Способы псевдовероятностного блочного шифрования Текст научной статьи по специальности «Компьютерные и информационные науки»

Способы псевдовероятностного блочного шифрования

Молдовян А. А.

Санкт-Петербургский институт информатики и автоматизации РАН Санкт-Петербург, Россия maa1305@yandex.ru

Аннотация. Псевдовероятностное шифрование представлено как новый алгоритмический механизм обеспечения информационной безопасности, реализующий защиту информации в случае атак с принуждением к раскрытию ключа шифрования. Базовым требованием к преобразованиям данного вида является вычислительная неразличимость по шифртексту от вероятностного шифрования. Рассматриваются способы и алгоритмы, выполняющие псевдовероятностное шифрование как одновременное криптографическое преобразование фиктивного и секретного сообщений по двум различным ключам, состоящее в формировании блоков промежуточных шифртекстов и их обратимом отображении в единый расширенный блок выходной криптограммы. Предложены алгоритмы, включающие задание процедуры объединяющего отображения в виде решения систем линейных уравнений и сравнений, в которых в качестве модуля используются числа и двоичные многочлены. Предложенные способы обладают высокой производительностью и представляют значительный интерес для практического применения в системах информационной безопасности.

Ключевые слова: криптография, отрицаемое шифрование, псевдовероятностное шифрование, симметричное шифрование, блочные шифры, вероятностное шифрование, криптограмма.

Введение

Отрицаемое шифрование (ОШ) позволяет обеспечить защиту информации в ситуациях, когда участники сеанса защищенной связи подвергаются атаке с принуждением [1-3]. Такие атаки подразумевают, что у злоумышленника имеются некоторые ресурсы воздействия на получателя и/или отправителя, вынуждающие получателя и/или отправителя раскрыть секретные параметры процедуры зашифровыва-ния или расшифровывания, например, исходное сообщение и секретный ключ.

Практическое значение ОШ определяется тем, что его применение позволяет решить ряд важных нестандартных задач, связанных с информационной безопасностью информационно-телекоммуникационных технологий. Этот вид шифрования применяется для защиты информации в протоколах распределенных вычислений [4], защиты от скупки голосов систем тайного голосования через Интернет [5, 6].

Специальным вариантом ОШ является псевдовероятностное (ПВ) шифрование, которое расширяет класс алгоритмических средств защиты информации, используемых в составе комплексных средств обеспечения информационной безопасности [7]. Стойкость ПВ-шифрования к принуждающим атакам обеспечивается тем, что криптограмма (шифртекст) формируется путем совместного криптографического преоб-

Татчина Я. А.

Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» Санкт-Петербург, Россия iana.tatchina@gmail.com

разования двух сообщений - секретного и фиктивного - при выполнении требования вычислительной неразличимости от шифртекста, полученного в процессе вероятностного шифрования фиктивного сообщения по фиктивному ключу. Последние могут быть раскрыты атакующему в случае принуждающей атаки с сохранением требуемого уровня защищенности секретного сообщения. При этом пользователи имеют возможность убедительно утверждать, что они использовали алгоритм вероятностного шифрования для защиты информации. Ранее в рамках данного общего подхода были разработаны протоколы ПВ-шифрования, основанные на коммутативных шифрующих преобразованиях [8], и гибридные ПВ-шифры [9].

В схеме ПВ криптографического преобразования получатель и отправитель сообщения обмениваются двумя ключами шифрования - секретным и фиктивным, по которым выполняется процедура преобразования секретного и фиктивного сообщений, соответственно. При этом формируется единый шифртекст, из которого с использованием одного и того же алгоритма расшифровывания может быть восстановлено секретное или фиктивное сообщение в зависимости от используемого ключа. Такая возможность обеспечивается тем, что размер единого шифртекста больше, чем размер каждого из рассматриваемых двух входных сообщений. В случае вероятностного шифрования имеет место аналогичное увеличение размера шифртекста, что создает принципиальную возможность выполнить требование вычислительной неразличимости по шифртексту ПВ-шифрования от вероятностного [10]. Доказательное выполнение этого требования связано с представлением атакующему алгоритма вероятностного шифрования, которому соответствует такой алгоритм расшифровывания, с помощью которого по фиктивному ключу из шифртекста восстанавливается фиктивное сообщение.

