CC BY
21
I СТОЙКОСТЬ ПОЛИНОМИАЛЬНОЙ СХЕМЫ РАЗДЕЛЕННОЙ ПЕРЕДАЧИ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ
Деундяк В.М. \ Могилевская Н.С.2
Цель работы: исследование стойкости полиномиальной схемы разделенной передачи конфиденциальных данных к атакам на шифрограмму, ключ или часть ключа и расширение этой схемы на случай использования произвольных полей Галуа нечетной мощности. В схеме разделенной передачи конфиденциальных данных исходные данные на стороне отправителя разделяются на несколько частей и независимо друг от друга передаются по различным каналам связи, затем на стороне получателя из принятых частей восстанавливаются исходные данные.
Методы исследования: для расширения полиномиальной схемы на случай полей Галуа нечетной мощности использован математический аппарат линейной алгебры, теории полей Галуа и разделы общей теории полиномов нескольких переменных, связанные с их дифференцированием и интегрированием. Для исследования стойкости схемы разделенной передачи к атакам на шифрограмму и ключ сделано предположение, что нелегитимный пользователь системы передачи обнаружил уязвимость в технической защите одного или нескольких каналов легальных пользователей и организовал отводные каналы наблюдения.
Результаты: расширена на случай использования произвольных полей Галуа нечетной мощности полиномиальная схема разделенной передачи конфиденциальных данных, основанная на применении математического аппарата дифференцирования и интегрирования полиномов нескольких переменных над полями Галуа, а также кодов Рида-Маллера второго и первого порядков. Рассмотрены возможные атаки на схему в зависимости от числа организованных отводных каналов и количества перехваченных сообщений. Для случая однократного перехвата одного канала рассмотрена специальная атака, эффективная по отношению к атаке методом полного перебора, для нее получена грубая оценка сложности, а также оценено количество получаемых значений,«похожих»на искомые. Другие рассмотренные атаки строятся на основе атаки однократного перехвата одного канала. Проведенное исследование показало, что схема разделенной передачи конфиденциальных данных практически является стойкой.
Ключевые слова: атака на шифрограмму, атака на ключ, отводной канал, нелегитимный наблюдатель, декомпозиция данных, коды Рида-Маллера, полиномы нескольких переменных, параллельные каналы связи, защита данных.
1. Введение и постановка задачи
В работе [1] построена теоретическая полиномиальная схема разделенной передачи (схема РП) конфиденциальных данных, в которой исходные данные на стороне отправителя разделяются на т частей и независимо друг от друга передаются по т различным каналам, а на стороне получателя из принятых частей восстанавливаются исходные данные. Для разделения и восстановления данных используется математический аппарат дифференцирования и интегрирования полиномов нескольких переменных над простыми полями Галуа, а также коды Рида-Маллера второго и первого порядков. Отличительная особенность схемы РП состоит в том, что ее использование обеспечивает как конфиденциальность, так и помехоустойчивость передаваемых данных.
В схеме РП есть два легитимных участника - отправитель и получатель. Цель легитимных участни-
DOI: 10.21681/2311-3456-2018-4-38-45
ков - организация защищенной передачи конфиденциальных данных. Для определенности будем говорить, что отправитель и получатель используют систему связи, в которой есть т различных каналов. Согласно схеме [1] у отправителя и получателя есть
секретный ключ такой, что каждому из используемых каналов соответствует одна часть ключа 1 = 1.....т.
Назовем наблюдателем некоторого нелегитимного пользователя, который обнаружил уязвимость в технической защите одного или нескольких каналов легальных пользователей и организовал отводные каналы наблюдения. В общем случае отводной канал наблюдения можно рассматривать как перехват или как утечку информации вне зависимости от технических особен-
1 Деундяк Владимир Михайлович, кандидат физико-математических наук, доцент, старший научный сотрудник ФГАНУ НИИ «Спецвузавтоматика», Институт математики, механики и компьютерных наук Южного федерального университета, г Ростов-на-Дону, Россия. E-mail: vl.deundyak@gmail.com; ORCID 0000-0001-8258-2419
2 Могилевская Надежда Сергеевна, кандидат технических наук, доцент, доцент кафедры алгебры и дискретной математики Института математики, механики и компьютерных наук Южного федерального университета, г Ростов-на-Дону, Россия. E-mail: nadezhda.mogilevskaia@yandex.ru; ORCID 0000-0003-1357-5869
я зафиксируем неко-
ностей его организации, которые в данной работе не рассматриваются. Подобные системы с отводными каналами связи принято называть информационно-аналитическими системами канала наблюдения (см., например, [2-3]). Целью нелегитимного участника является как получение защищенных данных, так и получение части ключа в, соответствующей тому каналу системы связи, из которого организован отводной канал. Очевидно, что эффективность атаки наблюдателя зависит от количества организованных каналов наблюдения и от длительности их использования.
Цель настоящей работы состоит в расширении полиномиальной схемы разделенной передачи конфиденциальных данных из [1] на случай использования произвольных полей Галуа нечетной мощности, и исследовании стойкости схемы к атакам на шифрограмму, ключ или часть ключа.
