Научная статья на тему 'Система защиты Мак-Элиса в случайных сетях на базе сетевого кода Рида-Соломона'

Система защиты Мак-Элиса в случайных сетях на базе сетевого кода Рида-Соломона Текст научной статьи по специальности «Математика»

CC BY
685
83
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПОМЕХОУСТОЙЧИВОЕ КОДИРОВАНИЕ / СЕТЕВЫЕ КОДЫ РИДА-СОЛОМОНА / СЛУЧАЙНАЯ ЛИНЕЙНАЯ СЕТЬ / СИСТЕМА ЗАЩИТЫ С ОТКРЫТЫМ КЛЮЧОМ / КРИПТОСИСТЕМА МАК-ЭЛИСА / ERROR-CORRECTION CODING / NETWORK REED-SOLOMON CODES / LINEAR RANDOM NETWORK / PUBLIC-KEY SECURITY SYSTEM / MCELISE CRYPTOSYSTEM

Аннотация научной статьи по математике, автор научной работы — Михайлова Екатерина Александровна

Рассматривается задача защищенной от помех и наблюдателя передачи одной и той же информации от одного источника некоторому количеству получателей в сети неизвестной структуры. Задача решается на основе предложенного Кёттером и Кшишангом метода случайного сетевого кодирования. В этом методе сеть представляется графом неизвестной структуры, в узлах которого над пришедшими пакетами совершаются случайные линейные преобразования. В работе построена модель сетевого канала, использующего линейное сетевое кодирование, рассмотрены предложенные Кёттером и Кшишангом подпространственные сетевые коды Рида-Соломона, обеспечивающие эффективную помехоустойчивую передачу данных по такому сетевому каналу. Представлены алгоритмы кодирования и декодирования. Построена новая матричная интерпретация кодирования, приведен соответствующий алгоритм. На базе сетевых кодов Рида-Соломона в их матричной интерпретации построена система защиты с открытым ключом, являющаяся некоторым аналогом известной криптосистемы Мак-Элиса. Целью построенной системы защиты является защищенная передача от одного отправителя, знающего открытый ключ, нескольким получателям, владеющим общим секретным ключом, некоторого одинакового набора данных. Приведены алгоритмы шифрования и расшифрования для построенной системы защиты, доказана теорема о корректности работы алгоритмов. В заключение построена симметричная версия системы защиты, изменены соответствующие алгоритмы, отмечены достоинства и недостатки симметричной версии.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Михайлова Екатерина Александровна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

MCELICE SECURITY SYSTEM IN RANDOM NETWORK BASED ON REED-SOLOMON NETWORK CODE

The problem of error-correction transmission of the same data from one source to several receivers in wiretapped network of unknown structure is considered. The solution based on random network coding technique provided by Koetter and Kschischang. In this method network represent as an unknown structured graph, where each intermediate node creates a random linear combination of the received data and transmits this random combination. The network channel model, using a linear network coding, is constructed. Network subspace Reed-Solomon codes provided by Koetter and Kschischang that guaranteed efficient error-correction data transmission are described. Encoding and decoding algorithms are introduced. A new matrix-based interpretation of coding is constructed, appropriate algorithm is given. Public-key security system based on network Reed-Solomon code in matrix version which is an analogue of the well-known McEliece cryptosystem is provided. The purpose of constructed security system is to transmit securely the same data from one source which is know the public key to more receivers which are know the private key. Encoding and decoding algorithms for constructed security system are given, the algorithm-validation theorem is proved. In conclusion the symmetric version of security system is constructed, appropriate algorithms are changed, the advantages and disadvantages of the symmetric version are noted.

Текст научной работы на тему «Система защиты Мак-Элиса в случайных сетях на базе сетевого кода Рида-Соломона»

Мкртичян Вячеслав Виталиевич - ФГАНУ НИИ ''Спецвузавтоматика"; e-mail: [email protected]; 344015, г. Ростов-на-Дону, ул. Малиновского, 72/2, кв. 136; тел.: 88632202486, 89044417791; старший научный сотрудник.

Yevpak Sergey Alexandrovich - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 30/95, Marshal Zhukov avenue, 365 flat, Rostov-on-Don, 344o29, Russia; phone: +79o94142919; the department of the algebra and discrete mathematics of the faculty of mathematics, mechanics and computer sciences; postgraduate student.

