формуле расщепления, например C = M + Kx mod p в случае задания ЭК над полем GF(p). Задаваемые таким образом точки далее используются в коммутативных преобразованиях. Сообщение из точки ЭК декодируется по формуле, соответствующей использованной для расщепления, в данном примере - m = C - Kx mod p.

Можно объединить два указанных способа - вероятностного кодирования и «расщепления» - в общий алгоритм, чтобы уменьшить среднее превышение размера шифротекста над исходным сообщением (до 3 %) и гарантированно представить любое сообщение точкой ЭК [13].

Указанные алгоритмы универсальны, т. е. не накладывают ограничений на шифруемые сообщения. В предлагаемых в настоящей работе протоколах можно применить любой алгоритм отображения сообщения в точку ЭК.

Особенности применения

разделяемого ключа малого размера при построении в группе точек ЭК

Стандартные протоколы симметричного шифрования гарантируют стойкость при использовании ключей достаточно большого размера, например 128 или 256 бит, использование ключа малого размера (30-50 бит) небезопасно, так как при перехвате криптограммы практически можно найти ключ путём перебора по ключевому пространству. Может показаться парадоксальным, что ключи такого размера находят применение для построения протоколов стойкого шифрования. Идея такого построения заключена в комбинировании алгоритмов асимметричной и симметричной криптографии, малый ключ используется не напрямую для шифрования, а для процедур аутентификации сторон протокола, причём обеспечивается неразрывность процедур шифрования и аутентификации.

Применение разделяемого секретного ключа в процедурах аутентификации сообщений принципиально отличается от их применения в процедурах шифрования сообщений. Это отличие состоит в том, что в последнем случае у потенциального атакующего имеется возможность многократно опробовать разные значения ключа (атака по словарю), пока не будет найден секретный ключ, который использовался для шифрования, тогда как в первом случае имеется возможность только однократной попытки угадать секретный ключ и навязать легальному пользователю ложное сообщение. Вероятность такого обмана достаточно мала даже в случае использования коротких разделяемых ключей и составляет 2-к, где k - длина ключа в битах.

Впервые такое применение малого ключа (пароля) было предложено С. Беловином и М. Мерритом: так была обозначена новая группа протоколов обмена зашифрованными ключами (EKE - encrypted key exchange), в которых общий

секретный ключ используется для шифрования генерированного случайным образом открытого ключа [14]. В работе приводятся примеры использования указанного подхода с разными системами асимметричного шифрования.

Необходимым условием многократного использования одного и того же секретного ключа малого размера в исходном ПМК и в EKE [14] является псевдослучайность (вычислительная неотличимость от случайных значений) передаваемых шифротекстов, что предотвращает получение атакующим данных, использование которых позволяет многократно проверить предполагаемые значения разделяемого секретного ключа. Действительно, шифрование данных такого типа приводит к получению криптограмм, по которым определить короткий ключ шифрования методом перебора по пространству возможных ключей не представляется возможным, поскольку каждый испытываемый ключ приведет к восстановлению из криптограммы некоторого случайного (псевдослучайного) исходного текста. Для атакующего каждое допустимое значение ключа является равноправным, т. е. у него нет вычислительно эффективного критерия отбраковки неверных значений ключа.

Данное требование трудно реализовать при разработке ПМК с использованием ЭК, заданных над конечными полями, поскольку координаты точек ЭК, представляющие шиф-ротексты, должны удовлетворять некоторому уравнению третьей степени (уравнению ЭК), т. е. обладать вычислительной неотличимостью от случайных значений. В результате критерий принадлежности точки используемой эллиптической кривой может быть использован злоумышленником для отбраковки неверных значений ключа при атаке полного перебора.

Один из возможных подходов к решению этой задачи -использование разделяемого малого ключа шифрования K таким образом, чтобы у злоумышленника не было критерия для отбраковки неверных значений ключа при атаке полного перебора по ключевому пространству ключа K, для чего необходимо, чтобы:

• либо сообщение до шифрования на малом ключе K было вычислительно неотличимо от случайной последовательности (а не ограничивалось множеством точек ЭК) -детальное рассмотрение этого вопроса представляет собой тему отдельной работы;

• либо само шифрование на малом ключе K оперировало только множеством точек ЭК, т. е. и при шифровании, и при дешифровании результат являлся точкой ЭК. Реализация данного подхода для стандартных алгоритмов симметричного шифрования неочевидна, однако он может быть выполнен на основе вычислений в группе точек ЭК, что показано в предлагаемом далее протоколе (ПМК2).