Интерес к способам и алгоритмам ПВ-шифрования обусловливается возможностью реализации на их основе новых механизмов защиты информации, реализуемых в виде криптографически скрытых каналов (криптографических стегоканалов) и криптографических обманных ловушек [11, 12]. Данные защитные механизмы нового типа представляют интерес для практического применения в составе комплексных средств обеспечения информационной безопасности информационно-телекоммуникационных систем, используемых на железнодорожном транспорте.

Настоящая статья построена следующим образом. В первой части описываются основные требования к построению алгоритмов псевдовероятностного шифрования и модель потенциального нарушителя. Во второй части представлены способы блочного ПВ-шифрования с вычислением

блоков шифртекста как двоичных чисел путем решения систем сравнений. В третьей части описываются алгоритмы ПВ-шифрования с формированием блоков выходного шифр-текста в виде решения систем линейных уравнений в конечном поле (простом и двоичном).

Требования к алгоритмам блочного псевдовероятностного шифрования

Алгоритмы блочного ПВ-шифрования как частные случаи алгоритмов ОШ с разделяемым ключом ориентированы на обеспечение стойкости к атакам с принуждением к раскрытию ключа шифрования. Принудительная атака представляет собой некоторое обобщение разных потенциальных атак, в ходе которых атакующий получает ключ шифрования. Наиболее характерным для модели принудительной атаки является то, что атакующий после перехвата шифртекста получает значение ключа шифрования, с помощью которого может быть восстановлено исходное сообщение. Принимая такую модель, можно абстрагироваться от конкретных способов действий атакующего, с помощью которых ему становится известным ключ. Такими действиями могут быть установка технических и программных закладок, подкуп, хищение ключевых носителей, перехват ключевой информации по побочным каналам, криптоанализ и др.

При разработке механизмов защиты информации, основанных на обманных криптографических, могут создаваться условия облегченного получения ключа шифрования, например, использование более короткого фиктивного ключа по сравнению с секретным ключом. Для практического использования защитных механизмов, основанных на ПВ-шифровании, следует разработать алгоритмы, обеспечивающие достаточно высокую скорость ПВ-шифрования и отсутствие признаков, по которым нарушитель мог бы определить, что шифрование не является вероятностным.

Для обеспечения последнего положения представляется важным выполнение следующих требований к построению ПВ-шифров, в том числе блочных алгоритмов ПВ-шифрования:

• криптограмма, полученная в процессе ПВ-шифрования, должна быть неотличима от криптограммы, получаемой в ходе процедуры вероятностного шифрования;

• восстановление из криптограммы фиктивного и секретного сообщений должно происходить независимо друг от друга;

• алгоритмы расшифровывания фиктивного и секретного сообщений должны совпадать.

Псевдовероятностное шифрование с вычислением блоков шифртекста из системы сравнений

Рассмотрим способ блочного ПВ-шифрования, реализуемый в виде совместного шифрования двух независимых сообщений - фиктивного М и секретного Т, выполняемого по двум независимым ключам в единый шифртекст. Для обеспечения возможности независимого восстановления из последнего каждого из входных сообщений с использованием одного и того же алгоритма зададим разбиение М и Т на блоки данных одинаковой длины, равной п бит, и формирование п-битовых блоков промежуточных шифртекстов

с использованием некоторого апробированного алгоритма блочного шифрования Е.

Полный секретный ключ ПВ-шифрования сформируем в виде секретного (К1, р1) и фиктивного (К2, р2) ключей, где элементы К1 и К2 - это ключи блочного п-битового шифра Е, а р1 и р2 - пара взаимно простых чисел длины п + 1 бит. Совместное криптографическое преобразование сообщений Т = (Т1, Т2, ..., Т) и М = (М1, М2, ..., М), представленных в виде последовательностей п-битовых блоков данных, определим как последовательное преобразование соответствующих пар входных блоков Т и М в единый расширенный блок шифр текста С. (для I = 1, 2, ..., г) по следующему алгоритму:

1) используя функцию блочного шифрования Е и ключ К1, преобразовать входной блок данных Т в блок промежуточного шифртекста Св = ЕК1(Т);

2) используя блочный шифр Е и ключ К1, преобразовать входной блок данных М в блок промежуточного шифртекста

СМ-=ЕК2(М);

3) используя ключевые элементы р1 и р2 и трактуя п-би-товые блоки промежуточных шифртекстов СТ и СМ как числа, представленные в двоичном виде, вычислить единый блок выходного шифртекста С в виде решения системы сравне-

ний

Г Ci = CT, mod pi; \С{ = CM< mod P2.

(i)

Для записи значения блока единого шифртекста С резервируется 2n + 2 битов, что является достаточным, поскольку при любых значенияхpi иp2 имеет место условие Ci < 2 n+ . Криптограмма С, содержащая в преобразованном виде оба входных сообщения, представляется в виде последовательности блоков шифртекста С: С = (Ci, С2, ..., Cz).

В соответствии с китайской теоремой об остатках решение системы линейных сравнений (i) описывается формулой

Сi = [CtP2(P2- m0dPi) + CMiPi (РГ1 m0dP2)] m0dPiP2,

которая и задает вычислительную процедуру отображения пары блоков промежуточных шифртекстов в единый расширенный блок выходного шифртекста. Легко заметить, что значения p2 (p2-i mod Pi) и Pi (p^ mod P2) могут быть вычислены предварительно, что позволит повысить производительность описанного алгоритма блочного ПВ-шифрования.

Стойкость данного ПВ-шифра к принуждающим атакам обеспечивается возможностью правдоподобно утверждать, что шифртекст сформирован путем вероятностного шифрования фиктивного сообщения М по фиктивному ключу (K2, p2). Доводом в пользу такой интерпретации является представляемый ассоциированный алгоритм вероятностного шифрования и связанный с ним алгоритм процедуры расшифровывания шифртекста.

Ассоциируемый алгоритм вероятностного шифрования можно описать следующим образом:

1) разбить сообщение M на n-битовые блоки M:

M = (Mi, M2, ..., M);

2) зашифровать каждый i-й (i = i, 2, ..., z) блок входных данных M , выполняя следующие шаги:

2.1) используя «-битовый алгоритм блочного шифрования Е, зашифровать блок данных М по ключу К2

сш=ЕК2(М);

2.2) сгенерировать случайное число г, удовлетворяющее условию 2« < г < 2п + 1 и взаимно простое ср2;

2.3) сгенерировать случайное число Я < 2п;

2.3) вычислить г-й блок криптограммы С как решение системы линейных сравнений

ICi = Cm, modрг; I C = R mod r.

(2)

Легко показать, что каждый блок С. криптограммы C мог быть получен в результате вероятностного шифрования блока фиктивного сообщения M по фиктивному ключу при использовании представленного алгоритма вероятностного блочного шифрования. Действительно, пусть С. и Сш = = E(M) удовлетворяют первому сравнению системы (2). Тогда для любого значения r, которое является взаимно простым с p2 и удовлетворяет условию Ci < rp2, имеется значение R = С i mod r, при котором система (2) имеет своим решением заданное значение С.. Таким образом, зашифровывание фиктивного сообщения M по фиктивному ключу с использованием ассоциированного алгоритма вероятностного шифрования потенциально может привести к формированию шифртек-ста, полученного с помощью ПВ-шифрования сообщений M и T.

Алгоритму ПВ-шифрования и ассоциируемому с ним алгоритму вероятностного шифрования соответствует один и тот же алгоритм расшифровывания криптограммы C = (С1, C2, ..., C,, ..., C) по ключу (K2,p2), который описывается следующими шагами:

1) каждый i-й ( i = 1, 2, ..., z) блок C, расшифровать, выполнив следующие два шага:

1.1) вычислить блок промежуточного шифртекста Сш = = С t mod p2;

1.2) расшифровать блок CM по ключу K2, используя функцию блочного расшифровывания D = E-1

M=DK2 (Cm);

2) объединить все восстановленные блоки M в сообщение M = (M1, M2, M, M).