Mkrtichan Vyacheslav Vitalievich - FSSI RI "Spetsvuzavtomatika"; e-mail: [email protected]; 72/2, Malinovskogo street, 136 flat, Rostov-on-Don, 344015, Russia; phones: +78632202486, +79044417791; senior researcher.

УДК 517.19

Е.А. Михайлова

СИСТЕМА ЗАЩИТЫ МАК-ЭЛИСА В СЛУЧАЙНЫХ СЕТЯХ НА БАЗЕ СЕТЕВОГО КОДА РИДА-СОЛОМОНА*

Рассматривается задача защищенной от помех и наблюдателя передачи одной и той же информации от одного источника некоторому количеству получателей в сети неизвестной структуры. Задача решается на основе предложенного Кёттером и Кшишангом метода случайного сетевого кодирования. В этом методе сеть представляется графом неизвестной структуры, в узлах которого над пришедшими пакетами совершаются случайные линейные преобразования. В работе построена модель сетевого канала, использующего линейное сетевое кодирование, рассмотрены предложенные Кёттером и Кшишангом подпространственные сетевые коды Рида-Соломона, обеспечивающие эффективную помехоустойчивую передачу данных по такому сетевому каналу. Представлены алгоритмы кодирования и декодирования. Построена новая матричная интерпретация кодирования, приведен соответствующий алгоритм. На базе сетевых кодов Рида-Соломона в их матричной интерпретации построена система защиты с открытым ключом, являющаяся некоторым аналогом известной криптосистемы Мак-Элиса. Целью построенной системы защиты является защищенная передача от одного отправителя, знающего открытый ключ, нескольким получателям, владеющим общим секретным ключом, некоторого одинакового набора данных. Приведены алгоритмы шифрования и расшифрования для построенной системы защиты, доказана теорема о корректности работы алгоритмов. В заключение построена симметричная версия системы защиты, изменены соответствующие алгоритмы, отмечены достоинства и недостатки симметричной версии.

Помехоустойчивое кодирование; сетевые коды Рида-Соломона; случайная линейная сеть; система защиты с открытым ключом; криптосистема Мак-Элиса.

E.A. Mikhailova

MCELICE SECURITY SYSTEM IN RANDOM NETWORK BASED ON REED-SOLOMON NETWORK CODE

The problem of error-correction transmission of the same data from one source to several receivers in wiretapped network of unknown structure is considered. The solution based on random network coding technique provided by Koetter and Kschischang. In this method network represent as an unknown structured graph, where each intermediate node creates a random linear combination of the received data and transmits this random combination. The network channel model, using a linear network coding, is constructed. Network subspace Reed-Solomon codes pro-

* Работа подержана грантом ЮФУ на 2013 год ИТ-213.01-24/2013-147. 200

vided by Koetter and Kschischang that guaranteed efficient error-correction data transmission are described. Encoding and decoding algorithms are introduced. A new matrix-based interpretation of coding is constructed, appropriate algorithm is given. Public-key security system based on network Reed-Solomon code in matrix version which is an analogue of the well-known McEliece cryptosystem is provided. The purpose of constructed security system is to transmit securely the same data from one source which is know the public key to more receivers which are know the private key. Encoding and decoding algorithms for constructed security system are given, the al-gorithm-validation theorem is proved. In conclusion the symmetric version of security system is constructed, appropriate algorithms are changed, the advantages and disadvantages of the symmetric version are noted.

Error-correction coding; network Reed-Solomon codes; linear random network; public-key security system; McElise cryptosystem.

1. Введение. Рассматривается проблема защиты информации от помех и наблюдателя. При передаче информации по обычному цифровому каналу применяются методы помехоустойчивого кодирования. Для борьбы с ошибками, возникающими из-за помех, разработано множество кодеков [1]. Помехи могут порождать не только ошибки, но и стирания, для борьбы с которыми применяют специальные методы (см., например, [2, 3]). Для борьбы с несанкционированным доступом используются различные криптографические методы [4], активно разрабатываются кодовые криптосистемы, в частности, аналоги систем защиты Мак-Элиса [5]. Разумеется, эти же методы применимы и для передачи данных по сетям, состоящим из различных каналов связи.