2. Предварительные сведения и результаты Введем необходимые обозначения. - конечное поле Галуа, д=р3, р - простое нечетное число, seN, - кольцо полиномов от пере-
менных над полем Р.. Линейное пространство полиномов из Б }степени не выше г обозначим
гт
- т-мерное линеиное простран-
ство над Р
В векторном пространстве
ТОрг>Р упппалпцрнир
Щ,..., а„), (Щ = (ап, а/2,...,ам)), п=чш. (1)
Произвольный информационный полином Д^ёИ!!,...,^] кодируется путем вычисления его значений в точках упорядоченного пространства ^ :
С{Л = (т),...,/(ап)), (2)
и тем самым определяется оператор кодирования С: Т;1г,\х1,.,.,хт]—>¥^ ■
Коды Рида-Маллера (РМ-коды) широко распространены [4-14] и могут быть заданы над произвольными полями Галуа. РМ-коды над конечным полем нечетной мощности (см. [13-14]) с информационными полиномами из и соответствующими информационными векторами / определяются натуральными параметрами гит, т>г.О, т>2:
параметр г называется порядком кода. РМ-коды образуют семейство линейных [п,/(,субкодов, где п=дт ,
т 1 т(т +1)
к= 1+т, при г-1, к=\ + тл—1--,при г = 2.
2 - - (3)
Способ вычисления параметра d кода можно найти, например, в [1, 13, 14].
По материалам [1, 15-16] кратко рассмотрим необходимые сведения о дифференцировании полиномов нескольких переменных. Производной полинома по направлению Ь^¥т называется результат действия оператора дифферен-
(4) р
(5)
цирования:
же г;.
Ь ? т 4 '
является линейным.
А : №.....
гч
Легко показать, что Щ 1;[л:1,.,.,лгт], а оператор
Лемма 1. Пусть ? = /(*)е ^\хъ...,хт ],Ь = (й„.. -Л)еГТ- Тогда /(х)=/(0)-)1 + хАхТ (6)
(Ч/Хг) = Ь ...„,.„,/„м )т + 13АЪТ +АЛАг = 2хАЬ' +/(Л) -/(0), (
где
Лю.М /ми./2 К /100..01 ^
fm.no ^ К
/о;
лини
/101. .00 ' к
/110..00 ' /020..00 Уои..со
к
У 002..00
к
/оо.ло'^ /)10..1о'2
/¡00.01 /010..О1 ' 2
001..10 /001..01
к к к о к к
./00]..10 ' к
/т.ю /000..11
./001. .01 ' к
/900..11 /000..02
Рассмотрим аналог оператора дифференцирования [1, 13, 15], действующего в пространстве полино-
О
мов (см.(1)), для пространства , где п=ц" оператор сдвига .формулой
Определим
В [13 с. 341-342] сформулирована и доказана следующая лемма.
где й=(£ь...А)е <
Линейный оператор .определим формулой:
= (8) назовем производным вектором вектора А^(д) по направлению Ь [1, 15]. Легко видеть, что для полинома вектора Ье Б™, операторов Д^,
и справедливо
Г, (С(/))=С(Л), С(АЯ=л* (С(/)).. (9)
Формула (9) доказывается прямыми выкладками, аналогичные утверждения для случая простых полей сформулированы и доказаны в [1, 13].
3. Схема разделенной передачи конфиденциальных данных
В работе [1] рассмотрена полиномиальная схема РП, организованная на основе применения простых полей Галуа. В этом разделе схема из [1] модифицирована на случай произвольных полей Галуа нечетной мощности. Доказательство корректности схемы легко провести по схеме доказательства из [1] с использованием математических результатов из [14].
В полиномиальной схеме для разделения и восстановления данных используются [п, к±, субкод ЯМ^1,т) и [п, к2, с^-код ЯМ(2,т) , заданные над полем Галуа нечетной мощности, где ц=рг, р - простое, г - натуральное. Значения и являются параметрами схемы. Основными этапами работы схемы (рис. 1) являются разделение исходного сообщения на частей, передача этих частей по различным каналам и восстановление сообщения.
Построим алгоритм разделения сообщений АЛГОРИТМ 1.
Вход: информационный вектор /еБ*3, упорядоченный набор базисных векторов
0={Ь. =(Ь[,Ы1,...,Ь1т)е~Р™}^ т, (10)
который является секретным ключом рассматриваемой схемы. _
Выход: набор векторов ^^ >1=1 Шаг 1. С использованием (2) вычисляется кодовый вектор 1=%т кода ЯМр.т), f=f(xJ - инфор-
мационный полином, соответствующий .?■
Рис. 1. Основные элементы схемы распределенной передачи данных
Шаг 2. Вычисляются векторов вида (см. (8)):
лг- (С(Я)=(/)) е р;, /=йи Д е .
Отметим, что (-(П. (/))е Ша(\,т).
