Снижение вычислительной сложности машинных экспериментов при верификации криптографических алгоритмов Текст научной статьи по специальности «Математика»

УДК 004.056.5 DOI: 10.12737/24905

М.Ю. Конышев, А.В. Козачок, О.М. Голембиовская, К.Е. Петров

СНИЖЕНИЕ ВЫЧИСЛИТЕЛЬНОЙ СЛОЖНОСТИ МАШИННЫХ ЭКСПЕРИМЕНТОВ ПРИ ВЕРИФИКАЦИИ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ

Рассмотрена проблема получения набора выборок для оценки качества криптографических алгоритмов на основе использования статистических тестов. Описаны новые свойства двоичных цепей Маркова, учитывающие зависимости вероятностей двоичных векторов различной длины. Предложены аналитические выражения, позволяющие вычислить зависимости пределов диапазонов значений вероятностей многомерных двоичных случайных величин от вероятностей двоичных случайных величин меньшей размерности. Определены причины необходимости дополнительной процедуры отбраковки при симуляции реализаций двоичных марковских процессов. Рассмотрен метод направленного перебора значений вероятностей ря-

дов распределений марковских двоичных последовательностей, позволяющий генерировать эргоди-ческие двоичные случайные последовательности, что позволяет полностью отказаться от процедуры отбраковки. Представлен реализующий указанный метод алгоритм, обладающий пониженной вычислительной сложностью по сравнению с известными алгоритмами организации вычислительного эксперимента по исследованию статистических свойств двоичных случайных последовательностей.

Ключевые слова: статистические тесты, це -пи Маркова, двоичные последовательности, моделирование, вероятности двоичных векторов, дискретная случайная величина, вычислительная сложность, криптографические алгоритмы.

M.Yu. Konyshev, A.V. Kozachok, O.M. Golembiovskaya, K.E. Petrov

COMPUTATION COMPLEXITY DECREASE IN MACHINE EXPERIMENTS AT VERIFICATION OF CRYPTOGRAPHIC ALGORITHMS

The problem of obtaining a set of samples for the assessment of cryptographic algorithms quality on the basis of statistical tests use is considered. New properties of Markov binary chains taking into account dependences of probabilities of binary vectors with different length are described. The analytical expressions allowing the computation of dependences of range limits in values of probabilities of multidimensional binary random values upon probabilities of binary random values with smaller dimension are offered. The reasons for the necessity of an additional procedure of rejection at the simulation of the realization of Markov binary processes are defined. A method for the directed search of probability values of sets in

Общие положения, термины и обозначения

В настоящее время одним из обязательных этапов верификации криптографических алгоритмов является их тестирование с использованием множеств двоичных последовательностей (ДСП), выступающих в роли шифруемых сообщений [1]. Суть указанного этапа заключается в проверке результатов шифрования указанных сообщений на основе статистических

the distribution of Markov binary sequences allowing the generation of ergodic binary random sequences that allows refusing completely the procedure of rejection is considered. An algorithm realizing a mentioned method possessing a lowered computational complexity in comparison with the well-known algorithms for the organization of a computational experiment on the investigation of statistical properties of binary random sequences is presented.

Key words: statistical tests, Markov chains, binary sequences (chains), simulation, probabilities of binary vectors, discrete random value, computational complexity, cryptographic algorithms.

тестов на случайность, например тестов МКТ [2; 3].

Современные подходы к решению задачи формирования множества ДСП основаны на методе статистических испытаний (Монте-Карло) [4]. При этом значительное распространение на практике получили 2 варианта метода. Первый вариант заключается в случайном выборе ДСП из заранее сформированного множества. Вто-

рой вариант основан на формировании ДСП с использованием математического аппарата сложных цепей Маркова (ЦМ) [5], позволяющего наиболее полно описывать статистические свойства ДСП, и метода обратной функции [6], обеспечивающего симуляцию ДСП за счет преобразования равномерного распределения в требуемое путем задания соответствующего отображения.

К настоящему времени наиболее изученными являются свойства равновероятных, или равномерно распределенных, согласно терминологии фундаментальной работы [7], ДСП. Это вызвано, во-первых, исключительной ролью равномерно распределенных ДСП в криптографии, а во-вторых - возможностью получения на их основе ДСП с требуемым рядом распределения двоичных векторов. При этом очевидно, что вариант формирования множества ДСП для верификации криптографических алгоритмов на основе ЦМ привлекательнее с точки зрения обеспечения возможностей по управлению качеством результатов вычислительного эксперимента. Рассмотрим особенности реализации указанного метода.