В последние годы интенсивно исследуется проблема распределенной передачи данных по специальным детерминированным и случайным сетям, для решения которой разрабатываются методы сетевого кодирования [6-9]. В этих работах рассматриваются ситуации, когда одного отправителя и нескольких получателей связывает некоторая сеть, которую можно смоделировать графом, в узлах которого над полученными данными производятся линейные комбинации. Для таких сетей решается задача пересылки отправителем одинакового набора информации нескольким получателям. Особый интерес представляют рассмотренные в работах [7, 8] случайные линейной сети, в предположении, что ни отправитель, ни получатели не знают ни структуру сети, ни линейных преобразований в промежуточных узлах.

Теория сетевого кодирования находит широкое практическое применение. В [7] предложено применять детерминированные линейные сети, где известна структура сети и коэффициенты сумм, для передачи данных по компьютерным сетям, в [9] доказано, что данный способ для некоторых графов более быстрый, чем использующийся сейчас, когда промежуточные узлы лишь пересылают принимаемую информацию. Модель случайной линейной сети удобна для передачи данных по линейной сети, когда структура сети неизвестна. В работе [8] отмечено, что ситуация, когда структура сети неизвестна, близка к случаю передачи данных при помощи антенн.

Целью настоящей работы является разработка на базе построенных в [8] сетевых кодов Рида-Соломона матричной интерпретации кодирования и на ее основе кодовой сетевой системы защиты с открытым ключом типа криптосистемы Мак-Элиса.

2. Схема передачи данных по случайной сети. Сетевое кодирование. Для

восстановления информации, передаваемой по сети, используется сетевое кодирование. Схема состоит из одного источника, нескольких приемников, которым источник должен передать одинаковую информацию, и некоторого множества промежуточных узлов. Также предполагается, что на выходе источника стоит кодер сети, а на входе приемников - декодеры сети.

Исходная информация представляется в виде информационных векторов длины k над полем Галуа Г ^, где q - степень простого числа. Каждый вектор поступает от источника на вход кодера сетевого канала. Кодер производит преобразования, после которых появляется набор из і векторов длины п, которые одновременно поступают на вход сетевого канала. С векторами, приходящими на некоторый узел, сетевым каналом производятся неизвестные, а потому можно считать, что случайные, линейные комбинации над младшим полем. На выходе сетевого канала у каждого приемника на вход декодера сетевого канала поступает некоторое количество векторов над тем же полем . Кроме того, предполагается, что на сетевой канал может оказываться влияние в виде шума, порождающее ошибки (введение нового случайного базисного вектора) и стирания (исчезновение некоторого отправленного базисного вектора). Декодер некоторым образом преобразует входящий набор векторов, и выдает один вектор исходной длины k над полем Г ^, который возвращается приемнику. Целью является случай, когда полученные приемниками векторы будут совпадать с отправленным.

Суть метода Кёттера и Кшишанга [8] состоит в том, что если кодер сопоставляет информационному вектору подпространство, и передает по сети его базис, то линейные комбинации в узлах не будут выводить векторы из подпространства. Следует отметить, что из-за случайности линейных комбинаций в узлах может быть получена некоторая порождающая система вложенного в исходное подпространства. Кодек является помехоустойчивым.

Приведем необходимые сведения из [8] о сетевых РС-кодах и выпишем для этих кодов алгоритмы кодирования и декодирования. Рассмотрим конечное поле и его расширение - поле Гчт, которое иногда будет удобно представлять как векторное пространство Г™. Это возможно в силу наличия биективного соответствия между ними: Т: Гч т — Г™.

Выберем некоторое множество А = { а х , а 2 ,..., а ¡} линейно независимых над Г ч элементов Г^. Кодирование будет выглядеть следующим образом. Пусть / = (/о-/і...Л-і)Є^ - информационное сообщение, которое требуется пере-

дать всем получателям. По информационному вектору строится информационный линеаризованный многочлен [X] .

Для полученного многочлена во всех точках множества вычисляется

его значение: /% =Т (/ (Т~ га¿) ) . Образуются пары ( а, которые можно рассматривать как элементы Г^т, принадлежащие объемлющему пространству размерности . Поскольку множество состояло из линейно независимых над элементов, то как элементы пространства множество пар

является линейно независимым над , и, следовательно, порождает 1-мєрноє пространство V. Следует отметить, что все элементы порожденного подпространства имеют структуру . Действительно,

в силу линеаризованности полинома, выполняется его основное свойство - линейность относительно младшего поля:

Vх,у Є ¥чт Уа, Ь Є /(ах + Ьу) = а/(х) + Ь/(у).

