Симметричная рюкзачная криптосистема с общей памятью и плотностью укладки больше единицы Текст научной статьи по специальности «Математика»

344

А. В. Александров, А. Д. Метлинов

УДК 004.056.55 DOI: 10.17586/0021-3454-2015-58-5-344-350

СИММЕТРИЧНАЯ РЮКЗАЧНАЯ КРИПТОСИСТЕМА С ОБЩЕЙ ПАМЯТЬЮ И ПЛОТНОСТЬЮ УКЛАДКИ БОЛЬШЕ ЕДИНИЦЫ

А. В. Александров, А. Д. Метлинов

Владимирский государственный университет им. А. Г. и Н. Г. Столетовых,

600000, Владимир, Россия E-mail: lexlotr@gmail.com

Предложен вариант симметричной рюкзачной криптосистемы с общей памятью и плотностью укладки больше единицы, которая устойчива к £3-атаке, полиномиальной по своей скорости, разработанной Лагариасом и Одлыжко для взлома рюкзачных схем шифрования со сверхвозрастающими базисами. На основе протоколов с общей памятью разработаны алгоритмы шифрования и дешифрования, в основе работы которых лежат базисы типа Фибоначчи и их обобщения.

Ключевые слова: рюкзачная криптосистема, общая память, L-атака, открытый канал связи, статистические свойства, алгоритмы.

Введение. С развитием информационных технологий проблема усовершенствования систем, отвечающих за конфиденциальность информации, приобретает особую значимость. В этой связи использование криптосистем на базе рюкзачных схем представляется обоснованным.

Задача о ранце в криптографии [1], на основе которой американскими криптографами Мерклом и Хеллманом был разработан асимметричный алгоритм шифрования с открытым ключом, широко известна. Для представления чисел и шифрования сообщений использовалось решение задачи об укладке ранца, которая в общем виде является NP-полной.

К настоящему времени известно множество версий рюкзачных криптосистем; это объясняется тем, что по сравнению с другими схемами шифрования, использующими длинную целочисленную арифметику, рюкзачные системы обладают повышенными скоростными характеристиками алгоритмов шифрования и дешифрования. Однако все существующие на сегодняшний день рюкзачные криптосистемы взломаны или признаны потенциально небезопасными. Одна из основных причин этого — низкая плотность укладки рюкзака

k

P(a) =-------1------, (1)

max1<i<k 1o§2 ak

где k — количество элементов рюкзачного базиса, ak — максимальный из всех элементов базиса.

Параметр (1) введен Лагариасом и Одлыжко [2] при проектировании ими алгоритма L -атаки; там же доказаны и приведены примеры полиноминальной по сложности атаки на рюкзачные криптосистемы, успешно взламывающей почти все криптографические рюкзаки с плотностью укладки менее 0,6463. Идея L -атаки состоит в том, чтобы преобразовать параметры задачи о рюкзаке в базис для некоторой целочисленной решетки в конечномерных целочисленных пространствах, после чего найти в этом базисе короткий вектор с помощью L -алгоритма редукции базиса решетки. Существует большая вероятность того, что с помощью найденного короткого вектора можно осуществить обратное решение этой задачи. В работе [3] с помощью более точных оценок влияние L -атаки расширено на интервал 0<р<0,940. Из строго доказанных в работе [3] результатов следует, что чем больше величина р, тем меньше вероятность успеха осуществления L -атаки на данную рюкзачную криптосистему. При р > 0,9408 проведение L -атаки на рюкзачную криптосистему затруднено, но также

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5

Симметричная рюкзачная криптосистема

345

возможно. Однако утверждение, что L3-атаку можно распространить на все супервозрастаю-щие базисы в интервале 0<р<1, в работе [3] строго не доказано, но, по-видимому, верно.

Оценка асимптотики роста рюкзачных базисов. Оценим асимптотику роста рюкзачных базисов, используемых при разработке алгоритмов передачи сообщений, на основе вариации симметричной рюкзачной криптосистемы в рамках криптографических двусторонних протоколов с общей памятью, оценим также скорость работы алгоритмов.

