Способы отрицаемого шифрования с разделяемым ключом Текст научной статьи по специальности «Компьютерные и информационные науки»

\ КОДИРОВАНИЕ И ПЕРЕДАЧА ИНФОРМАЦИИ

УДК 681.3

СПОСОБЫ ОТРИЦАЕМОГО ШИФРОВАНИЯ С РАЗДЕЛЯЕМЫМ КЛЮЧОМ

Е. В. Морозова,

канд. техн. наук, ученый секретарь НТС НИИ «Вектор», г. Санкт-Петербург Я. А. Мондикова, аспирант

Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» Н. А. Молдовян,

доктор техн. наук, заведующий лабораторией Санкт-Петербургский институт информатики и автоматизации РАН

Предложены критерии построения алгоритмов отрицаемого шифрования для реализации механизмов защиты информации типа обманных ловушек и представлены разработанные алгоритмы данного типа. Новыми реализованными требованиями являются неотличимость от вероятностного шифрования и идентичность процедуры расшифрования и использования всех битов криптограммы для всех возможных значений ключа. Предложенные способы отрицаемого шифрования обеспечивают высокую производительность и перспективны для расширения арсенала криптографических механизмов защиты информации, используемых в комплексных системах компьютерной безопасности.

Ключевые слова — компьютерная безопасность, криптография, отрицаемое шифрование, хэш-функции, блочные шифры, вероятностное шифрование, криптограмма.

Введение

Понятие отрицаемого шифрования (ОШ) [1] связывается с задачей обеспечения стойкости шифрования информации в условиях возможности так называемых атак с принуждением. Данные виды атак подразумевают наличие у атакующего таких ресурсов воздействия на отправителя и (или) получателя сообщений, которые вынуждают отправителя и (или) получателя раскрыть параметры процесса зашифрования (принуждающая атака на отправителя сообщения) или расшифрования (принуждающая атака на получателя сообщения), например, ключ шифрования и случайные значения, использованные в процессе шифрования. Если предполагается, что атакующий может потребовать предоставления ему параметров как зашифрования, так и расшифрования, то имеет место двухсторонняя принуждающая атака. Стойкость к таким атакам обеспечивается алгоритмами и протоколами ОШ тем, что выходной шифртекст (криптограмма) может быть получен из различных осмысленных исходных сообщений и (или) из криптограммы могут

быть получены различные расшифрованные осмысленные тексты. Атакующему передаются параметры шифрования, которые связывают криптограмму с некоторым фиктивным осмысленным текстом. Атакующий проверяет то, что использование предоставленных ему параметров шифрования действительно приводит к преобразованию фиктивного сообщения в заданную криптограмму и (или) к раcшифрованию последней в фиктивное сообщение. Если результат проверки является положительным и атакующий не может доказать неполноту раскрытого текста, то алгоритм (протокол) ОШ считается стойким.

В известной литературе основное внимание исследователей направлено на способы ОШ, относящиеся к криптосхемам с открытым ключом. Такие способы основаны на использовании алгоритмов открытого шифрования или протоколов открытого распределения ключей [2—4]. При этом предполагается, что отправитель и получатель не имеют общей секретной информации (разделяемого секретного ключа), а восстановление фиктивного/настоящего сообщения зависит от применяемых случайных значений.

Интерес к алгоритмам и протоколам ОШ связан с перспективами их применения в защищенных распределенных вычислениях и системах тайного электронного голосования [5, 6]. Одно из ограничений практического использования процедур ОШ состоит в их низкой производительности, особенно характерной для криптосхем с открытым ключом. Поиск новых алгоритмов и протоколов ОШ привел к разработке более производительных способов ОШ [7, 8], однако практика требует дальнейшего повышения скорости работы криптоалгоритмов, особенно в случаях применения способов ОШ как специального механизма защиты информации в комплексных средствах компьютерной безопасности, основанного на обманных ловушках [9].