Шаг 3. Каждый вектор ¡-1,т кон-
катенируется с коэффициентом /оо. оо ^/(б) кодового вектора С(\ы):
Затем векторы <5^, / = 1,т, передаются по различным каналам связи. Очевидно, что во время передачи векторы 1 = 1 ,т, могут быть искажены. Таким образом, на стороне получателя будут получены векторы
где №,(я))'и /,;„
еГ"1,1=1,«
Ло..
Ы ь[
Ь2 Ъ2
ь1 ь1
£2 = «•). . .- =
о?
а вектор (/¡о...оо'/о1..,оо'-'/оо...о1) находится из равенства
(/¡п...м,/п1...по...../оо...т)Т = (рк-ЬЛЬТ.оЗ-Ь2АЬ2Т -ЬтЛЬтт)в-\
оо - возможно искажен-
Скаляр / соот-*' 00..00
ные вектор С(Ц(/)) и скаляр у
ветствующий 5,-' обозначим /т
Построим алгоритм восстановления сообщения. АЛГОРИТМ 2. _
Вход: векторы 1=1»«, секретный ключ В (см. (10)).
Выход: вектор /е Р^. _
Шаг 1. Из каждого вектора 5,, / = 1 ,т, выделяется
вектор (С(ПЬ (/)))'£ К; и скаляр /№ т1, 1 = 1,т .
Шаг 2. Векторы (С(£^(/)))' декодируются произвольными декодерами кода ДМ9(1,т) На выходе декодеров формируются полиномы
Шаг 3. Из коэффициентов /жюг полученных на
шаге 1,создается вектор СЛо.ло^'Лоло.г»"'*
и обрабатывается мажоритарным декодером
кода ^/До'т^РезУльтатом декодирования является
скаляр „. г 7оо..оо
Шаг 4. Из элементов ключа В=1Ь=(Ь'.. Ы.....А'11
и коэффициентов полиномов
+ £<} строится ИСКОМЫЙ ИНфорМЭЦИОН-
ный полином + X )Т+хАхТ
где матрица вычисляется по формуле
А=У10£-\
Шаг 5. Получателю сообщений выдается информационный вектор {е. ¥кг, соответствующий полиному
— _ Я
/(х)-
В работе [1] (см. также [14, с. 341-342]), сформулирована и доказана теорема об условиях, корректности схемы РП, а именно вектор у, полученный на выходе блока восстановления сообщения, совпадет с исходным информационным вектором ж, если выполняются следующие условия:
1) VI = \,т (С{%. О)), (»V)))') < - \)!2\, (11)
где - расстояниеХемминга между векгора-
ми х у, ~ минимальное кодовое расстояние кода шч(\,т):
2) вектор (/^./^.-.С,,), сформированный в блоке восстановления сообщений, содержит менее т/2 координат, отличныхотзначения 00 = и^О) ■
В случае, когда в используемых каналах связи произошло ошибок больше, чем могут исправить декодеры, восстановление информационного вектора не гарантируется.
4. Стойкость полиномиальной схемы РП
Предположим, что наблюдатель обнаружил уязвимость в одном или нескольких каналах связи легальных пользователей и организовал отводные каналы наблюдения, для которых выполняются условия корректности полиномиальной схемы РП, в частности условие (11). Далее будем считать, что наблюдатель, как и легальный пользователь, умеет определять начало и конец векторов Si', полученных из отводных каналов, и знает упорядочение (1). Оценим стойкость схемы РП к возможным атакам наблюдателя в зависимости от количества отводных каналов и числа перехваченных векторов ', отметим, что для случая простых полей некоторые из таких атак упомянуты в [1].
4.1.Рассмотрим однократный перехват из /-того канала связи, т.е. ситуацию, когда нелегальному наблюдате-люудается получить вектор ^ ' = (С(£^ (/)))' Ц /'(0)еР^+| .Для упрощения обозначений положим: этот век-
тор является частью ключа В.
Предположим, что часть ключа, соответствующая перехваченному каналу связи, т.е. вектор Ъ =Ъ < неизвестен. В этом случае наблюдатель может рассмотрехь атаки на информационный вектор / и часть ключа Ь. Ниже покажем, что в такой ситуации эти атаки неотделимы друг от друга и выполняются одновременно. С точки зрения криптографии это атаки на шифротекст и на ключ [17, с. 20-21].
Атакующий по вектору 5.' с помощью декодера кода может вычислить £ (_/"), а затем ему необходимо решить задачу нахождения информационного
и
полинома /е
и_ вектора Оче-
видно, что кроме искомых / и Ь могут найтись другие значения ре!^1^,*,,,,,,^] и ('(еР"), для которых £),(/) = О-{(р) Такие значения (р, V) будем называть подходящей парой. Опишем ниже два способа построения списка подходящих пар и оценим их сложность. Отметим, что в случае однократного перехвата у наблюдателя нет возможности выбрать из списка подходящих пар единственно верную, если, конечно, наблюдатель не обладает некоторыми дополнительными сведениями об исходном сообщении.