При этом любой элемент представим в виде

(Я=1 сгаг , Й=1 сгГ(Г(Г-НаО))) = (Й=і сгаг , Х(Й=і /СТ“1^)))),

так как с; Є Г ч, то есть сохраняет искомую структуру.

Введем отображение вычисления е рл : Г^ т — Сгі (Г ^т) , сопоставляющее вектору -мерное линейное пространство порожденное базисом из пар вида

. Напомним, что через обозначают грассманиан пространства раз-

мерности I, т.е. множество всех подпространств пространства К указанной размерности. В [8] доказывается, что при I > к отображение ег А является инъективным. Далее везде будем считать, что I > к.

Образ отображения ег А называют сетевым подпространственным кодом типа кода Рида-Соломона. Следует отметить, что хотя результатом кодирования является подпространство - элемент грассманиана, при этом реально по сети передается не подпространство, а его базис, то есть элемент пространства Штифеля. Более того, для алгоритмов кодирования и декодирования удобно использовать как раз представление через базис передаваемого подпространства.

На множестве Р ( W) вводится метрика и кодовое расстояние кода С:

d(А,В) = dim (А + В) — dim (A U В) , D(С) = min d(X,Y).

X,Y £C'.X^Y

Минимальное кодовое расстояние сетевого РС-кода С определяется по формуле D ( С) = 2 ( I — к + 1 ) . Такой код может исправить не более р стираний и t ошибок, где

р + t < D (С) /2 = 1 — к + 1.

Алгоритм 1. Кодирование сетевых кодов типа кода Рида-Соломона.

Вход: информационный вектор f = (f0,fi,---,fk-1) 6 И7\т, параметр I > к, множество линейно независимых над элементов , опре-

деляющее код С.

Выход: базис кодового подпространства V 6 С.

1. Для всех j = 1,... ,1 вычислить

ßj = Т (Z k-1 f (Т-1 (а,) ) *1) .

2. Вернуть множество линейно независимых векторов

{ (а i,ß1),(а 2 ,ß2) ^..Л а i,ßi) }. •

Для построения системы защиты в разделе 3 необходимо построить матричную интерпретацию кодирования. Кодирование РС-кодов содержит два важных действия: вычисление линеаризованного полинома в заданном наборе точек и составление пар вида «(точка, значение полинома)». Вычисление полинома, как и в случае канала, можно представить обычным умножением на матрицу Вандермон-да. Кроме того, требуется, чтобы все действия с точкой и значением в ней происходили одновременно. Это можно записать в матричном виде и преобразовать алгоритм кодирования 1:

/«1 - «г \ _ /1 О

1/(аг) ... /(аг)У - \f0 А

° 1

fk-J

ai \

х

/

Л.1 ... КЛ.1

Таким образом, кодовая матрица сетевого РС-кода, порожденного множеством А = { аг, а2, ■ ■■, а^ будет иметь вид

/«1 ■■■ «г \

G =

(1)

. а:

Ч ■■■ аі )

Алгоритм 2. Матричное кодирование сетевых РС-кодов.

Вход: информационный вектор / = т, кодовая матри-

ца С, определяющая код С.

Выход: базис кодового подпространства V Е С.

1. Построить матрицу

Л О ... О Ч

\/о А ■■■ к-л)

2. Вычислить И = F С.

3. Вернуть множество столбцов полученной матрицы И , представив их как векторы над младшим полем Р ч. •

Опишем алгоритм декодирования из [9]. Алгоритм работает корректно при допущении не более допустимого количества ошибок £ и стираний р , то есть, как отмечалось ранее, при .

Алгоритм 3. Декодирование сетевых кодов типа кода Рида-Соломона.

Вход: порождающая система пространства и Е вгг ( Р ^т) .

Выход: информационный вектор f Е Р ^т, если произошло не более допустимого количества ошибок и стираний, или ошибка декодирования, иначе.

1. Найти произвольный базис подпространства и: (х ^,у{) , I = 1 ,■■■,?*.

2. Определить параметр .