В отличие от схем ОШ на основе асимметричных алгоритмов шифрования, ОШ, основанное на схемах с разделяемым ключом, подразумевает наличие общего секрета (общего секретного ключа), позволяющего восстановить настоящее сообщение, как у отправителя, так и у получателя. В данной работе решается задача разработки производительных алгоритмов отрицаемого шифрования при одновременном обеспечении высокой стойкости к двухсторонней атаке с принуждением на основе ОШ с разделяемым секретом. Сочетание производительности и стойкости снимает существенные ограничения к практическому применению алгоритмов ОШ для защиты информации в средствах обеспечения информационной безопасности. При этом формулируются специальные требования к алгоритмам ОШ, связанные с использованием ОШ для реализации механизмов защиты типа обманных ловушек. Предложенные новые требования не удовлетворяются известными в литературе алгоритмами ОШ с разделяемым секретом [1].

Требования к алгоритмам отрицаемого шифрования с разделяемым секретом

Реализация механизмов защиты информации типа обманных ловушек основана на использовании способов ОШ, обеспечивающих возможность достаточно быстрого совместного зашифрования двух или более различных сообщений на двух или более различных ключах конечной длины. Одно из сообщений является фиктивным и зашифровывается на фиктивном секретном ключе, к которому организуется контролируемый доступ со стороны нарушителя. При расшифровании соответствующим образом составленного фиктивного сообщения нарушитель оказывается введенным в заблуждение (дезинформированным). Однако следует

предполагать, что нарушитель знает алгоритм расшифрования, используемый санкционированным пользователем, и может проанализировать криптограмму и ее применение при выполнении процедуры расшифрования по фиктивному ключу. Это не должно дать ему обоснованных подозрений, что кроме полученного им фиктивного ключа имеется еще и другой ключ, расшифровывающий криптограмму в другое осмысленное сообщение. Другими словами, алгоритм ОШ должен обладать такими свойствами, которые не позволят атакующему отличить ОШ от вероятностного шифрования по криптограмме, по фиктивному сообщению и фиктивному ключу. Это определяет следующие требования к алгоритмам ОШ:

1) неотличимость по криптограмме от вероятностного шифрования;

2) одинаковость процедур расшифрования для различных используемых ключей;

3) равноправность (идентичность использования) всех битов криптограммы для всех возможных значений ключа расшифрования.

Эти требования накладываются на требование использовать ключи конечного размера и обеспечивать достаточно высокую производительность. Они фактически являются продолжением принципа Керхкоффа, сформулированного для симметричных алгоритмов шифрования: шифр должен быть стойким при условии, что все детали процедуры шифрования известны атакующему. Для алгоритмов ОШ этот принцип разумно дополнить требованиями вычислительной неотличимости от вероятностного алгоритма шифрования при известной процедуре расшифрования и известной криптограмме. Смысл этого расширения принципа Керхкоффа состоит в том, чтобы атакующий не смог обоснованно утверждать (подозревать), что в криптограмме содержится какое-то другое сообщение, кроме сообщения, полученного с помощью имеющегося у него ключа расшифрования. Из трех сформулированных ранее требований к алгоритмам ОШ второе и третье являются вспомогательными. Однако несоблюдение этих требований служит источником предположений о том, что кроме фиктивного сообщения криптограмма содержит и другую информацию. Сформулированные требования выполняются, если можно указать алгоритм вероятностного шифрования, который преобразует фиктивное сообщение по фиктивному ключу в криптограмму, полученную с помощью алгоритма ОШ. При этом алгоритм расшифрования задается некоторой математической формулой, в которую криптограмма и ключ расшифрования входят в качестве параметров преобразования.

Способ отрицаемого шифрования с использованием блочных преобразований

Пусть дана хэш-функция FH. Шифрование сообщения T, представленного в виде последовательности и-битовых знаков t2, ..., t;, ..., tz}, выполним путем подбора k-битовых значений R = {rv r2, ..., r, ..., rz}, где k > и, таких, что выполняется соотношение

FH(K, r) mod 2и = t. (1)

или

FH(K, i, r) mod 2U = t., (2)

где K — ключ шифрования, для всех значений i = 1, 2, ..., z. На каждом шаге зашифрования значения r выбираются по случайному закону, т. е. эта процедура является вероятностной. Заданному исходному тексту соответствует большое число различных криптограмм. Расшифрование каждой возможной криптограммы приводит к получению одного и того же исходного текста. Расшифрование криптограммы выполняется как последовательная подстановка знаков криптограммы R в формулу (1) или (2).