Первый способ поиска подходящих пар состоит в полном переборе всех возможных векторов V е Р и полиномов <ре и нахождении в них
тех, для которых справедливо £>- (У) = Д (<р). Век-топ V пплрпжмт т координат, полином (р содержит
к-\ + т +
т(т +1)
Матрица В имеет следующую структуру: первые т столбцов образуют верхнетреугольную матрицу, на диагонали которой стоят элементы Ьг первая строка представляет собой последовательность Ь1, Ь2,..., Ьт, а остальные элементы равную нулю. Следующие столбцов образуют матрицу, у которой верхняя строка равна нулю, вторая строка содержит элементы Ь2, Ь3, ..., Ьт, а на местах, соответствующих элементам а23,а23,...а2т, находятся элементы Ь2 и т.д. Структурно матрицу В можно представить следующим образом:
Ч "1 Ч — "т
Л
Ь, &
. а,т ав д,,
\
А-. К
\m-\i V
я( »-!*■-и ¡и
2 коэффициентов, таким образом, при полном переборе для поиска подходящих пар у) необходимо рассмотреть
к т
Ч4—ц _ (12)
вариантов (р и V .
Рассмотрим второй способ поиска подходящих пар. Пусть й(х) = а0+< х,й > — - результат правильного декодирования наблюдателем вектора (С(Ць,(/)))', т.е. Щ(/)~а(х) ПУСТЬ ш=(а0,а) в силу (7) из равенства £к{ П = аГт) получаем
2хАЬ Т + /(6) -/(0) ■= а0+ < м >,
следовательно, для нахождения подходящих пар можно рассмотреть нелинейную систему из т+1 уравнений с 2т + г"с™т1) + 1 неизвестными, среди которых т координат вектора Ь и 1+т+т(т+1)/2 коэффициентов /:
Отметим, что система (13) нелинейная и недоопре-деле^нная, а ее разрешимость следует из того, что пара (/', Ь ) является одним из ее решений. Используем (6) и перепишем систему (13):
где незаполненные позиции соответствуют нулям в матрице В, а в нижней дополнительной строке указаны искомые элементы матрицы А, соответствующие столбцам матрицы В. Например, для т=3 система М выглядит следующим образом:
(14)
Рассмотрим матричное уравнение АЬТ =уйг Б случае, когда матрица^ неизвестна, а кроме вектора и известен и вектор Ь . Тогда относительно элементов матрицы А получаем линейную систему М, содержащую т уравнений с неизвестными элементами матрицы А, которую можно решить, например, методом Гаусса. Покажем, что система ЛЛ имеет решение для произвольного значения вектора Ь . Упорядочим неизвестные элементы матрицы А естественным лексикографическим способом, учитывая симметричность матрицы:
а 11,а12,."а 1т,а22,а23,.",а2т,".,акШак(к+1),".,акт,".,а тт'
Через В обозначим матрицу системы М.
Вычислим ранг матрицы В.
Лемма. гапк(В) = т.
Доказательство. Рассмотрим подматрицу О матрицы В, составленную из первых т столбцов. Выше было показано, что она удовлетворяет следующим условиям:
1) первая строка это координаты вектора Ь ,
2) на диагонали матрицы стоит первая координаты вектора Ь,
3) остальные элементы равны нулю.
Предположим, что ЬчЮ. В этом случае искомое равенство вытекает из структуры матрицы О.
Предположим, что Ь1=0, тогда найдется Ьк±0 для некоторого к. Этот случай легко сводится к случаю Ь¿Ю. Действительно, надо в матрице В поменять местами первую и к-тую строки и переставить столбцы таким образом, что бы первые т столбцов образовали верхнетреугольную матрицу, на диагонали которой стоят элементы Ьк, первая строка представляла собой по-
Ьт, с переставленными а остальные элементы равную нулю. •
Из леммы вытекает, что система М имеет решение для произвольного значения вектора Ь .Рассмотрим алгоритм решения системы (14), основадный на переборе всевозможных значений векторов Ь .
АЛГОРИТМ 3.
Вход: а=(а0,й), т, д.
Выход: список I длиной _ ат под-
ходящих _ пар _ {<р, ¿0,, {<р, Ь)г,„.,{<р, А),
(<р, Ь2)„ (<р, Ь2)2,.Ь2)г,..., (<р, Ь Ь „)2,...,(<р, Ь ),, где
следовательность Ь±, Ь2 элементами Ь1 и Ьк
ли номы из Е*2'^^---»*«)
5=1,^™ а (р, а (р - это некоторые по-
Шаг 1. Рассмотрим всевозможные векторы Ь е Р™, и выполним для каждого из них шаги 2-4 алгоритма. _ Шаг 2. Для фиксированного значения вектора 6 решаем первое уравнение системы (14), являющееся линейным с т неизвестными /^.Лиш—Лсм-Получаем множество Л^ ={(/0...0С,/„,..00,. где =дт~1,его решений как линейное многообразие размерности (т-1). элементы которого зависят от Ъ : /то'—>/оою е
У гг ^
/мю = «о - 2 -(АЛмо + ~+Ав-|Лою5
г=1
Шаг 3. Для фиксированного значения вектора Ь методом Гаусса решаем уравнение АЬТ ~ \ ит относительно элементов матрицы А и находим множество всех его решений А2Ь = где Мъ
Шаг 4. Для сЬикоипованного значения вектора Ь
„ I »(ЦН-11
формируем д 1 1 всевозможные под-
ходящие пары вида ( (р,Ь ) где <р - это полином вида <р(х)^<р(0)+х(/о 00,/01 да,...,/^ о,) +хАхТ (см. (6)), в состав полинома входят скаляр <р(0)(е вектор (/о..1оо./о1..оо>-./оо..ш)е \, матрица
Существование решения вытекает из леммы о ранге матрицы В.