При использовании ЦМ отображение задается в виде матрицы переходных вероятностей (МПВ). В отличие от задач симуляции одномерных распределений особенностью симуляции ДСП на основе ЦМ является векторный характер получаемых распределений. Задача моделирования случайных векторов, элементы которых представляют собой различные случайные величины, рассмотрена в [8]. При этом моделирование требует указания совместного распределения нескольких случайных величин. В настоящей работе рассматривается другой случай, в котором все элементы векторов различной длины характеризуют одну двоичную случайную величину (ДСВ).

Иными словами, в зависимости от заданной связности двоичной ЦМ требуется определить ряд распределения двоичных комбинаций соответствующей длины. Затем на основе информации относительно значений вероятностей двоичных комбинаций несложно вычислить значения эле-

ментов МПВ цепи, требующихся для организации процесса симуляции ДСП.

Однако при проведении вычислительных экспериментов значения вероятностей двоичных векторов, составляющих в совокупности ряды распределений симулируемых ДСП, как правило, априорно неизвестны. Соответствующие численные значения требуется получать на основе некоторой исходной информации, характеризующей исследуемый случайный процесс при низкой степени его агрегирования.

Кроме того, в ряде случаев при моделировании двоичных векторов задание МПВ не приводит к требуемому результату. Иными словами, использование некоторой совокупности значений МПВ симулирует ДСП с рядом распределения, не соответствующим требуемому. Известные результаты теории марковских процессов не позволяют объяснить природу такого явления, но относят симулируемый процесс к так называемым неэргодическим.

Проблема наличия неэргодических марковских процессов усугубляется отсутствием условий эргодичности для класса двоичных марковских процессов, выполнение которых можно проверить до начала процесса симуляции, что значительно усложняет организацию вычислительных экспериментов при верификации криптографических алгоритмов. Фактически единственно возможным решением в этих условиях является организация эксперимента с обязательным включением в него дополнительной процедуры отбраковки ДСП, оказавшихся неэргодическими. Отбраковку несложно реализовать, например, на основе сравнения значений элементов МПВ, использованных при симуляции и вычисленных по ДСП, полученным в результате симуляции. Очевидно, такой подход избыточен с точки зрения затрачиваемых на реализацию вычислительных экспериментов временных и вычислительных ресурсов.

Следовательно, вопросы, связанные с формированием исходного набора ДСП, преобразуемых с использованием криптографических алгоритмов, недостаточно развиты с точки зрения организации направленного перебора значений рядов рас-

пределений двоичных векторов в ДСП. Значительный шаг в этом направлении сделан в работе [9], в которой предложен метод симуляции ДСП с заданными статистическими свойствами. Настоящая работа

Формальная постановка задачи

Исходные данные:

1) Р(0) - вероятность события 0, Р(0) е [0,1];

2) V - масштаб распределения, т.е. длина двоичных векторов, для которых рассчитываются вероятности, V е 2, V > 2;

3) - количество интервалов значений вероятностей на масштабе г, ге 2,г > 2,4 е 2,Ьу > 2

4)п- номер варианта, п е 2, п е [0, Ы) .

посвящена вопросам минимизации количества испытаний при исследовании качества криптографических алгоритмов на основе симуляции ДСП с заданными статистическими свойствами.

Требуется разработать алгоритм расчёта значений вероятностей ряда распределения многомерных двоичных векторов, свободный от недостатков, связанных с необходимостью реализации процедуры отбраковки ДСП, обеспечивающий возможность направленного перебора статистических свойств симулируемых ДСП, варьирования точности их описания и обладающий пониженной вычислительной сложностью.

Свойства двоичных цепей Маркова, учи! ных векторов различной длины

Рассмотрим множества двоичных последовательностей различной длины г с целью определения взаимосвязей вероятностей двоичных векторов различной длины. Соответствующая древовидная структура, узлами которой являются двоичные

щие зависимости вероятностей двоич-

векторы, представлена на рис. 1. Каждый узел обозначен двухмерным индексом, где первый индекс г - длина вектора, а второй индекс ] - десятичное значение двоичного вектора.