Базовая схема протокола стойкого шифрования на эллиптической кривой (ПМК1)

Пусть дана ЭК E над полем GF(p), порядок которой #E = Q делится на большой простой делитель q (разрядностью не менее 160 бит) или равен большому простому числу. Ключи АКШ генерируется обеими сторонами в виде двух взаимно обратных по модулю Q. чисел e и d = e_1 mod Q. Ключ K есть разделяемый отправителем и получателем ключ малого размера для его использования в алгоритме симметричного шифрования (АСШ) G, например [15].

Передача сообщения т выполняется по следующему алгоритму.

1. Отправитель:

• кодирует передаваемое сообщение т точкой ЭК, например методом вероятностного кодирования М = Рг (т);

• зашифровывает полученную точку М на своём ключе е1 АКШ по формуле С1 = Ме1;

• зашифровывает полученное значение С1 на общем ключе К АСШ О по формуле С; = Ок (С1) = Ок (Ме1);

• пересылает полученное значение получателю.

2. Получатель:

• расшифровывает переданное значение общим ключом К АСШ: С1 = Ок_1(С1');

• умножает полученное значение на свой ключ е2 АКШ: С2 = С1е2;

• зашифровывает полученное значение на общем ключе К АСШ: С2 = Ок (С2) = Ок (Се) = Ок (Мее);

• пересылает полученное значение С2 отправителю.

3. Отправитель:

• расшифровывает переданное значение общим ключом К АСШ: С2 = Ок_1(С2);

• умножает полученное сообщение на свой ключ расшифрования й1 АКШ: С3 = С2Й = Ме1е2 й = Ме2;

• зашифровывает полученное значение на общем ключе К АСШ: С3 = Ок (Ме2);

• пересылает полученное значение С3' получателю.

4. Получатель:

• расшифровывает переданное значение общим ключом К АСШ: С3 = Ок_1(С3) = Ме2;

• получает значение точки ЭК М умножением на свой ключ расшифрования й2 АКШ: М = С3ЙЙ2 = Мег й^;

• восстанавливает исходное сообщение т из полученной точки ЭК М декодированием по алгоритму вероятностного кодирования т = Рг- (М).

Итоговая схема протокола приведена на рис. 1.

Стойкость ПМК определяется стойкостью используемого алгоритма коммутативного шифрования. Разделяемый секретный ключ К служит для того, чтобы предотвратить атаки активного нарушителя, в которых нарушитель выдаёт себя за легального отправителя или получателя. Это достигается путем шифрования на малом ключе К с использованием алгоритма симметричного шифрования точек ЭК, получаемых при процедурах коммутативного шифрования. В то же время такое использование симметричного шифрования предоставляет злоумышленнику критерий для отбраковки неверных значений ключа К при атаке полного перебора по ключевому пространству на основе перехваченных шиф-ротекстов, а именно: передаваемое сообщение до шифрования секретным ключом К малого размера соответствовало абсциссе точки ЭК. При разработке способа вероятностного кодирования было показано [12], что случайное значение является абсциссой точки ЭК с вероятностью 0,5, что позволяет злоумышленнику методом перебора по пространству возможных ключей и проверкой полученного значения на соответствие точке ЭК уменьшать множество возможных значений ключа в два раза на каждом перехваченном шифро-тексте [16]. Таким образом, для нахождения значения ключа в среднем необходимо число перехваченных шифротекстов, равное битовой длине ключа.

Попытки модификации протокола - путем использования дополнительного разового ключа Я для шифрования передаваемых на шагах протокола сообщений вместо малого ключа К, а также схемы на основе иммитовставок из исходной работы [1] - не устранили указанный недостаток. В первом случае это обусловлено тем, что утечка информации о разовом ключе Я приводила к утечке информации о ключе К, во втором случае - необходимостью однократного шифрования точки ЭК на коротком ключе К.