Очевидно, что размер значений ri должен превышать размер значений ti. В результате последнего размер криптограммы больше размера исходного сообщения. Данный способ вероятностного шифрования является интересным благодаря следующим особенностям:

— универсальность (любая хэш-функция или блочное преобразование может быть использовано для реализации вероятностного шифрования по этому способу);

— полное совпадение формул зашифрования и расшифрования;

— возможность выполнения одновременного зашифрования двух и более сообщений.

Смысл шифрования по формуле (2) состоит в том, что включение счетчика в аргумент хэш-функции приводит к получению хороших статистических свойств шифртекста (криптограммы) даже при сравнительно малых значения k и и. Например, можно использовать значения k = 16 и и = 4 при шифровании по формуле (2), тогда как при шифровании по формуле (1) достаточная стойкость достигается при k > 24 и и > 8.

Шифрование двух сообщений T и M, представленного в виде последовательности знаков {rn-i, т-2, ..., mi, ..., mz}, выполним путем подбора k-битовых значений {ri, r2, ..., r, ..., rz} знаков таких, что выполняется пара соотношений

FH(K1, ri)mod2U = tt и FH(K2, ri)mod2U = mi

или

FH(KV г, rг)mod2u = г. и FH(K2,г, rг)mod2u = т.

Очевидно, что размер значений г. должен превышать сумму разрядностей значений г г и т.. Причем это должно обеспечить достаточно малое значение вероятности того, что для данной пары значений г . и т. не будет найдено подходящее значение г.. Например, можно задать значения к = 32 и и = 8.

Вместо хэш-функции Fн можно использовать алгоритм блочного шифрования Ек. Тогда шифрование пары сообщений Т и М выполняется по формулам

Ек^ (г.)mod2u = г г и ЕК2 (rг)mod2u = т1

или

Ек (г, г) mod2u = гг и ЕК2(г, гг)mod2u = т..

Включение счетчика в аргумент в случае использования алгоритмов блочного шифрования также обосновывается улучшением статистических свойств ОШ. Преимуществом использования блочных шифров по сравнению с использованием хэш-функций состоит в том, что выходное значение имеет меньшую длину, благодаря чему может быть достигнута более высокая производительность алгоритма ОШ. Представляет интерес использование 64-битовых блочных шифров, а также специально разработанных хэш-функций с ^битовым выходным значением.

Описанный выше способ вероятностного шифрования может обеспечить скорость преобразования входного сообщения, равную 1 —103 Мбит/с, а построенный на его основе алгоритм ОШ — скорость зашифрования, равную 10—104 Кбит/с (в режиме расшифрования производительность равна производительности алгоритма вероятностного шифрования). В ряде практических случаев применения ОШ для защиты информации такой производительности достаточно, однако расширение областей применения ОШ связано с существенным повышением скорости совместного шифрования двух сообщений. В следующем разделе предлагается вариант решения данной задачи.

Способ скоростного отрицаемого шифрования

Совместное шифрование двух различных осмысленных сообщений по ключам (К^ т^) и (К2, т2), где К1 и К2 — ключи некоторого блочного шифра Е с и-битовым входом; т1 и т.2 — взаимно простые числа, можно выполнить, разбив их на блоки данных размером V бит и последовательно преобразуя пары блоков данных следующим путем.

1. Используя алгоритм блочного шифрования Е и ключ К1, зашифровать блок М первого сообщения: См=Ек-(М).

2. Используя блочный шифр Е, зашифровать блок Т второго сообщения по ключу К2: Ст=Ек2(Т).

3. Используя дополнительные секретные значения т-1 и ш2, которые являются взаимно простыми, вычислить блок криптограммы, содержащий информацию об обоих исходных текстах Т и М и являющийся решением следующей системы сравнений:

С = CM mod m С = CT modm-2 '

(3)

где выходные блоки СТ и СМ функции шифрования Е интерпретируются двоичными числами; m1 и т-2 — секретные взаимно простые значения, имеющие разрядность V + 1 бит. Размер выходного шифртекста С на два бита больше суммы размеров шифртекстов СТ и СМ. Для чисел т1 и т2 может быть задано и большее значение разрядности, например V+5, однако это приведет к увеличению размера криптограммы на 2(5 - 1) бит по сравнению с рассматриваемым случаем. Решение системы линейных сравнений (3) описывается формулой

С = [Смт^т-1 modm1) + +Стт^т-1 modm.2)] modm1m.2.