В случае принуждающей атаки отправитель и получатель криптограммы C предоставляют атакующему ключ (K2, p2) и сообщение M в качестве секретных значений. При этом они поясняют, что блочный шифр E использован в режиме вероятностного шифрования (и предоставляют атакующему ассоциированный алгоритм вероятностного шифрования). Применение режима вероятностного шифрования они поясняют желанием повышения стойкости шифрования и защиты от возможных непредвиденных слабостей блочного шифра E.

Секретное сообщение из криптограммы C = (C1, C2,.., Cz) восстанавливается также путем выполнения последнего алгоритма, но при использовании секретного ключа (K1, p1), что определяет такую последовательность шагов:

1) каждый i-й ( i = 1, 2, ..., z) блок С. расшифровать, выполнив следующие два шага:

1.1) вычислить блок промежуточного шифртекста C = = С t mod p1;

1.2) расшифровать блок CTi по ключу K1, используя функцию блочного расшифровывания D = E-1

T=DK1 С);

2) объединить все восстановленные блоки T в сообщение T = (T1, T2, ..., T, ..., T).

Таким образом, рассмотренный блочный ПВ-шифр удовлетворяет принятым критериям построения, т. е. в нем совпадают алгоритмы восстановления из криптограммы C фиктивного и секретного сообщения. Также они совпадают с алгоритмом расшифровывания криптограммы, полученной с помощью ассоциированного алгоритма вероятностного шифрования.

Псевдовероятностные шифры с вычислением блоков шифртекста из системы уравнений

Рассмотрим построение скоростных алгоритмов псевдовероятностного шифрования с отображением пар промежуточных шифртекстов, реализуемое в виде процедуры решения системы линейных уравнений в простом конечном поле. Так же, как в предыдущем шифре, предполагается предварительное зашифровывание блоков входных сообщений M и T с помощью блочного шифра E на ключах K = (K1, K2) и Q = (Q1, Q2), соответственно, подключи которых используются также в качестве коэффициентов уравнений, входящих в систему. При этом при генерации подключей K1, K2, Q1 и Q2 следует обеспечить выполнимость условия K1Q2 -- K2Q1 ф 0 modp (условие существования единственного решения для системы двух линейных уравнений).

Пусть, например, промежуточное шифрование выполняется с помощью блочного шифра E с размером входного блока n = 64 бит и 128-битовым ключом K, представленным в виде пары 64-битовых подключей K1 и K2: K = (K1, K2). Блочное ПВ-шифрование сообщений T и M, имеющих одинаковый размер, задается следующим алгоритмом:

1) разбить сообщения T и Mна 64-битовые блоки T и M:

T = (T, Tv ..., T, ., T); M = (M, M2, ..., M, ., M);

2) каждый i-й блок T. и каждый i-й ( i = 1, 2, ..., z) блок M зашифровать, выполнив следующие два шага:

2.1) зашифровать блок данных T . по ключу Q

ci=eq (T);

2.2) зашифровать блок данных M по ключу K

cm.=ek (M);

3) для каждого значения i = 1, 2, ..., z сформировать 130-битовый блок криптограммы С i в виде конкатенации двух 65-битовых значений С' и С": С i = (С/, С"), являющихся решением системы линейных уравнений с неизвестными С.' и С.'' :

[K1C+K2C^Cm1 mod p;

I QC+QC^Ct. modp,

(3)

где р - некоторое специфицированное простое число длиной 65 бит, такое, что операция умножения по модулю р

может быть выполнена без операции арифметического деления наp (например, p = i844674407370955i629; p = = i844674407370955368i).

Ассоциируемый алгоритм вероятностного шифрования описывается следующим образом:

1) разбить сообщение M на 64-битовые блоки M

M = (Mi, M2, ..., M);

2) каждый i-й (i = i, 2, ..., z) блок зашифровать, выполнив следующие три шага:

2.1) зашифровать блок данных M по ключу K с использованием n-битового блочного алгоритма шифрования E по

формупе cm, = ek (M);

2.2) сгенерировать случайные числа R <p и r <p;

2.3) вычислить i-й блок криптограммы С как решение системы сравнений

ГВД + KС - Сщ mod p;

[ С' + rC - R modp.