Замечание. Из алгоритма 3 видно, что для фиксированного значения Ь существует дт_1 значений вектора (/ооо.-./оою), которые удовлетворяют первому уравне-нию_системы (14), и для произвольного частичного ключа Ь мы можем найти „ Г1-™ вариантов матрицы А.
Теорема. В результате однократного перехвата одного канала, наблюдатель со сложностью 0(дт(т+1)3)
_ . М+1 I 1
может получить список из 2"1"1 подходящих пар.
Доказательство. Выше показано, что для нахождения подходящей пары по результату однократного перехвата одного канала, наблюдатель может использовать построенный алгоритм решения системы (14).Нестрого оценим сложность этого алгоритма. На шаге 3 алгоритма решается система уравнений методом Гаусса, сложность которого оценивается как 0(п3), где п - количество уравнений в системе. Система (14) содержит т+1 уравнений, в ходе выполнения алгоритма ее необходимо решить для каждого Ь е Р", т.е. цт раз. Следовательно, сложность алгоритма 3 можно примерно оценить, как O(qm(m+1)3).
Определим длину списка подходящих пар. Каждая пара содержит вектор из пространства Р, (таких векторов ) и полином из пространства ¥<112)[х1,х2>...,хт\ вида (6)
.
При выполнении алгоритма 3 решения системы (14) этот полином восстанавливается по частям. Из замечания к алгоритму вытекает, что на шаге 2 алгоритма находится дт_1 значений вектора а на шаге 3 находится вариантов матрицы А. Алгоритм восстанавливает полином /(х) без свободного члена, следовательно, необходимо рассмотреть еще о значений ДЛЯ /(б). Итого получаем д'"'"'>+т подходящих пар. •
Отметим, что использование второго способа поиска подходящих пар уменьшает перебор при поиске с
Я возможных пар (см. (12)) до Ц ~ . При
этом уменьшение перебора в цт раз происходит за счет второго уравнения системы (14), а уменьшение в q раз происходит за счет решения первого уравнения системы.
4.2. Рассмотрим однократный перехват из /-го канала в случае, когда наблюдателю известна часть ключа Ь, соответствующая этому каналу. Тогда при использовании наблюдателем метода полного перебора для нахождения подходящих пар ему необходимо рассмотреть
вариантов значений <ре 1 отыскивая
среди них те, для которых верно равенство Д(Р),
где значение Д,(/), вычислено по вектору $ ' с помощью декодирования. Использование алгоритма 3 потребует от наблюдателя только одного прохода, т.к. вектор Ь известен. Используя алгоритм 3, наблюдатель из первого уравнения системы находит дт-1 значений вектора и~Шй,-,1то), а затем подставляет вектор Ь во второе уравнение системы с неизвестными, ко-
торую необходимо решить. Из доказательства теоремы легко видеть, что результатом работы алгоритма будет список из р т<™+1) подходящих пар.
4.3. Рассмотрим ситуацию ^кратного перехвата одного канала. Наблюдатель, применяя к каждому из полученных значений 5,',...,^'. рассмотренную выше атаку на основе однократного перехвата (см. алгоритм 3), получит t различных списков подходящих пар, дли-нои д 5 каждый. В каждом из_списков найдутся всевозможные значения вектора Ь - кандидата на роль частичного ключа и каждому из них будет соответствовать список из т<™н1'> полиномов (р. Полученные результаты не позволяют уменьшить перебор по сравнению со случаем 5.1, т.к. не имея каких-либо дополнительных сведений о передаваемых данных, выбрать верные полиномы из полученных списков невозможно.
4.4. Рассмотрим однократный перехват из /1 (2</кт) различных каналов. В этом случае наблюдатель получит векторы ]=%...,{1,, соответствующие одному и тому же информационному полиному /. Используя алгоритм поиска подходящих пар, он сможет построить М списков: 12, ...., /.//, при этом в силу теоремы длина каждого списка 9 2 пар. Из полученных списков подходящих пар наблюдатель может составить наборы вида
И = (ае^[х1,х2,...,хт\,Г = {У}£^.....Д
где с" - кандидат на роль искомого информационного полинома /бГ®^!!,.,.^.], а Г - кандидат на роль частично восстановленного ключа В (см. (10)), при этом в Г - присутствует /кт элементов.