Вычисление значений m.2(m.-1 modm1) и m.l(m.-1 modm2) может быть выполнено на этапе генерации секретных ключей, поэтому основной вклад в трудоемкость вычисления значения С вносит операция деления значения в квадратных скобках на модуль m1m.2. При использовании скоростных блочных шифров данный способ ОШ обеспечивает высокую производительность (в 102—103 раз более высокую по сравнению со способом ОШ, описанным в предыдущем разделе). Другим его достоинством является то, что размер криптограммы существенно меньше по сравнению с вышеописанным способом ОШ.

Для практического использования алгоритмов ОШ в системах компьютерной безопасности, предусматривающих реализацию защиты информации в режиме прозрачного шифрования данных на встроенном носителе информации [10], предпочтительным является случай равенства размера шифртекста С сумме размеров шифртекстов СТ и СМ. Для реализации такого требования при одновременном получении более высокого быстродействия может быть применен способ ОШ, аналогичный рассмотренному, но отличающийся тем, что формирование блока криптограммы осуществляется путем решения следу-

ющей системы линеиных сравнении, в которых модулями являются многочлены:

[С = EKi (M)mod |(x) I С = EK (T)modX(x)'

(4)

где |(x) и Х(х) — взаимно простые двоичные многочлены степени v; выходные значения блочного алгоритма шифрования интерпретируются двоичными многочленами степени v - 1. При формировании криптограммы C выполняются вычисления в конечных кольцах двоичных многочленов. Решение этоИ системы сравнении представляет собоИ двоичный многочлен степени 2v - 1, которыи вычисляется по формуле

C = [EK (M).X(x)(X~1(x) mod|(x)) + +EK (T).|(x)(|-1(x) modX(x))] mod|(x)X(x).

Так же как и для предыдущего способа ОШ, вычисление значений X-1(x) mod |(x) и |-1(x) mod X(x) может быть выполнено заранее, чтобы ускорить процесс шифрования. Для увеличения производительности алгоритма шифрования можно выбирать двоичные трехчлены (не обязательно, чтобы многочлены были непри-водимы). Значение k может выбираться равным 64, 128, 256, 512 бит и более. При этом могут использоваться как известные блочные шифры, так и разрабатываемые специально для реализации данного способа ОШ. Алгоритмы ОШ, описанные в настоящем разделе, относятся к алгоритмам блочного шифрования. При шифровании с их помощью сообщении произвольнои длины последние должны быть разбиты на блоки, которые могут шифроваться в режиме электрон-нои кодовои книги, в режиме сцепления блоков шифра или в других известных и применяемых для блочных шифров режимах [11—13], которые должны быть соответствующим образом адаптированы для случая ОШ.

Соответствие предложенным требованиям

Способ ОШ, основанный на использовании хэш-функции или блочных преобразовании и описанный в разделе «Способ отрицаемого шифрования с использованием блочных преобразований», обеспечивает выполнение трех требований к алгоритмам ОШ, сформулированным в разделе «Требования к алгоритмам отрицаемого шифрования с разделяемым секретом». Это непосредственно видно из описания алгоритмов, реализованных на основе этого способа.

Алгоритмы ОШ, описанные в предыдущем разделе, с очевидностью удовлетворяют второ-

му и третьему требованиям. Покажем, что они удовлетворяют также и требованию неотличимости от вероятностного шифрования. Для этого укажем алгоритм вероятностного шифрования, который по фиктивному ключу преобразует фиктивное сообщение в криптограмму. Данный алгоритм будем называть ассоциируемым алгоритмом вероятностного шифрования.

Рассмотрим алгоритм ОШ, включающий решение системы сравнений (3). Пусть фиктивным ключом является пара значений (К2, т2), а фиктивным сообщением — Т. Ассоциируемый алгоритм вероятностного шифрования описывается следующим образом.

1. Зашифровывается сообщение Т с использованием блочного алгоритма шифрования по формуле С = Ек2(Т).

2. Генерируется случайное значение Я < 2V и простое случайное значение 2V < г < 2V + 1.