(4)

При фиксированном ключе K каждый i-й блок С криптограммы в общем случае может быть получен с помощью ассоциированного алгоритма вероятностного шифрования при различных парах значений R и r. Действительно, выбор произвольного числа r однозначно определяет значение R, при котором второе уравнение в (4) будет выполняться для фиксированного значения С..

Вместо (4) в ассоциируемом алгоритме вероятностного шифрования можно задать систему линейных уравнений, в которой второе уравнение имеет более простой вид:

Гад + K2 С' - CMt mod p;

[ С[ - rC'mod p.

Расшифровывание криптограммы С = (Ci, С2, ..., С,, ..., Cz) по фиктивному ключу K = (Ki, K2) выполняется следующим образом:

1) каждый i-й (i = i, 2, ..., z) 130-6итовый блок С i представить в виде конкатенации двух 65-битовых подблоков С' и С'' и расшифровать его, выполнив следующие два шага:

1.1) вычислить 64-битовый блок промежуточного шифр-текста

Сщ - KiC + K2С'modp;

1.2) расшифровать блок CMi по ключу K, используя функцию блочного расшифровывания D = E-i:

M. = DK (CM);

i K v Min

2) объединить все восстановленные 64-битовые блоки данных M. в сообщение

M = (M„ мг, ..., M-, ., M).

Раскрытие секретного сообщения из криптограммы С = = (Ci, С2, ..., Cz) выполняется по этому же алгоритму при использовании секретного ключа Q = (Qi, Q2):

i) каждый i-й (i = i, 2, ..., z) 130-6итовый блок С. расшифровать, выполнив следующие два шага:

1.1) вычислить 64-битовый блок промежуточного шифр-текста CT - QC + Q2C'modp;

1.2) расшифровать блок Cn по ключу Q, используя функцию блочного расшифровывания D = E~l:

T=dq С);

2) объединить все восстановленные 64-битовые блоки данных T в сообщение T= (Ti, T2, ., Tz).

Подблоки С' и С'' имеют размер, равный 65 бит, а блок С' - i30 бит. Это на 2 бита больше, чем суммарная длина блоков входных данных. Чтобы обеспечить равенство размера объединенного блока криптограммы сумме размеров входных блоков данных, следует воспользоваться заданием системы уравнений, аналогичной (3), в конечном поле двоичных многочленов.

Алгоритмы иа основе решения систем линейных уравнений в конечных двоичных полях

Пусть требуется выполнить совместное шифрование двух сообщений T = (Ti, T2, ., Tz) и M = (Mi, M2, ., M), где T. и M. - l28-битовые блоки. Произведем промежуточное шифрование каждого блока данных M с помощью алгоритма блочного шифрования E с размером входного блока n = = i28 бит и 256-битовым ключом K, представленным в виде пары 128-6итовых подключей Ki и K2: K = (Ki, K2). Для промежуточного шифрования блоков T также воспользуемся блочным шифром E и другим 256-битовым ключом Q, представленным в виде пары 128-6итовых подключей Qi и Q2: Q = (Qi, Q2). Генерацию ключей K и Q выполним как генерацию пар равновероятных случайных 128-6итовых строк, рассматриваемых как двоичные многочлены и удовлетворяющих условию KiQ2 - K2Qi Ф 0 mod n (x), где n (x) - неприводимый двоичный многочлен степени i28, являющийся специфицируемым параметром ПВ-шифра.

Блочное ПВ-шифрование сообщений M и T можно задать по следующему алгоритму:

1) каждый i-й 128-6итовый блок данных T и каждый i-й (i = i, 2, ..., z) блок Mi зашифровать, выполнив следующие два шага:

1.1) зашифровать 128-6итовый блок данных M. по ключу K

CM<=EK (M);

1.2) зашифровать 128-6итовый блок данных T по ключу Q

ст.=eq (T);

2) для каждого значения i = i, 2, ., z сформировать 256-битовый блок криптограммы С. в виде конкатенации двух 128-6итовых двоичных многочленов С' и С'.': С. = (С', С''), являющихся решением системы линейных уравнений с неизвестными С' и С'':

Г KiC' + K С - См, mod n( x); I QC\ + Q2C - С modn(x).