Рис. 1. Базовый вариант протокола стойкого шифрования по разделяемому ключу малого размера в группе точек ЭК

С учетом указанного недостатка предложенный протокол (ПМК1) исключает повторное использование общего ключа малого размера, но при его разовом использовании позволяет гарантированно защищенно передать сообщение. Чтобы устранить указанный недостаток, предлагается новый механизм аутентификации передаваемых шифротекстов, в котором симметричное шифрование заменено на операции в группе точек ЭК и протокол на его основе (ПМК2).

Протокол защищенной передачи информации

с разделяемым ключом малого размера, отличающийся новым механизмом аутентификации (ПМК2)

В основе данной вариации лежит идея использования разделяемого ключа шифрования K таким образом, чтобы у злоумышленника не было критерия для отбраковки неверных значений ключа при атаке полного перебора по ключевому пространству ключа K, для чего необходимо, чтобы само шифрование на малом ключе K оперировало только множеством точек ЭК, т. е. и при шифровании, и при расшифровании результат являлся точкой ЭК. Реализация данного подхода для алгоритмов симметричного шифрования неочевидна, предлагается использовать разделяемый ключ шифрования K для формирования секретной последовательности R («гаммы»), накладываемой на передаваемые шифротексты таким образом, чтобы все передаваемые на шагах протокола шифротексты также являлись точками ЭК. Результат сложения двух точек ЭК является также точкой ЭК, соответственно, необходимо, чтобы R также являлось точкой ЭК, получаемой, например, путем домножения специфицируемой точки G на значение малого разделяемого ключа K. При таком подходе следует учитывать, что при получении злоумышленником значения «гаммы» R = GK для восстановления значения K он вместо решения вычислительно сложной задачи дискретного логарифмирования на ЭК может осуществить атаку полного перебора по ключевому пространству, соответственно, злоумышленник не должен получить значение R.

Пусть дана ЭК E над полем GF(p), порядок которой #E = О делится на большой простой делитель q (разрядностью не менее 160 бит) или равен большому простому числу. Ключи АКШ генерируется обеими сторонами в виде двух взаимно обратных по модулю О чисел e и d = e- modQ. Точка G есть случайно выбранная специфицируемая точка большого порядка. Ключ K есть разделяемый отправителем и получателем ключ малого размера для создания добавляемой к передаваемым на шагах протокола шифротекстам последовательности (точки) R путем умножения на специфицированную точку G : R = GK. Передача сообщения m выполняется по следующему алгоритму.

1. Отправитель:

• кодирует передаваемое сообщение m точкой ЭК, например, методом вероятностного кодирования: M = Pr (m);

• зашифровывает полученную точку M на своём ключе e1 АКШ по формуле С1 = Me1;

• умножает специфицированную точку G на значение общего малого ключа K по формуле R = GK;

• вычисляет шифротекст Q, добавляя полученную точку R к точке C1 по формуле C1 = C1 + R = Me1 + GK;

• пересылает полученное значение C получателю.

2. Получатель:

• умножает специфицированную точку G на значение общего малого ключа K по формуле R = GK и вычитает полученную точку R из принятой точки C по формуле C = С- R = Mex;

• умножает полученное значение Q на свой ключ e2 АКШ: C2 = C1e2 = Mele2;

• вычисляет пересылаемый шифротекст C2, добавляя точку R к точке C2, полученной на предыдущем шаге по формуле C2 = C2 + R = Me1e2 + GK;

• пересылает полученное значение C2 отправителю.

3. Отправитель:

• вычитает точку R из принятой точки C2 по формуле

C2 = C2- R = Mee;

• умножает полученное значение на свой ключ расшифрования dl АКШ: C3 = С2<^ = Meedx = Me2;

• вычисляет пересылаемый шифротекст C3 , прибавляя полученную на первом шаге протокола точку R по формуле C3 = C3 + R = Me2 + GK;

• пересылает полученное значение C3 получателю.