Определение. Супервозрастающей последовательностью называется целочисленная последовательность fn, n = 1,..., k, для любого индекса i которой всегда выполняется

i

условие f+i > ^fj. Очевидно, что минимальной последовательностью, для которой выпол-

i=1

няется это условие, является последовательность степеней двойки: {1, 21, 22, ..., 2n}.

Пусть n — достаточно большое натуральное число. Сформируем последовательность

положительных целых попарно отличных друг от друга чисел: {a} = («1,., an ) , и определим относительно пары {a}n и {e}1 =((,...,en) линейную форму над полем Галуа GF2:

n

< e, a >=Yfiai, (2)

i=1

где et принадлежит GF2.

Обозначим верхнюю грань представления (2) как ta = 's^ai. Последовательность {a}

относительно формы (2) образует на множестве [1, ta] базис над GF2, если для любого k из [1, ta] существует единственное представление

k =< ek, a > (3)

с некоторым набором ek е GF^.

Задача о ранце состоит в том, чтобы в рамках представления (3) при заданном базисе {a}1 и известном k найти {e}1 =(,...,en).

Очевидно, что свойство базисности относительно формы (2) инвариантно к перестановке элементов последовательности {a}n, поэтому, не ограничивая общности, считаем, что базисная последовательность всегда возрастающая. Основным в теории двоичной связи и двоичного кодирования является базис степеней двойки, однако он не является единственным.

Рассмотрим базис Фибоначчи, определяемый последовательностью {f }n , f = 1, f2 = 2,

f = f-1 + f—2, где i > 3. Разложение натурального числа по базису Фибоначчи в общем случае свойством единственности не обладает, однако хорошо известна теорема Цекендорфа о том, что любое число k, отличное от нуля, можно единственным образом записать в виде линейной формы (2) над GF2, при этом в правой части уравнения (2) отсутствуют пары соседних элементов базиса Фибоначчи.

Соответствующие теореме Цекендорфа разложения любого известного числа k по базису с логарифмической сложностью по k реализуются с помощью рекурсивного „жадного“ однопроходного алгоритма.

Лемма 1. Для любого супервозрастающего базиса {a}n при больших значениях n асимптотика роста оценивается величиной O^), a > 2, в частности, если существует решение задачи (3), то плотность укладки удовлетворяет оценке 0 < р < F

Асимптотика роста базиса Фибоначчи хорошо известна. Введем обозначение для золо-

1+ V5

того сечения ф =-----.

2

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5

346

А. В. Александров, А. Д. Метлинов

Лемма 2. Для базиса Фибоначчи {f }П при больших значениях п асимптотика роста име-

ет оценку fn = O(фп). При этом показатель плотности укладки для задачи (3) оценивается

величиной р f

1

log2 ф

1,4404.

Из лемм 1 и 2 непосредственно выводятся оценки мер Хартли, определяющие количество бит информации, необходимых для создания равномерного двоичного кода с использованием соответствующих базисов над GF2.

Лемма 3. Число k е[1, ta ]. Тогда информационный битовый объем \k\ относительно формы (3) над GF2 оценивается с помощью меры Хартли:

\k\ = |”loga (ta )! , (4)

где прямые полускобки в правой части выражения (4) определяют наименьшее целое число, большее или равное значению логарифма, а основание a > 1 определяется асимптотикой роста базисной последовательности {а}П.

В частности, для базиса Фибоначчи вышеприведенная оценка справедлива при а = ф. Для базиса, состоящего из степеней двойки, оценка (4) хорошо известна при а = 2.

На основе оценки (4) формируются оценки двоичного объема данных, представленных в указанных базисах, т.е. справедливо соотношение

A log2 2 w = — = ——

В log2 ф

1,44,

(5)

где А — размер сообщения, бит, — оценка меры Хартли для данных, представленных в двоичном базисе; В — размер пакета, бит, — оценка тех же данных, но в базисе Фибоначчи.

Соотношение (5) можно непосредственно вывести из определения (1), применяя представление (3) для базиса Фибоначчи; в частности, соотношение (5) показывает, что применением базисов типа Фибоначчи позволяет выйти за пределы соотношения 0 < р < 1 при оценке плотности укладки.