Рассмотрим схему алгоритма создания наборов по спискам ¡-±, 12,...., 1(1 подходящих пар. Зафиксируем полином <р из первой пары списка 11 и отыщем все пары (я ь Ь5 У-" в других списках, содержащих
полином (р . Если не удалось найти такие пары во всех списках, то удаляем все найденные пары с полиномом (р из всех списков. Если такие пары нашлись во всех списках
и совокупность векторов из этих пар линейно независима, то формируем новый набор £2, содержащий полином <р^ и множество Г={Ь5}._1 ■ Теперь удаляем найденные пары ->(й> из всех списков и повторяем проведенные действия для каждого из оставшихся полиномов до тех пор, пока списки пар не пустые. Таким образом, в рассматриваемой ситуации при удачном сочетании данных и ключа с ростом ¡1 возможно значительное уменьшение длины списка подходящих пар, вплоть до восстановления // частичных ключей системы. Последнее обстоятельство позволяет после этого проводить атаки из пункта 5.2 для каждого из рассматриваемых // каналов.
4.5. Рассмотрим атаку на ключ на основе подобранного открытого текста [17, с.20-21]. Предположим, что наблюдатель может навязать отправителю некоторое информационное сообщение / и контролирует один или несколько каналов передачи данных. Для однозначного восстановления части ключа Ь, связанного с конкретным каналом, достаточно,_чтобы матрица А, составленная из коэффициентов f (см. (6)), была обратима (см. второе уравнение системы (14)). Найденный ключ Ь позволяет далее проводить атаки из пункта 5.2 и упрощает атаки из пункта 5.4. Если же наблюдатель не может навязать удобное для атаки информационное сообщение /, но ему_удается передаваемое сообщение узнать, то вектор Ь может восстанавливаться неоднозначно: если гапк(А)=г, то
множество решений является линейным многообразием размерности т-г.
Выводы
В работе полиномиальная схема разделенной передачи данных из [1] расширена на случай использования произвольных полей Галуа нечетной мощности и проведено исследовании стойкости схемы к атакам на шифрограмму, ключ или часть ключа.
В случаях однократного перехвата из одного канала связи, как при известном, так и при неизвестном частичном ключе (см. разделы 5.1 и 5.2), получены оценки на длины получаемых в результате атаки списков подходящих пар, которые позволяют сделать вывод о том, что система РП достаточно защищена. Показано, что несколько перехватов в одном канале (раздел 5.3), без каких-либо дополнительных сведений о передаваемых данных, успешность атаки не увеличивает.
Наиболее успешной оказалась атака, организованная с помощью однократного перехвата из // (2< // <т) различных каналов (раздел 5.4),при удачном сочетании данных и ключа с ростом числа отводных каналов возможно значительное уменьшение длины списка подходящих пар, вплоть до восстановления частичных ключей системы. В разделе 5.5 описан способ нахождения частичного ключа, в случае, когда наблюдателю удается навязать сообщение легальному отправителю. Известное значение частичного ключа позволяет проводить атаки из раздела 5.2 и упрощает атаки из раздела 5.4.
Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор Московского государственного технического университета им. Н.Э.Баумана, Москва, Россия.
E-mail: a.markov@npo-echelon.ru.
Литература
1. Деундяк В.М., Могилевская Н.С. Схема разделенной передачи конфиденциальных данных на основе дифференцирования полиномов нескольких переменных над простыми полями Галуа // Вопросы кибербезопасности. 2017. №5 (24). С.64-71. DOI: 10.21681/2311-3456-2017-5-64-71.
2. Косолапов Ю.В. Метод кодового зашумления в задачах защиты информации.-Ростов-на-Дону: ЮФУ, 2014. 164 с.
3. Букашкин С.А. Метод случайного кодирования // Радиотехника. 2014. №4. С. 31-36.
4. Fukumoto S., Wadayama T. Iterative erasure correcting algorithm for q-ary Reed-Muller codes based on local correctability. 9th International Symposium on Turbo Codes and Iterative Information Processing (ISTC IEEE). (Brest, France, 5-9 Sept., 2016). Pp. 36 - 40. DOI: 10.1109/ISTC.2016.7593072.
5. Kudekar S., Kumar S., Mondelli M., Pfister H. D., Sasoglu E., Urbanke R. Reed-Muller codes achieve capacity on erasure channels. IEEE Trans. Inform. Theory, vol. 63, no. 7, pp. 4298-4316, 2017.
6. Santi E., Hager C. Pfister H. Decoding Reed-Muller Codes Using Minimum-Weight Parity Checks. IEEE International Symposium on Information Theory (ISIT). 2018. Pp. 1296 - 1300.
7. Saptharishi R., Shpilka A., Volk B. L. Efficiently decoding Reed-Muller codes from random errors. Proc. 48th Annu. ACM Symp. Theory Comput. (STOC), pp. 227-235, 2016, http://doi.acm.org/10. 1145/2897518.2897526.