(5)

Ассоциируемый алгоритм вероятностного шифрования описывается следующим образом:

1) разбить сообщение М на 128-битовые блоки М:

М = (Мх, Мг, ., М);

2) каждый г-й ( . = 1, 2, ., г) блок зашифровать, выполнив следующие три шага:

2.1) зашифровать блок данных М по ключу Q с использованием 128-битового блочного алгоритма шифрования Е

по формуле СМ1 = Ев (М);

2.2) сгенерировать случайные двоичные многочлены Х(х) и р(х) степени 127;

2.3) вычислить г-й 256-битовый блок криптограммы С.= = (С , С'' ) как решение системы уравнений

\КС + KгС\См. modn(x); I С' + Цх)С' = р( x) mod n(x).

(6)

Заданный блок криптограммы С. может быть получен с помощью ассоциированного алгоритма вероятностного шифрования при фиксированных значениях фиктивного ключа K и блока промежуточного шифртекста Сш при различных парах значений многочленов X(x) и p(x). При этом выбор произвольного многочлена X(x) однозначно определяет значение p(x), для которого система уравнений (5) в качестве своего решения будет иметь пару многочленов С' , С'' , таких, что С = (С/ , С'' ).

Расшифровывание криптограммы С = (С1, С2, ..., Cz) по фиктивному ключу K = (K1, K2) выполняется следующим образом:

1) каждый i-й (i = 1, 2, ..., z) 256-битовый блок С. расшифровать, выполнив следующие два шага:

1.1) вычислить 128-битовый блок промежуточного шифр-текста по формуле

CMt = КС + КС' mod n(x);

1.2) расшифровать 128-битовый блок Сш по ключу К, используя функцию блочного расшифровывания D = E-1

M=DK (См);

2) объединить все восстановленные блоки M в сообщение M = (M1, M2, ., M, ., M).

Раскрытие секретного сообщения из криптограммы С = = (С1, С2, ., Cz) выполняется по ключу Q = (Q1, Q2) следующим образом:

1) каждый i-й (i = 1, 2, ..., z) 256-битовый блок С. расшифровать, выполнив следующие два шага:

1.1) вычислить 128-битовый блок промежуточного шифр-текста

С^ - QC' + Q2C'modn(x);

1.2) расшифровать 128-битовый блок Ст. по ключу Q, используя функцию блочного расшифровывания D = E1,

T=DK С);

2) объединить все восстановленные блоки T в сообщение т = (T1, T2, ..., тг).

В описанном ПВ-шифре в качестве функции блочного шифрования E можно использовать 128-битовый алгоритм блочного шифрования, рекомендуемый стандартом ГОСТ Р 34.12-2015. В общем случае для шифрования сообщений T и Мможно использовать блочные шифры с разными размерами входного блока. Например, сообщение T можно разбивать на 64-битовые блоки данных T и шифровать последние с помощью 64-битового шифра, а сообщение M - на 128-битовые блоки M с последующим их шифрованием с использованием 128-битового блочного шифра. Однако блоки промежуточного шифртекста потребуется объединять путем совместного решения двух линейных уравнений (5), записанных по моду-

лю одного и того же неприводимого двоичного многочлена П(х) степени 128. Это приведет к тому, что объединенный блок С. криптограммы будет иметь размер 256 бит, что превышает сумму размеров блоков Ti и Mi.

Для разбиения сообщений T и M на блоки данных разного размера предпочтительно использовать построение алгоритма ПВ-шифрования с объединением блоков промежуточных шифртекстов путем решения системы из двух уравнений, в которой в качестве модулей можно использовать двоичные многочлены разной степени (например, 128 и 64 бит), за счет чего можно обеспечить равенство размера объединенного блока (192 бит) сумме размеров блоков промежуточных шифртекстов, имеющих различную длину.