4. Получатель:

• вычитает точку R из принятой точки C3 по формуле C3 = C3- R = Me2;

• получает значение точки M умножением на свой ключ расшифрования d2 АКШ: M = C3d2 = Me2 d2;

• восстанавливает исходное сообщение m из полученной точки M декодированием по алгоритму вероятностного кодирования: m = Pr- (M).

Полученная схема протокола приведена на рис. 2.

В протоколе промежуточные шифротексты процедур бесключевого шифрования, являющиеся точками ЭК, шифруются (суммируются с точкой, полученной на основе короткого ключа K) так, что они отображаются в другие точки ЭК, поэтому перебор ничего не даёт атакующему, так как все пробные варианты значения короткого ключа дают точки ЭК.

Обсуждение

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Следует отметить, что в случае как схемы бесключевого шифрования, так и предложенных протоколов необходимо сохранять личные ключи участников протокола (ключей е1, е2) в тайне от злоумышленника/уничтожать ключи по завершении сеанса связи. В схеме бесключевого шифрования знание любого ключа напрямую приводит к восстановлению передаваемого сообщения М из перехваченных шиф-ротекстов. В предложенных протоколах схема бесключевого шифрования дополнена механизмом аутентификации по ключу К малого размера, в результате знание одного из ключей е1, е2 позволит на основе перехваченных шифротекстов С1", С2\ С3 восстановить малый ключ К перебором по его ключевому пространству и далее - передаваемого сообщения М.

Для построения протокола представляет интерес использование ЭК, порядок которых является простым числом («идеальных» ЭК) или равен простому числу, умноженному на достаточно малое натуральное число [10]. В этом случае можно пренебречь вероятностью получения «слабых» сообщений - шифруемых точек малого порядка, что

Отправитель Получатель

M = Pr(m) Ci = Мег R = GK

C'1=C1 + R = Me i + GI<

C[ = Mei + GK

Д = СК С\ — С[ — н,

С2 = Сге2 = Меге2

С'2 = С2 + Я = Меге2 + СК

С'2 = Ме 1в2 + С К

С2 = С'2- Д

С3 = С2й г = Меге2йг = Ме2 С'3 = Ме2 + СК

с'3 = ме2 + а<

С3 = С'3 - С К = Ме2 м = С3й2 = Ме2(12 т = Рг~1(М)

Рис. 2. Протокол стойкого шифрования по разделяемому ключу малого размера в группе точек ЭК, отличающийся новым механизмом аутентификации

потенциально могло бы позволить нарушителю вычислить часть секретного ключа. В случае использования для представления сообщения точкой ЭК способа вероятностного кодирования можно устранить возможность шифрования точек, которые имеют сравнительно малое значение порядка, однако это требует специальных процедур для определения порядка точек, кодирующих сообщение. Применение данных процедур приведет к существенному снижению производительности процедуры шифрования, поэтому предпочтительно использовать идеальные ЭК.

Для повышения производительности АКШ с использованием ЭК, заданных над полем GF (р), можно использовать простые числа вида p = 2k ± || 2g ± |к 2h ± 1, где 0 < к < g < k; ||g е {0,1}; ||к е {0,1}. Использование простых чисел данного вида позволяет выполнить операцию умножения в поле GF(p) без операции арифметического деления, наиболее трудоемкой при умножении по модулю р, что позволяет существенно повысить скорость шифрования по сравнению со случаем использования простых чисел произвольного вида. Причем выбор простого модуля указанного вида позволяет уменьшить сложность вычислений без того, чтобы это влияло на появление «слабых» сообщений.

Для повышения безопасности ПМК с учетом появления прорывного решения для вычислительно сложной задачи, лежащей в основе АКШ, представляет интерес рассмотрение подхода к синтезу ПМК на основе двух вычислительно сложных задач. Существующие ПМК основываются на вычислительной сложности одной задачи - дискретного логарифмирования по простому модулю [1, 2]. Однако если будет найден прорывной алгоритм решения указанной задачи, использующие ее алгоритмы не смогут обеспечивать требуемый уровень стойкости. Для решения данной про-

блемы во многих работах предлагались протоколы других типов, взлом которых требует одновременного решения двух независимых вычислительно сложных задач. Вопрос синтеза бесключевого шифрования (АКШ) на основе двух задач решен в работе [17], а построения ПМК - в работе [18].