8. Young Gil Kim, A. J. Han Vinck. 4-Ary Codebook Design Using Reed-Muller Codes for MIMO Beamforming Systems. IEEE Transactions on Vehicular Technology (Vol. 65, Issue: 2, Feb. 2016). Pp. 959 - 966. DOI: 10.1109/TVT.2015.2404844.
9. Козловский А.В., Насыров А.М. Специфика применения структурных особенностей кодовых комбинаций полярных кодов и кодов Рида-Маллера Современные проблемы проектирования, производства и эксплуатации радиотехнических систем. 2017. № 1-2 (10). С. 159-161.
10. Бородин М.А., Чижов И.В. Эффективная атака на криптосистему Мак-Элиса, построенную на основе кодов Рида-Маллера Дискретная математика. 2014. Т. 26. № 1. С. 10-20.
11. Деундяк В.М., Могилевская Н.С. Восстановление данных из отводного канала наблюдения с использованием декодеров, работающих за пределом половины кодового расстояния // Телекоммуникации. 2017. № 4. С. 27-33.
12. Деундяк В.М., Могилевская Н.С. Об использовании мягких и вероятностных декодеров для восстановления данных при перехвате // Известия высших учебных заведений. Северо-Кавказский регион. Серия: Естественные науки. 2017. № 1
(193). С. 18-24.
13. Деундяк В.М., Могилевская Н.С. Модель троичного канала передачи данных с использованием декодера мягких решений кодов Рида-Маллера второго порядка // Известия вузов. Северо-Кавказский регион. Технические науки, 2015. № 1. С. 3-10.
14. Деундяк В.М., Могилевская Н.С. Дифференцирование полиномов нескольких переменных над полями Галуа нечетной мощности и приложения к кодам Рида-Маллера. Вестник Донского государственного технического университета. 2018. № 18(3) С. 339-348. DOI: 10.23947/1992-5980-2018-18-3-339-348.
15. Деундяк В. М., Кнутова А. В. Интегрируемость систем полиномов нескольких переменных первой и второй степени над простыми полями Галуа // Известия ВУЗов. Северо-Кавказский регион. Естественные науки. 2016. №2. С. 41-46.
16. Деундяк В. М., Могилевская Н. С. Об условиях корректности декодера мягких решений троичных кодов Рида-Маллера второго порядка. Владикавказский математический журнал. 2016, Т. 18. Вып. 4. C.23-33.
17. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си - М.: Триумф, 2016. - 816 с.
RESISTANCE OF THE POLYNOMIAL SCHEME OF CONFIDENTIAL DATA SPLIT TRANSMISSION
Deundyak V.M.1, Mogilevskaya N.S.2
Purpose: Study the resistance of a polynomial scheme of confidential data split transmission to attacks on a cipher, key or part thereof, and the extension of this scheme when using arbitrary Galois fields of odd power. In the confidential data split transmission scheme, the sender edge source data is divided into several parts and transferred independently via different communication channels. Then on the recipient edge, the original data is restored from the parts received.
Research methods: In order to extend the polynomial scheme to the case of Galois fields of odd power, use was made of the linear algebra mathematical apparatus, Galois field theories and sections of the general theory of polynomials of several variables, related to their differentiation and integration. To investigate the resistance of the divided transfer scheme to attacks on a cipher and key, it was assumed that an illegitimate user of the transmission system discovered vulnerability in the technical protection of one or several channels of legitimate users and organized wiretap surveillance channels.
Results: Extended to using arbitrary Galois fields of odd power was the polynomial scheme for confidential data split transmission based on the use of mathematical apparatus for differentiating and integrating polynomials of several variables over Galois fields, as well as second- and first-order Reed-Muller codes. Possible attacks on the scheme depending on the number of organized wiretap channels and intercepted messages are considered. For a single intercept of one channel, a special attack effective in relation to a brute-force attack was considered and roughly estimated for complexity; also estimated was the number of obtained values "similar" to the sought ones. The other attacks under review build on a single intercept attack on one channel. The study showed that the confidential data split transmission scheme is actually resistant.
Keywords: an attack on the cipher, attack on the key, branch channel, illegitimate observer, data decomposition, split data transfer, Reed-Muller codes, confidentiality, polynomials of several variables, parallel communication channels.
References
1. Deundyak V.M., Mogilevskaya N.S. Skhema razdelennoj peredachi konfidentsial'nykh dannykh na osnove differentsirovaniya polinomov neskol'kikh peremennykh nad prostymi polyami Galua // Voprosy kiberbezopasnosti. 2017. №5 (24). S.64-71. DOI: 10.21681/2311-3456-2017-5-64-71.