3. При помощи алгоритма интерполяции из [8], найти ненулевой полином

как сумму двух линеаризованных полиномов и

(}у(у), для которого все векторы (х^у¿), I = 1 ,^^,г являются нулями. Если степень хотя бы одного многочлена превышает допустимую, т.е. или , вернуть ошибку декодирования.

4. При помощи алгоритма правого деления линеаризованных полиномов из [9], с. 19, найти полином f (х) из уравнения 2у (х) ® f (х) + (2х(х) = 0 , то есть

. Если вернулась ошибка, вернуть ошибку декодирования.

5. По коэффициентам найденного полинома f (х) = 2^ ^х41 найти и вернуть вектор .

3. Система защиты Мак-Элиса на сетевых РС-кодах. В построенной ниже системе с открытым ключом отправитель обладает конфиденциальной информацией, с помощью общеизвестного открытого ключа зашифровывает информацию и отправляет шифрограмму по случайной линейной сети получателям, владеющим секретным ключом расшифрования. Таким образом, проявляется одно из отличий от криптосистемы Мак-Элиса для канала, где рассматривался случай, когда многим пользователям требовалось передать конфиденциальную информацию серверу, обладающему секретным ключом. В случае сети же наоборот, один отправитель шифрует общеизвестным открытым ключом сообщение, и отправляет его многим получателям, владеющим одним и тем же секретным ключом. На практике такой случай может быть, например, если разведчику требуется передать всем штабам одновременно конфиденциальную информацию.

Впервые криптосистема с открытым ключом было предложена в работе Диффи и Хеллмана [10], а Мак-Элис предложил строить такие криптосистемы на основе помехоустойчивых линейных кодов [11]. Криптосистема Мак-Элиса на базе кодов Рида-Соломона была взломана Сидельниковым [5], однако аналогичная криптосистема на базе кодов Г оппы является не взломанной по настоящее время.

В сетевом случае построим некоторый аналог криптосистемы Мак-Элиса в том смысле, что это по-прежнему будет криптосистема с открытым ключом на базе помехоустойчивого кода, но теперь уже не для канала, а для сети, и на базе сетевого кода. Кодирование сетевых кодов будем рассматривать с точки зрения построенной в разделе 2 его матричной интерпретации.

Как и в случае канала, защита строится от наблюдателя, который может частично или полностью перехватить передаваемое по сети сообщение, и, зная алгоритмы шифрования, расшифрования и открытый ключ, пытается восстановить исходное сообщение. Целью криптосистемы является защитить передаваемую информацию от такого наблюдателя.

В случае криптосистемы Мак-Элиса для канала передачи данных на базе помехоустойчивого -кода открытый ключ является -матрицей , где

С - общеизвестная кодирующая (к х п) -матрица кода, выбранного как раза криптосистемы, 5 - произвольная невырожденная (к х к) -матрица, Р - произвольная перемешивающая (п х п) -матрица. Фактически матрица 5 не меняет кода, матрица 5 С будет по-прежнему кодирующей для того же кода. Матрица Р перемешивает координаты кода, так как матрицы и отличаются лишь перестановкой столбцов.

Распишем основные параметры сетевой криптосистемы.

Секретный ключ: случайная невырожденная (к х к)-матрица 5 с первой

строкой веса 1 над полем , случайная невырожденная -матрица с эле-

ментами из поля .

Открытый ключ: кодирующая (к х I)-матрица С сетевого РС-кода из уравнения (1), (к х I)-матрица М = 5СР над полем Рчт.

По поводу генерации ключей системы защиты следует отметить, что матрицы и можно генерировать случайным образом над соответствущем полем, а затем проверять, являются ли он невырожденными. Касательно дополнительного условия на вес первой строки матрицы , можно сначала случайно ее генерировать, затем случайным образом обнулить все элементы первой строки, кроме одного, а уже затее проверять ее невырожденность.

Алгоритм 4. Шифрование.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Вход: информационное сообщение .

Выход: базис шифрограммы .

1. Построить матрицу

Л 0 ... о \

и к ... к-г)

2. Вычислить .

3. Вернуть набор столбцов полученной матрицы , представив их как векторы над младшим полем .