Для сокращения размера передаваемых шифротекстов точку ЭК можно отправить в виде ее абсциссы с присоединенным значением бита, определяющего большую или меньшую ординату, - для возможности однозначной идентификации точки ЭК. Это незначительно увеличивает время расшифрования криптограммы, поскольку для восстановления ординаты точки ЭК потребуется выполнить операцию извлечения квадратного корня в поле, над которым задана ЭК. В случае использования предложенной схемы ПМК1 использование сокращенного представления точки необходимо, так как в ином случае соответствие ординаты абсциссе точки может быть использовано злоумышленником как еще один критерий для отбраковки неверного значения малого ключа K при атаке полного перебора по ключевому пространству.

Практическое использование предложенных ПМК в общем случае относится к сценариям передачи секретного сообщения в условиях ограниченности ключевого материала, причем вмешательство активного атакующего, выдающего себя за легального участника протокола, нарушает процесс расшифрования, так как обеспечивается неразрывность процедуры шифрования и аутентификации сообщений за счет применения разделяемого ключа малого размера. Для получения последнего может быть использована существующая инфраструктура двухуровневой аутентификации на базе то-кенов, рассылаемых посредством SMS одноразовых кодов,

что упростит внедрение в существующие автоматизированные информационно-телекоммуникационные системы и программные комплексы. В качестве примера можно привести обладающую инфраструктурой SMS-оповещения систему автоматизированного мониторинга искусственных сооружений высокоскоростной железнодорожной магистрали, среди направлений развития которой указаны шифрование данных перед передачей между локальным и удаленным серверами и устройствами пользователя, а также проверка подлинности при получении [19].

С точки зрения обеспечения аутентификации сообщений с предложенными протоколами противодействия атаки «человек посередине» схож протокол [20]. Он предложен для применения в IP-телефонии (в Бразилии) и так же построен на основе протокола бесключевого шифрования, реализованного в группе точек ЭК. В нем решение проблемы атаки «человек посередине» основано на подходе так называемой Pairing-Based Cryptography [21]. В результате, с одной стороны, не требуется использовать разделяемый ключ малого размера, но с другой стороны, требуется обмен публичными ключами участников протокола и использование спаривания Вейля (Тейта) [22]. Последнее неявно подразумевает использование суперсингулярных ЭК, для которых, соответственно, можно применять алгоритмы решения ЗДЛ субэкспоненциальной сложности. Отметим, что в работе не освещаются вопросы аутентификации передаваемых в протоколе публичных ключей участников протокола и кодирования сообщения точкой ЭК.

Заключение

По сравнению с изначальной реализацией протокола стойкого шифрования по ключу малого размера в простом поле - при переходе к группе точек ЭК - обеспечивается повышение быстродействия при одновременном повышении стойкости, а также экспоненциальная стойкость. Построение протокола с использованием вычислений на ЭК обеспечивается механизмом вероятностного кодирования шифруемых сообщений точками ЭК или способом «расщепления» сообщения. При выборе для построения «идеальных» ЭК обеспечивается отсутствие «слабых» сообщений, поскольку все точки, которые кодируют исходные сообщения, имеют одно и то же значение простого порядка, равное числу точек на ЭК. В предложенных протоколах обеспечивается неразрывность процедуры бесключевого шифрования и аутентификации. Благодаря этому вмешательство активного атакующего, выдающего себя за легального участника протокола, нарушает процесс расшифрования. В качестве аутентификации предложен новый механизм, основанный на использовании операции умножения специфицированной точки ЭК большого порядка на значение разделяемого короткого ключа.

Литература

1. Березин А. Н. Протокол стойкого шифрования с использованием коротких ключей / А. Н. Березин, А. В. Муравьев, Д. Н. Молдовян // Приборостроение. - 2014. - № 11. -С. 68-72.

2. Молдовян Н. А. Протоколы шифрования с использованием разделяемых ключей малого размера и одноразо-

вых открытых ключей / Н. А. Молдовян, А. В. Муравьев, А. А. Костина // Вопросы защиты информации. - 2015. -№ 2. - С. 8-12.