Рис. 1. Древовидная структура взаимосвязей вероятностей двоичных векторов различной длины

Очевидно, что значение вероятности двоичных векторов, исходя из определения

полной группы событий, определяется выражениями

р(хх,х2,...,ху ) = /?(*!, х2,..., ху, ху+1 ) + р{х^,х2,..., Ху, ху+1) , Р(х!,х г^.. ^ ) = Р 2 , Ху)+Р 2^...^ V ) .

Тогда, учитывая номера позиций двоичных комбинаций в множествах комбинаций длины г, элемент модели на рис.1

с индексом (г, у) можно представить выражениями

Рг-и = Р 1,2 у + Рг ,2 у +1 ,

Рг—1, у = Рг, у + Рг, у + 2г

(1) (2)

Преобразование (1) и (2) с учетом введения номера четверки к позволило получить систему уравнений вида

Рг-1,к = Рг,2к + Рг,2к+1 Рг-1,2 к = Рг,2 к + Рг,2к+; (3)

Р г—1,2к+1 = Р г,2к+1 + Рг,2к+1+: ; Р1-1,к+21—1 _ Р 1,2к+21 + Рг,2к+1+:

Анализ значений индексов, определяющих значения двоичных векторов, показывает, что вероятности векторов, длина которых различается на единицу, образуют изолированные четверки. Таким образом, изменение значения вероятности любого двоичного вектора некоторой четверки оказывает влияние только на вероятности векторов этой четверки.

Решение системы (3) позволяет определить минимальные и максимальные значения вероятностей двоичных комбинаций длины , исходя из значений свободных членов системы (3). Так, максимальные значения слагаемых уравнений системы (3) определяются выражениями

= пшЬ(-1 У' Рг-1 .2*1 Рг,2к+1 =

(4)

(5)

Минимальные значения слагаемых уравнений системы (3) определяются выражениями ш1пР>г2* =Ре-1,л - ™«Лга»1 = Pf-i.fr ~ ^+1], (6)

Геометрически полученные зависимости удобно представить в виде трёх кругов, относительное расположение которых соответствует рис. 2. При этом углы секторов нижнего и верхнего кругов определя-

ются парами значений свободных членов уравнений, а углы секторов среднего круга - четырьмя значениями слагаемых в правых частях уравнений, входящих в (3).

Рис. 2. Геометрическая интерпретация взаимосвязи значений вероятностей двоичных векторов, определяющих элементы четверок

Наличие информации относительно значений вероятностей векторов меньшей размерности позволяет судить о диапазонах изменений вероятностей векторов большей размерности.

Указанное обстоятельство позволило разработать новый метод направленного перебора рядов распределений в задачах моделирования ДСП, отличающийся от известного учетом ограничений на диапа-

зоны значений вероятностей многомерных ДСВ, определяемых значениями вероятностей многомерных ДСВ меньшей размерности. Преимуществом метода является отсутствие необходимости осуществления операций, реализующих процесс отбраковки ДСП, для которых не выполняются требования к точности воспроизведения статистических свойств ДСП.

Алгоритм расчёта значений ряда распред

Разработанный метод реализуется алгоритмом, блок-схема которого представлена на рис. 3. Рассмотрим особенности указанного алгоритма. Результатом работы алгоритма является множество значений вероятностей двоичных векторов длины V. Номер варианта п определяет ряд распределения вероятностей масштаба V и выражается через десятичное представление многомерного числа, описывающего параметры ряда распределения. Количество разрядов указанного многомерного числа соответствует количеству четверок на всех

я многомерных двоичных векторов

масштабах и определяется выражением

V

N' = ^ 2г-2 . Каждый разряд п задается в

г=2

системе счисления по основанию Ь^- (1), где

определяет относительное положение значения вероятности ДСВ в интервале от минимального до максимального значения для каждой четверки. Десятичное значение варианта п определяется выражением

Рис. 3. Алгоритм расчёта значений вероятностей ряда распределения многомерных двоичных векторов на основании значения одномерной случайной величины и номера варианта

ма -1

1 -1

П = П0 + X П; -П Ьг (С

1=1

г=0

а количество возможных вариантов - выражением

N = U(L )2

1=2

Рассмотрим функциональное назначение блоков алгоритма. Блок 2 определяет начальные значения вероятностей ДСВ на первом масштабе. В блоках 3-8 производится расчет вероятностей ДСВ на различных масштабах г= 2...У.