Следует сделать замечание, что в случае, когда заранее известно, что при передаче по сети не будет появляться ошибок и стираний, можно для дополнительной криптостойкости добавить ошибку максимально допустимого для декодера веса , то есть на третьем шаге алгоритма шифрования 4 вернуть новый базис, являющийся объединением базиса пространства V с 5 штук некоторых векторов.

Алгоритм 5. Расшифрование.

Вход: секретный ключ, порождающая система подпространства .

Выход: информационное сообщение длины или ошибка декодирования.

1. Вычислить базис подпространства .

2. Найти индекс ненулевого элемента первой строки матрицы .

3. Преобразовать базисные пары по правилу .

4. Отправить полученные на предыдущем шаге алгоритма пары на вход

алгоритма декодирования 2. Получить сообщение или ошибку декодирования.

5. Вычислить . Вернуть .

Теорема. Алгоритмы шифрования 4 и расшифрования 5 работают корректно, то есть если было зашифровано некоторое информационное сообщение, и затем передано по сети получателям, то каждый получатель сможет восстановить алгоритмом расшифрования исходное информационное слово, если в полученном слове было допущено не более исправимого кодом количества ошибок и стираний.

Доказательство. Сначала проследим вклад при шифровании алгоритмом 4 невырожденной матрицы Р над младшим полем.

В результате шифрования по сети фактически передается фиксированный базис полученного подпространства. Однако по сути сети, объектом передачи является не фиксированный базис, а подпространство, порожденное этим базисом. Поэтому не имеет значения, какой именно базис подпространства будет передаваться.

Для удобства будем дальше говорить, что множество столбцов -

матрицы над полем определяет подпространство, подразумевая, что это подпространство порождено линейно независимой системой, полученной при переводе множества столбцов во множество векторов длины над младшим полем .

Шифрование определяется результатом вычисления произведения матриц Д = /5 СР. Матрица Р умножается слева на матрицу /5 С, и, кроме того, является невырожденной с элементами из младшего поля. Поэтому множество столбцов матрицы определяет то же подпространство, что и множество столбцов матрицы /5СР. По сути, подпространство не меняется, еняется лишь представляющий его базис. Более того, она никак не влияет и на вес ошибки при передаче, в отличие от случая обычного канала. Следует отметить, что матрица не добавляет зашумления шифрограмме, однако является дополнительным зашумляющим средством для секретного ключа.

Далее будем доказывать корректность работы алгоритмов, игнорируя матрицу .

При подробном изучении, шифрование, уже без матрицы , будет выглядеть следующим образом:

FSG

=(

51Д

О

к

sl,k \ fk-J

sk, 1

«1

ai \

а

/Si (aj \f{a і)

ai \

(2)

где (х) - линеаризованный многочлен, порожденный первой строкой матрицы 5, / (х) - линеаризованный многочлен, порожденный коэффициентами вектора /5.

При описании секретного ключа требовалось, чтобы первая строка секретной матрицы 5 имела единичный вес, поэтому результат шифрования будет иметь следующий вид:

ці-1 Ч^-1 Ч^-1

5і,7а2 ■■■ 5і ,іаі

^/(«і) Я«2) ■■■ Я«;)

где ] - индекс ненулевого элемента первой строки 5 от 1 до к. Столбцы полученной матрицы будут линейно независимыми как векторы длины над полем , то есть действительно будут базисом некоторого подпространства.

При прохождении по сети с векторами полученной матрицы будут совершаться некоторые случайные линейные комбинации над младшим полем, и в результате каждый безошибочно полученный базисный вектор можно представить в виде:

где уг £ - некоторые неизвестные коэффициенты. В соответствии с алгоритмом

расшифрования 5 с данными парами нужно провести преобразования:

то есть имеют структуру пар «(точка, значение в ней)». Аналогично преобразовываются и векторы ошибок, но они продолжают оставаться случайными и неизвестными.

Новые пары отправляются на вход алгоритма декодирования 3, и, если допущено не более допустимого количества ошибок и стираний, декодер возвращает вектор . Умножая на обратную к матрице получим искомый вектор:

Таким образом, пара алгоритмов работает корректно.

Рассмотрим стойкость криптосистемы от наблюдателя. Для этого сначала построим модель наблюдателя.

Наблюдатель может прослушивать любой фрагмент сети, то есть, в худшем случае, перехватить весь передаваемый базис шифрограммы. В случае, когда наблюдатель перехватил порождающую систему недостаточной размерности, наблюдатель может подбирать перебором недостающие векторы. Однако, будем предполагать, что в силе худший случай, и наблюдатель смог перехватить всю шифрограмму.