Протоколы с общей памятью и рюкзачная криптосистема на основе базиса типа Фибоначчи. Пусть Sender и Receiver — соответственно отправитель и получатель сообщений в двустороннем канале связи. Обозначим через D = {d^ d2, ..., dn} исходную согласованную совокупность документов, имеющихся и у отправителя, и у получателя. Назовем это множество общей памятью. Соответствующие конфиденциальные протоколы передачи, использующие общую память, предложены в работе [4] для изучения свойств двусторонних SMT-протоколов. Наличие общей памяти далее будет использовано для расширения ключевого пространства алгоритма шифрования и создания параметризованных базисов типа Фибоначчи.

Сумму всех элементов общей памяти обозначим как d = 's^di. Кроме того, определим

над GF2 вектор e = (e{) длиной п и рассмотрим все возможные суммы de = Z(e d ), которые имеют 2n вариантов.

Выберем параметризованный по de базис типа Фибоначчи {f(de)}, определяемый последовательностью f1(de)=1, f2(de)=1+de, fi(de)= fi-1(de)+fi-2(de) при i>2. Для нулевого вектора e получим классический базис Фибоначчи, который обозначим как {f(0)}.

Асимптотика линейно-рекуррентных последовательностей такого типа определяется соответствующим характеристическим уравнением, совпадает с характеристическим уравнением ряда Фибоначчи и, в частности, не зависит от выбора величины de . Поэтому для любого параметризованного базиса {f(de)} оценки согласно леммам 2 и 3 распределяются равномерно по de .

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5

Симметричная рюкзачная криптосистема

347

Можно показать, что при использовании рекурсивного „жадного“ алгоритма для любого S справедливо единственное представление

S = (Y.hfi(d„) ) + Д (S), i = 1,..., l, (6)

где ki gGF2 — элементы ключевой последовательности, f (de) — элементы базиса, А — ос-

таточное слагаемое.

Лемма 4. D — общая память пары Sender, Receiver в канале связи, вектор e = (et), i = 1...", фиксирован, и существует „жадный“ алгоритм разложения числа S в базисе {f(de)}. Тогда любое натуральное S в представлении (6) единственным образом определяется набором S = (k1,k2,...,ki,А) относительно базиса {f(de)}.

В лемме 2 была приведена оценка величины р для базиса Фибоначчи {(0)}. Для параметризованных базисов {fde)} справедлив следующий результат.

Теорема. Пусть D — общая память пары Sender, Receiver в канале связи и {f(de)} — параметризованный базис Фибоначчи. Тогда:

а) плотность укладки относительно выражения (6) оценивается как

_____________i____________ I

[log2 fl(0) + log2 (d +1)] _ P _ [log2fl(0)] ’

(7)

где условие

d < 20,31i - 1

(8)

гарантирует нижнюю оценку плотности в базисе (6);

b) для параметризованных базисов Фибоначчи асимптотика роста оценивается величиной

fn (de) = о(ф") (9)

равномерно по параметру de, так что при больших значениях " результаты лемм 2 и 3 справедливы для выражения (6).

Доказательство теоремы вытекает из соотношений

fi (de ) = f-1(0) + fi-2 (0) (1 + de), (10)

fi (0) < fi (de ) < fi (1 + d,),

где неравенство следует непосредственно из выражения (1) с учетом (10); для доказательства утверждения „b“ имеем с учетом (10) неравенство fi (de ) < fi (0) + fi (0)(1+de).

Пусть {fde)} — параметризованный базис Фибоначчи. Если числовое значение S удовлетворяет оценке S < tf ^ ) равномерно по de, то в рамках приведенной схемы, основанной на

общей памяти D и форме (6), в параметризованном базисе {f(de)} устанавливается однозначное представление

S ^(eb •••, en, k1, k2,., kl, А). (11)

Очевидно, что наличие общей памяти при больших значениях l в выражении (6) не влияет на асимптотику роста параметризованных базисов и на оценки мер Хартли. При этом особенно важно — разложение по базисам Фибоначчи и выбор самого базиса непрерывно зависят от параметра de. В частности, выбор значений ...,en не только соответствующим

образом расширяет ключевое пространство в схеме шифрования (11), но и в совокупности со значением S однозначно влияет на последующие значения ключа kb k2, •, Щ, А.