3. Schneier B. Applied Cryptography: Protocols, Algorithms and Source Code (Second Edition) / B. Schneier. - NY: John Wiley & Sons, 1996. -758 p.

4. Hellman M. E. Exponentiation Cryptographic Apparatus and Method / M. E. Hellman, S. C. Pohling // U. S. Patent № 4,424,414. 1984. 3 Jan.

5. Молдовян Н. А. Введение в криптосистемы с открытым ключом / Н. А. Молдовян. - СПб.: БХВ - Петербург, 2007. - 286 с.

6. Болотов А. А. Элементарное введение в эллиптическую криптографию. Протоколы криптографии на эллиптических кривых / А. А. Болотов, С. Б. Гашков, А. Б. Фролов. - М.: КомКнига, 2011. - 274 с.

7. Коблиц Н. Курс теории чисел и криптографии / Н. Ко-блиц. - М.: ТВП, 2001. - 270 c.

8. Massey J. L. An introduction to contemporary cryptolo-gy / J. L. Massey // Proc. IEEE. - 1988. - Vol. 76, no. 5. - P. 533549.

9. Massey J. L. Method and apparatus for maintaining the privacy of digital messages conveyed by public transmission / J. L. Massey, J. K. Omura // US Patent № 4567600. 1986.

10. Демьянчук А. А. Выбор «идеальных» параметров в схеме двухшаговой аутентификации и коммутативном шифре / А. А. Демьянчук, Н. А. Молдовян, А. В. Рыжков // Изв. СПбГЭТУ «ЛЭТИ». - 2013. - № 8. - С. 15-18.

11. Березин А. Н., Молдовян Д. Н., Молдовян А. А., Рыжков А. В. Способ шифрования сообщения, представленного в виде битовой строки // Пат. РФ по заявке № 2013126860 / 08 от 11.06.2013. Бюл. № 35. 20.12.2014.

12. Молдовян Н. А. Способ коммутативного шифрования на основе вероятностного кодирования / Н. А. Молдовян, А. В. Рыжков // Вопр. защиты информации. - 2013. - № 3. -С. 3-10.

13. Рыжков А. В. Шифрование на основе кодирования сообщений точками эллиптической кривой, заданной над двоичным полем / А. В. Рыжков // 69-я науч.-техн. конф. профессорско-преподавательского состава СПбГЭТУ: сб. докладов (СПб., 26 янв. - 4 фев. 2016). - СПб.: Изд-во СПбГЭТУ «ЛЭТИ», 2016. - С. 153-157.

14. Bellovin S. M. Encrypted key exchange: Password-based protocols secure against dictionary attacks / S. M. Bellovin, M. Merritt // Res. Secur. Privacy, IEEE Comput. Soc. Symp. -1992. - P. 72-84.

15. ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры. -М.: Стандартинформ, 2015.

16. Рыжков А. В. Шифрование на эллиптической кривой по разделяемому ключу малого размера / А. В. Рыжков // IX Санкт-Петербургская межрегионал. Конф. «Информационная безопасность регионов России - 2015»: материалы конф. - СПб.: СПОИСУ, 2015. - С. 121-122.

17. Молдовян Н. А. Коммутативные шифры на основе трудности одновременного решения задач факторизации и дискретного логарифмирования / Н. А. Молдовян, А. Н. Бе-резин, А. В. Рыжков // Информационно-управляющие системы. - 2014. - № 4. - С. 106-110.

18. Березин А. Н. Протокол стойкого шифрования по ключу малого размера, взлом которого требует решения задач факторизации и дискретного логарифмирования / А. Н. Березин // Вопросы защиты информации. - 2016. - № 2. -С. 3-8.

19. Бубнов В. П. Программный комплекс автоматизированного геодезического мониторинга искусственных сооруженийдля высокоскоростной железнодорожной магистрали «Москва - Казань - Екатеринбург» / В. П. Бубнов, А. А. Никитчин, С. А. Сергеев // Интеллектуальные технологии на транспорте. - 2015. - № 4 - С. 27-33.

20. Deusajute A. The SIP security enhanced by using pairing-assisted massey-omura signcryption / A. Deusajute, P. Bar-reto // IACR Cryptology ePrint Archive. - 2008. - P. 72-84.