Количество различных комбинаций двоичных векторов длины г составляет величину 2г. На каждом масштабе распределения все вероятности векторов рг,т длины г можно разбить на I непересекающихся групп по четыре элемента, т=0...2г-1. Ко-

2г

личество таких групп I = — = 2 рассчитывается в блоке 4.

Каждая четверка обрабатывается независимо друг от друга. Для обработки всех четверок вводится цикл (блоки 5-8) с параметром к=0..Л-1, определяющим номер четверки.

В блоке 6 производится выделение младшего разряда из варианта п с последующим получением относительной позиции в интервале [0,1] для текущей обрабатываемой четверки в соответствии с выражением

d

n mod Li L -1

и удаление младшего разряда за счет сдвига числа п вправо на один разряд:

п

-у.

Блок 7 предназначен для расчета минимального и максимального значений первого элемента обрабатываемой четверки в соответствии с выражениями (4), (5), (6).

В блоке 8 производится расчет значений финальных вероятностей для текущей обрабатываемой четверки в соответствии с выражениями

РгЛк = (1 — • т1П Рг,2к + Л • таХ Рг,2к

Pi,2к+1 = Pi-U — Pi,2к ' Pi,2k+2' = Pi~\,2k - Pi,2k , Pi,2k+1+2i = Pi-1.2M-1 - P',2k+1 •

После обработки всех четверок текущего масштаба i получаем вероятности всех векторов длины i

( Pm , m = 0..(2' -1)).

Результатом выполнения всех итераций цикла по i являются искомые (финальные) значения вероятностей векторов длины v.

Вычислительная сложность алгоритма

Каждый шаг цикла (блоки 6-8) требует 8 операций сложения/вычитания и 2 операций умножения (будем считать, что операция min требует одной операции вычитания, а формулы в блоке 6 в расчете вычислительной сложности не учитываются).

Каждый шаг цикла обрабатывает одну четверку. На масштабе v количество четверок есть величина 2г-2. Количество четверок, обрабатываемых на всех масштабах до /=v, есть величина

v

^ 2г-2 = 2v-1 -1. Следовательно, количест-

г=2

во операций сложения/вычитания для представленного алгоритма есть величина

8*(2у1 — 1), т.е. сложность алгоритма 0(у)=2у"\

Количество всех вариантов рассматриваемых рядов распределений есть вели-

V . ^

чина N = П (Ь) . Пусть все значения

1=2

V

П21—2 2V—1—1

Ь = Ь . Следова-

1=2

тельно, вычислительная сложность алгоритма полного перебора рядов распределений масштаба к с количеством интервалов значений вероятностей в каждой четверке Ь определяется выражением

О^, Ь) = 2 ^11 • Ь—1—11.

i-2

Выводы

Разработанный алгоритм обеспечивает возможность варьирования точности описания статистических свойств ДСП посредством наличия параметров, описывающих связность ЦМ (максимальный масштаб) и количество интервалов значений вероятностей в группах на каждом масштабе.

Проведенный сравнительный анализ вычислительной сложности известного алгоритма организации вычислительного эксперимента по исследованию статистических свойств ДСП и разработанного алгоритма, реализующего представленный в

СПИСОК ЛИТЕРАТУРЫ

1. Фомичёв, В. М. Методы дискретной математики в криптологии/В.М. Фомичев. - М.: Диалог-МИФИ, 2010. - 424 с.

2. Gustafson. A computer package for measuring strength of encryption algo-rithms/Gustafson//Journal of Computers & Security. - 1994. - Vol. 13. - № 8. - P. 687-697.

3. Ritter, T. Randomness Tests and Related Topics/T. Ritter. -URL: http ://www. ciphersbyritter. com/ RES/RANDTEST.HTM.

4. Бусленко, Н.П. Метод статистических испытаний (Монте-Карло) и его реализация на цифровых вычислительных машинах/Н.П.Бусленко, Ю.А.Шрейдер. - М.: ГИФМЛ, 1961. - 226 с.

5. Баруча-Рид, А. Т. Элементы теории марковских процессов и их приложения/А.Т. Баруча-Рид.-М.: Наука, 1969. - 512 с.

работе метод, позволил сделать вывод о том, что разработанный алгоритм обладает пониженной вычислительной сложностью при обеспечении выполнения заданных требований к точности воспроизведения статистических свойств симулируемых ДСП.