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5

348

А. В. Александров, А. Д. Метлинов

Алгоритм шифрования.

1. Создание общей памяти и числа de: пара Sender и Receiver формирует общую память. Одним из вариантов ее организации является возможность использования широковещательной рассылки сообщений по открытым каналам связи. Таким образом, формируется определенная совокупность документов D = {d\...dn}, di Ф dj. После этого Sender и Receiver выбирают значение вектора {e}П, который определяет de и первые n бит симметричного ключа из правой части выражения (11).

2. Выбор поля Галуа: с помощью документов из общей памяти Sender и Receiver выбирают число р ~ 264 и фиксируют GFp, в котором будут производиться вычисления. Не ограничивая общности, считаем, что числовое значение секрета S принадлежит выбранному GFp.

3. Sender создает в соответствии с выбранным значением de базис типа Фибоначчи

{f(de)}, определяемый последовательностью f1(de)=1, f2(de)=1+de, f(de)= fi-1(de)+fi-2(de) при i>2, до тех пор, покаf(de) принадлежат выбранному полю Галуа.

4. Полученная ключевая последовательность (kbk^,---,k,Л) передается получателю.

Таким образом, в силу выражения (6), лемм 2, 3 и теоремы существует логарифмический по скорости алгоритм разложения S в базисе {fde)}, дающий на выходе значения &1, &2,-.-, k, Л, определяющие симметричный ключ для шифрования и дешифрования.

Алгоритм дешифрования.

1. Аналогично п. 3 алгоритма шифрования Receiver по значениям вектора {e}n вычисляет величину de, строит базис {f(de)}.

2. Ключ { kb k2, —, ki, Л } по формуле (6) восстанавливает секрет S.

Рассмотрим случай, когда числовое значение S выходит за рамки выбранного поля Галуа. Тогда двоичное значение S делится на блоки одинаковой длины, так чтобы числовое значение каждого блока укладывалось в выбранное поле Галуа, а к каждому отдельно взятому блоку применяются описанные выше алгоритмы шифрования и дешифрования.

Реализация алгоритмов и их статистические свойства. В схеме шифрования и дешифрования на основе представлений (6) и (11) не удается аналитически получить минимальное значение А и проследить, как выбор параметризованного базиса влияет на величину А в выражении (6). Для уточнения взаимосвязи величин de и А был проведен эксперимент,

содержащий следующие шаги.

1. Формирование GFp = {0, 1, ..., p-1} иp ~ 264.

2. Выбор вектора {e}П =(,...,en), с помощью которого из общей памяти {d1, d2, ..., dn}

формируется параметризованный базис {f(de)}.

3. Расчет значения плотности укладки для полученного параметризованного базиса {fde)}.

4. Решение аддитивной задача разложения секрета с помощью „жадного“ алгоритма для всех целых чисел от 1 до р—1.

5. Определение количества случаев, когда А Ф 0, для всех заданных секретов.

6. Определение коэффициентов ковариации и корреляции для двух заданных множеств X и Y, где X = {х1, x2, ..., xn} — множество всех значений р, Y = {y1, y2, ..., yn} — множество случаев появления остаточного слагаемого А (в процентах).

Согласно полученным значениям коэффициентов ковариации и корреляции существует определенная статистическая зависимость А(р), когда А Ф 0, график которой приведен на рисунке.

Кроме того, согласно математически рассчитанному на основе результатов экспериментов значению коэффициента корреляции \R\ ~ 0,99 существует весомая статистическая зави-

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5

Симметричная рюкзачная криптосистема

349

симость множества Y от множества X: с возрастанием плотности укладки уменьшается количество случаев появления слагаемого А при разложении заданного секрета S с помощью „жадного“ алгоритма.