Предполагается, что наблюдатель действует в условиях бесконечного времени.

В соответствии с моделью криптосистемы, наблюдателю известен открытый ключ и неизвестен секретный. Таким образом, перед наблюдателем становится две задачи - либо совершать атаку на шифрограмму с целью получить расшифровку конкретной шифрограммы, либо совершать атаку на секретный ключ.

Без знания секретного ключа наблюдатель не сможет преобразовать полученные пары к искомой структуре и воспользоваться декодером. Таким образом, не проходит прямой алгоритм расшифрования и атака на шифрограмму. Атака на ключ предполагает факторизацию общеизвестной матрицы на состав-

ляющие её матрицы 5, С и Р при условии, что матрица С известна. Как отмечалось раньше, в случае канала решена подобная задача взлома, когда - кодирующая матрица кода Рида-Соломона, - квадратная невырожденная матрица, а - квадратная перестановочная матрица [5]. Разрешенный случай отличается от рассмотренного в настоящей работе, поскольку здесь кодовая матрица имеет немного другой вид (по сравнению с матрицей Вандермонда здесь пропущены некоторые строки), а также матрица имеет более общий вид. Более подробное выяснение стойкости рассматриваемой криптосистемы при атаке на ключ не являлось целью настоящей работы.

Таким образом, новые корректно полученные пары принимают вид:

(й=1 Кі«і./(Й=1 Г ¡ад),

/«Г1 = (ДО“1 = /.

4. Симметричная сетевая кодовая система защиты. В системе защиты, рассмотренной в предыдущем пункте, одной из особенностей является то, что матрица секретного ключа Р никак не влияет на расшифрование. В случае криптосистемы Мак-Элиса для канала матрица Р играет роль перестановки координат шифрограммы. Как отмечалось в теореме о корректности работы алгоритмов 4-5, матрица секретного ключа изменяет лишь базис зашифрованного подпространства, однако не меняет самого подпространства.

Результатом шифрования является набор линейно независимых векторов длины 2 т над полем Р ч. Если попытаться оставить логику перестановочной матрицы, то можно переставлять координаты шифрограммы уже после перехода к векторам над младшим полем.

Однако в данном случае не удается сохранить логику системы защиты с открытым ключом - необходимо, чтобы и отправитель, и получатели знали секретный ключ, неизвестный всем остальным.

Таким образом, секретный ключ будет по-прежнему содержать матрицы 5 и , но теперь добавляется случайная перестановочная -матрица над

полем .

Алгоритмы 4-5 изменятся следующим образом. В алгоритме шифрования изменится шаг 3 и добавится шаг 4:

3. Представить набор столбцов полученной матрицы Д их как векторы над

младшим полем и записать их последовательно в столбцы -

матрицы .

4. Вычислить произведение Д 2 Р2 и вернуть множество столбцов полученной матрицы.

В алгоритме расшифрования после шага 1 добавится шаг 1.1:

1.1. Полученные векторы базиса последовательно записать в (2 тх!) -матрицу Д 2. Вычислить произведение Д2 Р2 _ 1 и передать на следующий шаг множество столбцов полученной матрицы.

Однако данный метод имеет ряд достоинств и недостатков. К достоинствам метода можно отнести то, что введение перестановочной матрицы увеличивает криптостойкость шифрограммы. Переход от младшего поля к старшему нельзя записать умножением на матрицу, а значит, полученная система защиты уже не будет системой защиты с открытым ключом, а станет симметричной, что с одной стороны является недостатком. Но при этом с другой стороны, ситуация, когда одному отправителю следует передать получателям зашифрованную известным им обоим секретным ключом информацию, является распространенной на практике. Например, это может быть случай шифрованного цифрового телевидения.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Морелос-Сарагоса Р. Искусство помехоустойчивого кодирования. Методы, алгоритмы, применение. - М.: Техносфера, 2005. - 320 с.

2. Деундяк В.М., Михайлова Е.А. Применение матриц Вандермонда при передаче данных по q-ичному каналу со стираниями // Изв. ВУЗов. Северо-Кавказский регион. Естественные науки. - 2012. - № 3. - С. 5-9.