3. Вычисляется криптограмма С как решение следующей системы сравнений:

С = C'modm2 С = R modr

(5)

Заданная криптограмма С может быть получена с помощью ассоциированного алгоритма вероятностного шифрования при различных парах значений Я < 2V и г < 2V + 1. Выберем произвольное простое число 2V < г < 2V + 1. По формуле С=Я modr вычислим значение Я, которое вместе с выбранным г образует пару значений, при которых решение системы (5) совпадает с заданной криптограммой С. Это означает, что заданная криптограмма может быть получена при выполнении шифрования фиктивного сообщения Т с использованием процедуры вероятностного шифрования по фиктивному ключу (К2, т^). Для доказательства того, что криптограмма была получена с использованием алгоритма ОШ, атакующему требуется вычислить ключ (К^ т^) и расшифровать сообщение М. Однако даже при известном фиктивном ключе и известном фиктивном сообщении это является не проще взлома алгоритма блочного шифрования Е. Действительно, если известно секретное значения т1, то тогда можно вычислить шифртекст, формируемый на выходе функции блочного шифрования Е при шифровании сообщения М по ключу К^ т. е. в результате этого получаем стандартные условия, при которых блочные шифры должны быть стойкими.

Заключение

В настоящей статье рассмотрено применение алгоритмов ОШ с разделяемым секретным ключом в качестве механизма защиты информации и

сформулированы требования к алгоритмам такого типа, ориентированные на применение в механизмах защиты, позволяющих реализовать обманные ловушки. Данный механизм защиты информации является новым для применения в комплексных системах информационной и компьютерной безопасности. Описаны разработанные способы и конкретные алгоритмы ОШ, удовлетворяющие сформулированным требованиям. Одним из сформулированных требований является неотличимость криптограммы, полученной с помощью процедуры ОШ, от криптограммы, полученной с помощью процедуры вероятностного шифрования. Соответствие разработанных алгоритмов этому требованию обосновывается указанием ассоциированного вероятностного шифра, для которого процедура расшифрования совпадает с процедурой расшифрования фиктивного сообщения по фиктивному ключу. Приведенные ассоциированные вероятностные шифры интересны тем, что в процессе расшифрования криптограммы случайные значения, использованные при выполнении процедуры зашифрования, не восстанавливаются однозначно, тогда как для известных вероятностных блочных шифров в процессе расшифрования использованные случайные значения восстанавливаются однозначно [10, 14]. Это определяет самостоятельный интерес к рассмотренным алгоритмам вероятностного шифрования. Также самостоятельной исследовательской задачей является разработка достаточно быстрых алгоритмов ОШ, обладающих коммутативными свойствами. Наши предварительные результаты свидетельствуют в пользу возможности решения последней задачи с использованием механизма формирования криптограммы на основе решения системы сравнений, предложенного в данной работе. Рассмотренные алгоритмы относятся к случаю одновременного шифрования двух сообщений, однако они легко расширяются на случай одновременного шифрования трех и более сообщений.

Литература

1. Canetti R., Dwork C., Naor M., Ostrovsky R. Deniable Encryption // Advances in Cryptology - CRYPTO 1997: Proc. P. 90-104.

2. Ibrahim M. H. A Method for Obtaining Deniable Public-Key Encryption // Intern. J. of Network security. 2009. Vol. 8. N 1. P. 1-9.

3. Ibrahim M. H. Receiver-Deniable Public-Key Encryption // Intern. J. of Network security. 2009. Vol. 8. N 2. P. 159-165.

4. Klonowski M., Kubiak P., KutyJowsk M. Practical Deniable Encryption // Theory and Practice of Com-

puter Science: 34th Conf. on Current Trends in Theory and Practice of Computer Science SOFSEM 2008, Novy Smokovec, Slovakia, Jan. 19-25, 2008. P. 599-609.

9. Березин А. Н., Биричевский А. Р., Молдовян Н. А., Рыжков А. В. Способ отрицаемого шифрования // Вопросы защиты информации. 2013. № 2. С. 18-21.

on Information Processing (ISIP'09), Huangshan, P. R. China, Aug. 21-23, 2009. P. 254-257.

5. Canetti R., Gennaro R. Incoercible multiparty computation // Proc. of the 37th Annual Symp. on Foundations of Computer Science FOCS, Oct. 14-16, 1996 // IEEE Computer Society, Washington, DC. P. 504.

10. Алексеев Л. Е., Молдовян А. А., Молдовян Н. А.