Обсуждение результатов; заключение. Наличие общей памяти в рассмотренной криптосистеме, конечно, выходит за рамки шенноновской модели симметричного шифрования, однако не противоречит криптографической модели безопасности Долева — Яо [5] при соблюдении двух условий: во-первых, при возможности существования общей памяти и, во-

вторых, при безопасной передаче первой части ключа {e}1 = (eb...,en), определяющей необходимые для параметризованного базиса разложения.

К достоинствам приведенной криптосистемы можно отнести следующие:

— высокая логарифмическая скорость алгоритмов шифрования и дешифрования, а также масштабируемость длины ключа;

— возможность построения симметричного, масштабируемого по размеру ключа блочного, симметричного шифра с несколькими режимами работы алгоритма, в том числе и режимами зацепления блоков;

— возможность построения на основе блочного шифра с помощью стандартной схемы свертки блоков алгоритма хеширования для контроля достоверности передаваемой информации, где хэш-функция для пары Sender, Receiver строго индивидуальна, поскольку зависит от общей памяти этой и только этой пары.

СПИСОК ЛИТЕРАТУРЫ

1. Merkle D. R., Hellman M. Hiding information and signatures in trapdoor knapsacks // Information Theory. IEEE Transactions. 1978. P. 525—530.

2. Odlyzko A. M., Lagarias J. C. Solving low-density subset sum problems // J. Association Computing Machinery. 1985. Vol. 32, N 1. P. 229—246.

3. Coster M. J., Joux A., LaMacchia B. A. et al. Improved low-density subset sum algorithms // Computational Complexity. 1992. N 2. P. 111—128.

4. Александров А. В. Устойчивость SMT-протокола к атакам противника в модели безопасности Долева — Яо // Изв. вузов. Приборостроение. 2012. Т. 55, № 8. С. 60—64.

5. Dolev D., Yao A. On the security of public key protocols // IEEE Transact. on Information Theory. 1983. Vol. 29, N 2. P. 198—208.

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5

350

А. В. Александров, А. Д. Метлинов

Сведения об авторах

Алексей Викторович Александров — канд. физ.-мат. наук, доцент; ВлГУ, кафедра информатики и защиты информации; E-mail: alex_izi@mail.ru

Александр Дмитриевич Метлинов — аспирант; ВлГУ, кафедра информатики и защиты информации;

E-mail: lexlotr@gmail.com

Рекомендована кафедрой Поступила в редакцию

информатики и защиты информации 14.07.14 г.

Ссылка для цитирования: Александров А. В., Метлинов А. Д. Симметричная рюкзачная криптосистема с общей памятью и плотностью укладки больше единицы // Изв. вузов. Приборостроение. 2015. Т. 58, № 5. С. 344—350.

SYMMETRIC KNAPSACK CRYPTOSYSTEM WITH SHARED MEMORY AND THE PACKING DENSITY ABOVE UNIT

А. V. Aleksandrov, А. D. Metlinov

Vladimir State University, 600000, Vladimir, Russia E-mail: lexlotr@gmail.com

A variant of symmetric knapsack cryptosystem with packing density above one is proposed. The latter feature makes the system resistant to L3-attack with polynomial speed characteristic developed by Lagarias and Odlyzko. The proposed algorithms of encryption and decoding are based on shared memory protocols and use Fibonacci-type basis.

Keywords: knapsack cryptosystem, shared memory, L3-attack, open communication channel, statistical properties, algorithms.

Alexander D. Metlinov

Alexey V. Aleksandrov

Data on authors

PhD, Associate Professor; Vladimir State University, Department of Information and Information Security; E-mail: alex_izi@mail.ru Post-Graduate Student; Vladimir State University, Department of Information and Information Security; E-mail: lexlotr@gmail.com

Reference for citation: Aleksandrov A. V., Metlinov A. D. Symmetric knapsack cryptosystem with shared memory and the packing density above unit // Izvestiya Vysshikh Uchebnykh Zavedeniy. Priborostroenie. 2015. Vol. 58, N 5. P. 344—350 (in Russian).

DOI: 10.17586/0021-3454-2015-58-5-344-350

ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2015. Т. 58, № 5