Заключение

В настоящей статье показана перспективность применения ПВ-шифрования для построения новых механизмов защиты информации, сформулированы основные требования к ПВ-шифрам, рассмотрены способы построения и предложены конкретные алгоритмы блочного ПВ-шифрования с разделяемым ключом. Выполнимость критерия вычислительной неразличимости по шифртексту блочного ПВ-шифра от блочного вероятностного шифра доказывается наличием ассоциированного алгоритма вероятностного шифрования.

Предложенные способы блочного ПВ-шифрования задают процедуру совместного зашифровывания двух сообщений, однако они легко расширяются для одновременного шифрования трех и более сообщений.

Дальнейшее развитие тематики ПВ-шифрования можно связать с разработкой рандомизированных ПВ-шифров, с поиском новых способов задания взаимно однозначного отображения блоков промежуточных шифртекстов в единый блок выходной криптограммы и ПВ-шифров, включающих процедуру предварительного сжатия входных сообщений.

Литература

1. Dachman-Soled D. On minimal assumptions for sender-deniable public key encryption // Public-Key Cryptography-PKC 2014: 17th Int. Conf. Practice and Theory in Public-Key Cryptography. Lecture Notes Comp. Sci. 2014. Vol. 8383. P. 574-591.

2. Ibrahim M. H. A Method for Obtaining Deniable Public-Key Encryption // Int. J. Network Security. 2009. Vol. 8, № 1. P. 1-9.

3. Canetti R., Dwork C., Naor M., Ostrovsky R. Deniable Encryption // Proc. Advances in Cryptology - CRYPTO 1997. Lectute Notes in Computer Science. Springer - Verlag. 1997. Vol. 1294. P. 90-104.

4. Ishai Yu., Kushilevits E., Ostrovsky R. Efficient non-interactive secure computation // Advances in Cryptology - EURO-CRYPT 2011. Lectute Notes in Computer Science. Springer - Verlag. 2011. Vol. 6632. P. 406-425.

5. Meng B. A secure Internet voting protocol based on non-interactive deniable authentication protocol and proof protocol that two ciphertexts are encryption of the same plaintext // J. Networks. 2009. Vol. 4. P. 370-377.

6. Barakat T. M. A New Sender-Side Public-Key Deniable Encryption Scheme with Fast Decryption // KSII Transactions on Internet and Information Systems. 2014. Vol. 8, №. 9. P. 32313249.

7. Молдовян Н. А., Биричевский А. Р., Мондикова Я. А. Отрицаемое шифрование на основе блочных шифров // Информационно-управляющие системы. 20i4. № 5. С. 80-86.

8. Moldovyan N.A., Shcherbacov A. V., Eremeev M. A. Deniable-encryption protocols based on commutative ciphers // Quasig-roups and related systems. 20i7. Vol. 25, № i. P. 95-i08.

9. Moldovyan N. A. Berezin A. N., Kornienko A. A., Moldovyan A. A., Bi-deniable Public-Encryption Protocols Based on Standard PKI // Proc. i8th FRUCT & ISPIT Conf., i8-22 Apr. 20i6. St. Petersburg. P. 2i2-2i9.

10. Moldovyan N.A., Moldovyan A. A., Moldovyan D. N., Shcherbacov V. A. Stream Deniable-Encryption Algorithms // Comput. Sci. J. Moldova. 20i6. Vol. 24, № i (70). P. 68-82.

11. Морозова Е.В, Мондикова Я. А., Молдовян Н. А. Способы отрицаемого шифрования с разделяемым ключом // Информационно-управляющие системы. 20i3. № 6. С. 73-78.

12. Березин А. Н., Биричевский А. Р., Молдовян Н. А., Рыжков А. В. Способ отрицаемого шифрования // Вопр. защиты информации. 20i3. № 2. С. i8-2i.

Deniable-encryption Methods Based on Block Ciphers

Moldovyan A.A.