Алгоритмы защиты информации в СЗИ НСД «СПЕКТРА» // Вопросы защиты информации. 2000. № 3.С.63-68.

6. Bo Meng. A Secure Internet Voting Protocol Based on Noninteractive Deniable Authentication Protocol and Proof Protocol that Two Ciphertexts are Encryption of the Same Plaintext // J. of Networks. 2009. Vol. 4. N 5. P. 370-377.

11. Pieprzyk J., Hardjono Th., Seberry J. Fundumentals of Computer Security. - Berlin: Springer-Verlag, 2003. - 677 p.

12. Смарт Н. Криптография. - М.: Техносфера, 2005. -528 с.

7. Bresson E., Catalano D., Pointcheval D. A simple public key cryptosystem with a double trapdoor decryption mechanism and its applications // Proc. of the Aciacrypt 2003 Conf. LNCS 2894. Berlin: Springer-Verlag, 2003. P. 37-54.

13. Menezes A. J., Vanstone S. A. Handbook of Applied Cryptography. - CRC Press, 1996. - 780 p.

14. Молдовян А. А., Молдовян Н. А., Гуц Н. Д., Изотов Б. В. Криптография: скоростные шифры. -СПб.: БХВ-Петербург, 2002. - 495 с.

8. Bo Meng, Jiang Qing Wang. A Receiver Deniable Encryption Scheme // Proc. of the 2009 Intern.

Уважаемые подписчики!

Полнотекстовые версии журнала за 2002-2013 гг. в свободном доступе на сайте журнала (http://www.i-us.ru) и на сайте РУНЭБ (http://www.elibrary.ru). Печатную версию архивных выпусков журнала за 2003-2013 гг. Вы можете заказать в редакции по льготной цене.

Журнал «Информационно-управляющие системы» выходит каждые два месяца. Стоимость годовой подписки (6 номеров) для подписчиков России — 4200 рублей, для подписчиков стран СНГ — 4800 рублей, включая НДС 18 %, почтовые и таможенные расходы.

На электронную версию нашего журнала (все выпуски, годовая подписка, один выпуск, одна статья) вы можете подписаться на сайте РУНЭБ (http://www.elibrary.ru).

Подписку на печатную версию журнала можно оформить в любом отделении связи по каталогу: «Роспечать»: № 48060 — годовой индекс, № 15385 — полугодовой индекс, а также через посредство подписных агентств: «Северо-Западное агентство „Прессинформ"»

Санкт-Петербург, тел.: (812) 335-97-51, 337-23-05, эл. почта: press@crp.spb.ru, zajavka@crp.spb.ru, сайт: http://www.pinform.spb.ru «МК-Периодика» (РФ + 90 стран)

Москва, тел.: (495) 681-91-37, 681-87-47, эл. почта: export@periodicals.ru, сайт: http://www.periodicals.ru «Информнаука» (РФ + ближнее и дальнее зарубежье)

Москва, тел.: (495) 787-38-73, эл. почта: Alfimov@viniti.ru, сайт: http://www.informnauka.com «Гал»

Москва, тел.: (495) 603-27-28, 603-27-33, 603-27-34, сайт: http://www.artos-gal.mpi.ru/index.html «ИНТЕР-ПОЧТА-2003»

Москва, тел.: (495) 500-00-60, 580-95-80, эл. почта: interpochta@interpochta.ru, сайт: http://www.interpochta.ru Краснодар, тел.: (861) 210-90-00, 210-90-01, 210-90-55, 210-90-56, эл. почта: krasnodar@interpochta.ru Новороссийск, тел.: (8617) 670-474

«Деловая пресса»

Москва, тел.: (495) 962-11-11, эл. почта: podpiska@delpress.ru, сайт: http://delpress.ru/contacts.html «Коммерсант-Курьер»

Казань, тел.: (843) 291-09-99, 291-09-47, эл. почта: kazan@komcur.ru, сайт: http://www.komcur.ru/contacts/kazan/

«Урал-Пресс» (филиалы в 40 городах РФ)

Сайт: http://www.ural-press.ru

«Идея» (Украина)

Сайт: http://idea.com.ua

«ВТЬ» (Узбекистан)

Сайт: http://btl.sk.uz/ru/cat17.html

и др.