21. Oliveira L. B. Tiny PBC: Pairings for authenticated identity-based non-interactive key distribution in sensor networks / L. B. Oliveira, M. Scott, J. Lopez, R. Dahab // Comput. Commun. - 2011. - Vol. 34, no. 3. - P. 485-493.

22. Boneh D. Identity-based encryption from the weil pairing / D. Boneh, M. Franklin // Advances in Cryptology - CRYPTO 2001, ser. Lecture Notes in Comput. Sci. - Springer-Verlag, 2001. - P. 213-229.

Protocol for Secure Encryption with Using Small-size Key Based on Elliptic Curve

Ryzhkov A. V. St.-Petersburg State Electrotechnical University «LETI» St.-Petersburg, Russia Ryzhkov.alex@gmail.com

Abstract. For guaranteed protection of the data, which is transmitted over open channels, in condition of limited keying material recently the protocol was proposed based on combining the keyless procedures (commutative encryption) and the private small-size key (56 bits) encryption. In order to improve the commutative encryption performance is of interest to implement the protocol based on elliptic curve (EC). In the article, regarding to the use of EC, two variations for the base protocol was proposed. In the first one the authentication mechanism is transferred from the original protocol unchanged, which imposes a restriction on reuse small secret key. In the second case the new authentication mechanism was proposed to remove this restriction.

Keywords: secure encryption protocol, small-size key, commutative encryption, discrete logarithm problem, elliptic curve.

References

1. Berezin A. N., Muravyov A. V., Moldovyan D. N. Protocol for secure encryption with using small-size key [Protokol stoikogo shifrovaniia s ispol'zovaniem korotkikh kliuchei], Iz-vestiya vysshikh uchebnykh zavedeniy. Priborostroenie [J. Instrument Eng.], 2014, no. 11, pp. 68-72.

2. Moldovyan N. A. Muravyov A. V., Kostina A. A. Protocols for secure encryption with using small-size keys and one-time public keys [Protokoly shifrovaniia s ispol'zovaniem razde-liaemykh kliuchei malogo razmera i odnorazovykh otkrytykh kliuchei], Voprosy zashchity informatsii [Information security questions], 2015, no. 2, pp. 8-12.

3. schneier B. Applied cryptography: Protocols, Algorithms and Source Code (Second Edition), NY: John Wiley & Sons, 1996, 758 p.

4. Hellman M. E., Pohling S. C. Exponentiation Cryptographic Apparatus and Method, U. S. Patent no. 4,424,414, 3 Jan. 1984.

5. Moldovyan N. A. Vvedenie v kriptosistemy s otkrytym kliu-chom [Introduction to public key cryptosystems], St. Petersburg, BKhV - Peterburg, 2007, 286 p.

6. Bolotov A. A., Gashkov S. B., Frolov A. B. Elementar-noe vvedenie v ellipticheskuiu kriptografiiu. Protokoly krip-tografii na ellipticheskikh krivykh [An elementary introduction to elliptic curve cryptography. Cryptographic Protocols on elliptic curves], Moscow, KomKniga, 2011, 274 p.

7. Koblitz N. Kurs teorii chisel i kriptografii [The course in number theory and cryptography], Moscow, TVP, 2001. 270 p.

8. Massey J. L. An introduction to contemporary cryptology Proceedings of the IEEE, 1988, Vol. 76, no. 5, pp. 533-549.

9. Massey J. L., Omura J. K. Method and apparatus for maintaining the privacy of digital messages conveyed by public transmission, US Patent no. 4567600.1986.

10. Demyanchuk A.A., Moldovyan N.A., Ryzhkov A. V. Choosing ideal parameters for zero-knowledge authentication protocols and commutative ciphers [Vybor „ideal'nykh" parametrov v skheme dvukhshagovoi autentifikatsii i kommu-tativnom shifre], Izvestiya SPbGETU "LETI" [J. St. Petersburg Electrotechnical Univ. "LETI"], 2013, no. 8, pp. 15-18.