Saint-Petersburg Institute for Informatics and Automation of RAS St. Petersburg, Russia maa1305@yandex.ru

Abstract. Pseudo-probabilistic encryption is presented as a new algorithmic mechanism for ensuring information security, which implements information protection in the event of attacks with compelling disclosure of the encryption key. The basic requirement for transformations of this type is the computational indistinguishability of the ciphertext from probabilistic encryption. We consider methods and algorithms that implement pseudo-probability encryption as a simultaneous cryptographic transformation of fictitious and secret messages in two different keys, consisting in the formation of blocks of intermediate ciphertexts and their reversible mapping into a single extended block of the output cryptogram. Algorithms are proposed that include the task of the unifying mapping procedure in the form of solutions of systems of linear equations and comparisons in which numbers and binary polynomials are used as a module. The proposed methods have a sufficiently high productivity and are of considerable interest for practical application in information security systems.

Keywords: cryptography, denied encryption, pseudo-probabilistic encryption, symmetric encryption, block ciphers, probabilistic encryption, cryptogram.

References

1. Dachman-Soled D. On minimal assumptions for sender-deniable public key encryption, Public-Key Cryptography-PKC 2014: 17th Int. Con. Practice and Theory in Public-Key Cryptography. Lecture Notes Comp. Sci., 2014, Vol. 8383, pp. 574-591.

2. Ibrahim M. H. A Method for Obtaining Deniable Public-Key Encryption, Int. J. of Network Security, 2009, Vol. 8, no. 1, pp. 1-9. '

3. Canetti R., Dwork C., Naor M., Ostrovsky R. Deniable Encryption, Proc. Advances in Cryptology - CRYPTO 1997. Lectute Notes in Computer Science. Springer - Verlag, 1997, Vol. 1294, pp. 90-104.

4. Ishai Yu., Kushilevits E., Ostrovsky R. Efficient non-interactive secure computation, Advances in Cryptology - EURO-

Tatchina Ya.A.

Saint-Petersburg State Electrotechnical University "LETI" St. Petersburg, Russia iana.tatchina@gmail.com

CRYPT2011. Lectute Notes in Computer Science. Springer - Verlag, 2011, Vol. 6632, pp. 406-425.

5. Meng B. A secure Internet voting protocol based on non-interactive deniable authentication protocol and proof protocol that two ciphertexts are encryption of the same plaintext, J. Networks, 2009, Vol. 4, pp. 370-377.

6. Barakat T. M. A New Sender-Side Public-Key Deniable Encryption Scheme with Fast Decryption, KSII Transactions on Internet and Information Systems. 2014, Vol. 8, no. 9, pp. 32313249.

7. Moldovyan N.A., Birichevskiy A. R., Mondikova Ya. A. Deniable Encryption Based on Block Ciphers [Otritsaemoe shyfrovanie na osnove blochnyh shyfrov], Information-control systems [Informatsionno-upravlyayuschchie sistemy], 2014, no. 5, pp. 80-86. (In Russ.)

8. Moldovyan N. A., Shcherbacov A. V., Eremeev M.A. Deniable-encryption protocols based on commutative ciphers, Quasig-roups and related systems. 2017. Vol. 25, no. 1, pp. 95-108.

9. Moldovyan N. A. Berezin A. N., Kornienko A.A., Moldo-vyan A. A. Bi-deniable Public-Encryption Protocols Based on Standard PKI. Proc. 18th FRUCT & ISPIT Conf, 18-22 Apr. 2016. St. Petersburg. P. 212-219.

10. Moldovyan N.A., Moldovyan A.A., Moldovyan D. N., Shcherbacov V. A. Stream Deniable-Encryption Algorithms, Comput. Sci. J. Moldova, 2016, Vol. 24, no. 1 (70), pp. 68-82.

11. Morozova E. V., Mondikova Ya.A., Moldovyan N. A. Methods for Deniable Encryption with Shared Key [Sposoby otritsaemogo shifrovaniya s razdelyaemym klyuchom]. Information-control systems [Informatsionno-upravlyayuschchie sistemy], 2013, no. 6, pp. 73-78. (In Russ.)

12. Berezin A. N., Birichevskiy A. R., Moldovyan N.A., Ryzg-kov A. V. Method for Deniable Encryption [Sposob otritsaemogo shifrovaniya]. Items of Information Protection [Voprosy zash-chity informatsii], 2013, no. 2, pp. 18-21. (In Russ.)

HHmmneKmyanbHbie mexHornzuu Ha mpaHcnopme. 2018. № 1

31