Для изучения вопросов по определению требований к генераторам ДСП с равномерным законом распределения, используемым в процедуре симуляции марковских ДСП, необходимо проведение дополнительных (желательно совместных с вьетнамскими коллегами) исследований.

6. Ермаков, С.М. Статистическое моделирование. Ч. 1. Моделирование распределений: учеб. по-собие/С.М. Ермаков. - СПб.: НИИМиМ им. В.И. Смирнова, 2006.-63 с.

7. Кейперс, Л. Равномерное распределение последовательностей/Л. Кейперс, Г. Нидеррейтер.-М.: Наука, 1985. - 408 с.

8. Советов, Б. Я. Моделирование систем / Б.Я. Советов, С. А. Яковлев.-М.: Юрайт, 2012. - 343 с.

9. Близнюк, В.И. Метод направленного перебора рядов распределений в задачах моделирования марковских двоичных последовательностей /

B.И. Близнюк, М.Ю. Конышев, В.А. Иванов,

C.В. Харченко //Промышленные АСУ и контроллеры. - 2015. - №5. - С. 40-45.

1. Fomichyov, V. M. Methods of Discrete Mathematics in Cryptology /V.M. Fomichyov. - M.: Dialo-gue-MEPI, 2010. - pp. 424.

2. Gustafson. A computer package for measuring strength of encryption algo-rithms/Gustafson//Journal of Computers & Security. - 1994. - Vol. 13. - № 8. - P. 687-697.

3. Ritter, T. Randomness Tests and Related Topics/T. Ritter. -URL: http ://www. ciphersbyritter. com/ RES/RANDTEST.HTM.

4. Buslenko, N.P. Method of Statistical Tests (Monte-Carlo) and Its Realization on Digital Comput-ers/N.P.Buslenko, Yu.A.Shreider. - M.: SPPML, 1961. - 226.

5. Barucha-Reed, А. Т. Elements of Theory of Markov Processes and Their Applications/А.Т. Barucha-Reed.-М.: Science, 1969. - pp. 512.

6. Yermakov, S.M. Statistical Modeling. Part. 1. Simulation of Distributions: manual/S.M. Yermakov. - S-Pb.: Smirnov RIM&M, 2006.-pp. 63.

7. Keipers, L. Uniform Distribution of Sequences /L. Keipers, G. Niderreiter.-М.: Science, 1985. - pp. 408.

8. Sovetov, B.Ya. System Modeling / B.Ya. Sovetov, S.A. Yakovlev.-М.: Yuright, 2012. - pp. 343.

9. Bliznyuk, V.I. Method of directed search of distribution sets in problems of simulation of Markov binary sequences / V.I. Bliznyuk, M.Yu. Konyshev, V.A. Ivanov, S.V. Kharchenko //Industrial ASC and Controllers. - 2015. - №5. - pp. 40-45.

Статья поступила в редколлегию 16.09.2016.

Рецензент: д.т.н., профессор Брянского государственного технического университета

Аверченков В.И.

Сведения об авторах:

Конышев Михаил Юрьевич, к.т.н., доцент, сотрудник Академии ФСО России, e-mail: alex.totrin@gmail.com.

Козачок Александр Васильевич, к.т.н., сотрудник Академии ФСО России, e-mail: atotrin@gmail.com.

Konyshev Mikhail Yurievich, Can. Eng., Assistant Prof., worker of Academy of FSG of Russia, e-mail: alex.totrin@gmail.com.

Kozachok Alexander Vasilievich, Can. Eng., worker of Academy of FSG of Russia, e-mail: atotrin@gmail.com.

Голембиовская Оксана Михайловна, к.т.н., доцент, нач. отдела организации научно-исследовательской работы студентов, аспирантов и молодых ученых, e-mail: bryansk-tu@yandex.ru. Петров Константин Евгеньевич, сотрудник Академии ФСО России, e-mail: pke.orel@bk.ru.

Golembiovskaya Oksana Mikhailovna, Can. Eng., Assistant Prof., Chief of Dep. for Students, Post Graduate Students and Young Scientists Research Work Organization, e-mail: bryansk-tu@yandex.ru. Petrov Konstantin Yevgenievich, worker of Academy of FSG of Russia, e-mail: pke.orel@bk.ru.