11. Berezin A. N., Moldovyan D. N., Moldovyan A. A., Ryzhkov A. V. Sposob shifrovaniia soobshcheniia, predstavlennogo v vide bitovoi stroki [A method of encrypting a message, represented as a bit string], Russian Federation Patent no. 2013126860/08, 11.06.2013.

12. Moldovyan N. A., Ryzhkov A. V. A method for commutative encryption based on probabilistic encryption [Sposob kommutativnogo shifrovaniia na osnove veroiatnostnogo kod-irovaniia], Voprosy zashchity informatsii [Information security questions], 2013, no. 3, pp. 3-10.

13. Ryzhkov A. V. Encryptionbased on message encoding to points of an elliptic curve defined over the binary field [Shifrovanie na osnove kodirovaniia soobshchenii tochkami ellipticheskoi krivoi, zadannoi nad dvoichnym polem], Trudy "69-ia Nauchno-tekhnicheskaia konferentsiia professorsko-prepodavatel'skogo sostava SPbGETU", St. Petersburg, 26 jan. -4 feb. 2016, St. Petersburg, Pub. SPbGETU "LETI", 2016, pp. 153-157.

14. Bellovin S. M., Merritt M. Encrypted key exchange: Password-based protocols secure against dictionary attacks, Res. Secur. Privacy, IEEE Comput. Soc. Symp., 1992, pp. 72-84.

15. GOST R 34.12-2015 Informatsionnaia tekhnologiia. Kriptograficheskaia zashchita informatsii. Blochnye shifry [Information technology. Cryptographic protection of information. Block ciphers], Moscow, Standartinform, 2015.

16. Ryzhkov A. V. Encryption on an elliptic curve with using shared small-size key [Shifrovanie na ellipticheskoi krivoi po razdeliaemomu kliuchu malogo razmera], Trudy "IX Sankt-Pe-terburgskaia mezhregional'naia konferentsiia 'Informatsionnaia bezopasnost'regionov Rossii - 2015'", St. Petersburg, SPOISU, 2015, pp. 121-122.

17. Moldovyan N.A., Berezin A. N., Ryzhkov A. V. Commutative ciphers based on difficulty of simultaneous solving factorization and discrete logarithm problems [Kommutativnye shifry na osnove trudnosti odnovremennogo resheniia zadach faktorizatsii i diskretnogo logarifmirovaniia], Informatsionno-

upravliaiushchie sistemy [Information and Control Systems], 2014, no. 4, pp. 106-110.

18. Berezin A. N. Protocol for secure encryption with using small-size key based on difficultyof simultaneous solving factorization and discrete logarithm problems [Protokol stoikogo shifrovaniia po kliuchu malogo razmera, vzlom kotorogo trebuet resheniia zadach faktorizatsii i diskretnogo logarifmirovaniia], Voprosy zashchity informatsii [Information security questions], 2016, no. 2, pp. 3-8.

19. Bubnov V. P., Nikitchin A. A., Sergeev S. A. Software for Automated Geodetic Monitoring of Artifi cial Structures for High-speed Railway "Moscow - Kazan - Yekaterinburg" [Programmnyi kompleks avtomatizirovannogo geodezicheskogo monitoringa iskusstvennykh sooruzhenii dlia vysokoskorostnoi

zheleznodorozhnoi magistrali "Moskva - Kazan' - Ekaterinburg"], Intellektual'nye tekhnologii na transporte [Intellectual Technol. Transp], 2015, no. 4, pp. 27-33.

20. Deusajute A., Barreto P. The SIP security enhanced by using pairing-assisted massey-omura signcryption, IACR Cryp-tology ePrint Archive, 2008, pp. 72-84.

21. Oliveira L. B., Scott M., Lopez J., Dahab R. Tiny PBC: Pairings for authenticated identity-based non-interactive key distribution in sensor networks, Comput. Commun., 2011, Vol. 34, no. 3, pp. 485-493.

22. Boneh D., Franklin M. Identity-based encryption from the weilpairingin, Advances in Cryptology - CRYPTO 2001, ser. Lecture Notesin Comput. Sci., Springer-Verlag, 2001, pp. 213-229.

i Надоели баннеры? Вы всегда можете отключить рекламу.