3. Михайлова Е.А. О реализации схемы В.Пана защиты информации в канале со стираниями // Математика и её приложения: Журнал Ивановского математического общества.

- 2011. - Вып. 1 (8). - С. 75-78.

4. ШнайерБ. Прикладная криптография. - М.: ТРИУМФ, 2002. - 816 с.

5. СидельниковВ.М. Теория кодирования. - М.: Физматлит, 2006. - 324 с.

6. Габидулин Э.М., Пилипчук Н.И., Колыбельников А.И., Уривский А.В., Владимиров С.М., Григорьев А.А. Сетевое кодирование // Труды МФТИ. - 2009. - Т. 1, № 2. - С. 3-28.

7. Alshwede R., Cai N., Li S.-Y. R., Yeung R.W. Network information flow // IEEE Trans. Inf. Theory. - 2000. - Vol. 46. - P. 1204-1216.

8. Koetter R., Kschischang F.R. Coding for errors and erasures in random network coding // IEEE Trans. Inf. Theory. - 2008 - Vol. IT-54, № 8. - P. 3579-3591.

9. Li S.-Y. R., Yeung R. W., Cai N. Linear network coding // IEEE Trans. Inf. Theory. - 2003.

- Vol. 49. - P. 371-381.

10. Diffie W., Hellman M.E. New Directions in Cryptography // IEEE Trans. Inf. Theory. - 1976.

- Vol. IT-22, № 6. - P. 644-654.

11. McEliece R.J. A Public Key Cryptosystem Based o Algebraic Coding Theory // JPL DSN Progress Rep. - 1978. - Vol. 42-44. - P. 114-116.

Статью рекомендовал к опубликованию к.т.н., доцент Н.С. Могилевская.

Михайлова Екатерина Александровна - Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный университет»; e-mail: [email protected]; 344000, г. Ростов-на-Дону, ул. Красноармейская, 196, кв. 8; тел.: 89185879710; кафедра алгебры и дискретной математики; аспирантка.

Mikhailova Ekaterina Aleksandrovna - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 196, Krasnoarmejskaya street, fl. 8, Rostov-on-Don, 344000, Russia; phone: +79185879710; the department of algebra and discrete mathematics; postgraduate student.

УДК 519.72

В.О. Осипян, Ю.А. Карпенко, А.С. Жук, А.Х. Арутюнян

ДИОФАНТОВЫ ТРУДНОСТИ АТАК НА НЕСТАНДАРТНЫЕ РЮКЗАЧНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Развитие ассиметричной криптографии началось с появления первой рюкзачной системы защиты информации, когда в 1976 году Ральф Меркель и Мартин Хеллман предложили использовать разные ключи для прямого и обратного преобразования данных при шифровании. На данный момент эта модель, как и многие, основанные на ней были скомпрометированы. Как следствие, авторитет рюкзачных систем занижен. Тем не менее, некоторые из них, до сих пор считаются стойкими, например, модель, предложенная в 1988 году Беном Шором и Рональдом Ривестом. В данной работе сформулирована и решена задача аргументации криптографической стойкости нестандартных рюкзачных систем защиты информации, которые допускают повторное использование элементов рюкзака. Обоснованы диофантовы трудности, возникающие при поиске уязвимостей в указанных системах защиты информации. На основе анализа ранее предложенных рюкзачных моделей выявлены качественные особенности нестандартных рюкзачных систем, повышающие их стойкость к известным атакам.

Рюкзачные системы защиты информации; стойкость алгоритма; криптографическая атака, диофантовы трудности; рюкзачный алгоритм; рюкзачный вектор; исходное сообщение; открытый текст; ключ; шифртекст.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

V.O. Osipyan, Yu.A. Karpenko, A.S. Zhuck, A.H. Arutyunyan

DIOPHANTINE DIFFICULTIES OF ATTACKS ON NON-STANDARD KNAPSACKS INFORMATION SECURITY SYSTEMS

Development of the asymmetric cryptography started with the appearance of the first knapsack information protection system, when, in 1976, Ralph Merkel and Martin Hellman proposed to use different keys for forward and reverse mapping data for encryption. Now this model, like many based on are considered to be insecure. As a result the authority of knapsack systems was low.

i Надоели баннеры? Вы всегда можете отключить рекламу.