2. Kosolapov YU.V. Metod kodovogo zashumleniya v zadachakh zashhity informatsii.-Rostov-na-Donu: YUFU, 2014. 164 s.
3. Bukashkin S.A. Metod sluchajnogo kodirovaniya // Radiotekhnika. 2014. №4. S. 31-36.
4. Fukumoto S., Wadayama T. Iterative erasure correcting algorithm for q-ary Reed-Muller codes based on local correctability. 9th International Symposium on Turbo Codes and Iterative Information Processing (ISTC IEEE). (Brest, France, 5-9 Sept., 2016). Pp. 36 - 40. DOI: 10.1109/ISTC.2016.7593072
5. Kudekar S., Kumar S., Mondelli M., Pfister H. D., Sasoglu E., Urbanke R. Reed-Muller codes achieve capacity on erasure channels. IEEE Trans. Inform. Theory, vol. 63, no. 7, pp. 4298-4316, 2017.
1 Vladimir M. Deundyak, Ph.D. (in Math.), Associate Professor, Associate Professorof at Institute of Mathematics, Mechanics and Computer Science, Southern Federal University, FSASE SRI «Specvuzavtomatika», Rostov-on-Don, Russia, E-mail: vl.deundyak@gmail. com. ORCID 0000-0001-8258-2419.
2 Nadezhda S. Mogilevskaya, Ph.D., Associate Professor, Associate Professor at Institute of Mathematics, Mechanics and Computer Science, Southern Federal University, Rostov-on-Don, Russia, E-mail: nadezhda.mogilevskaia@yandex.ru. ORCID 0000-000313575869.
6. Santi E., Hager C. Pfister H. Decoding Reed-Muller Codes Using Minimum-Weight Parity Checks. IEEE International Symposium on Information Theory (ISIT). 2018. Pp. 1296 - 1300.
7. Saptharishi R., Shpilka A., Volk B. L. Efficiently decoding Reed-Muller codes from random errors. Proc. 48th Annu. ACM Symp. Theory Comput. (STOC), pp. 227-235, 2016, [online] Available: http://doi.acm.org/10. 1145/2897518.2897526.
8. Young Gil Kim, A. J. Han Vinck. 4-Ary Codebook Design Using Reed-Muller Codes for MIMO Beamforming Systems. IEEE Transactions on Vehicular Technology (Vol. 65, Issue: 2, Feb. 2016). Pp. 959 - 966. DOI: 10.1109/TVT.2015.2404844
9. Kozlovskij A.V., Nasyrov A.M. Spetsifika primeneniya strukturnykh osobennostej kodovykh kombinatsij polyarnykh kodov i kodov Rida-Mallera Sovremennye problemy proektirovaniya, proizvodstva i ehkspluatatsii radiotekhnicheskikh sistem. 2017. № 1-2 (10). S. 159-161.
10. Borodin M.A., CHizhov I.V. Ehfektivnaya ataka na kriptosistemu Mak-EHlisa, postroennuyu na osnove kodov Rida-Mallera Diskretnaya matematika. 2014. T. 26. № 1. S. 10-20.
11. Deundyak V.M., Mogilevskaya N.S. Vosstanovlenie dannykh iz otvodnogo kanala nablyudeniya s ispol'zovaniem dekoderov, rabotayushhikh za predelom poloviny kodovogo rasstoyaniya // Telekommunikatsii. 2017. № 4. S. 27-33.
12. Deundyak V.M., Mogilevskaya N.S. Ob ispol'zovanii myagkikh i veroyatnostnykh dekoderov dlya vosstanovleniya dannykh pri perekhvate // Izvestiya vysshikh uchebnykh zavedenij. Severo-Kavkazskij region. Seriya: Estestvennye nauki. 2017. № 1 (193). S. 18-24.
13. Deundyak V.M., Mogilevskaya N.S. Model' troichnogo kanala peredachi dannykh s ispol'zovaniem dekodera myagkikh reshenij kodov Rida-Mallera vtorogo poryadka // Izvestiya vuzov. Severo-Kavkazskij region. Tekhnicheskie nauki, 2015. № 1. S. 3-10.
14. Deundyak V.M., Mogilevskaya N.S. Differentsirovanie polinomov neskol'kikh peremennykh nad polyami Galua nechetnoj moshhnosti i prilozheniya k kodam Rida-Mallera. Vestnik Donskogo gosudarstvennogo tekhnicheskogo universiteta. 2018. № 18(3) S. 339-348. DOI: 10.23947/1992-5980-2018-18-3-339-348
15. Deundyak V. M., Knutova A. V. Integriruemost' sistem polinomov neskol'kikh peremennykh pervoj i vtoroj stepeni nad prostymi polyami Galua // Izvestiya VUZov. Severo-Kavkazskij region. Estestvennye nauki. 2016. №2. S. 41-46.
16. Deundyak V. M., Mogilevskaya N. S. Ob usloviyakh korrektnosti dekodera myagkikh reshenij troichnykh kodov Rida-Mallera vtorogo poryadka. Vladikavkazskij matematicheskij zhurnal. 2016, T. 18. Vyp. 4. C.23-33.
17. Shnajer B. Prikladnaya kriptografiya. Protokoly, algoritmy, iskhodnye teksty na yazyke Si - M.: Triumf, 2016. - 816 s.
