CC BY
42ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
Тестирование датчиков случайных чисел, основанных на российских
алгоритмах шифрования Овчинников А. И.
Овчинников Андрей Игоревич / Ovchinnikov Andrey Igorevich — аспирант, кафедра информационной безопасности, факультет кибернетики, Московский государственный технический университет радиотехники, электроники и автоматики, г. Москва
Аннотация: любая смарт-карта содержит ДСЧ. В данный момент нет публикаций исследования ДСЧ российских сертифицированных смарт-карт. Новизна работы заключается в получении результата статистического исследования ДСЧ, реализуемых в различных российских сертифицированных смарт-картах.
Abstract: any smart card contains a random-number generator. At the moment, there is no research publications DFS Russian certified smart card. The novelty of the work lies in getting the results of statistical research DFS implemented in various Russian certified smart cards.
Ключевые слова: смарт-карты, датчики случайных чисел, статистическое тестирование, криптография.
Keywords: smart card, random number generator, the statistical testing, cryptography.
Введение
Случайные числа и их генераторы являются неотъемлемыми элементами современных смарт-карт для банковских систем. В смарт-картах из-за своей конструкции возможна как программная генерация псевдослучайных последовательностей так и аппаратная. Датчики псевдослучайных последовательностей играют важную роль в генерации:
1) сеансовых и других ключей для симметричных криптосистем;
2) стартовых значений для программ генерации ряда параметров в асимметричных криптосистемах, например в криптосистемах RSA, ElGamal, ГОСТ 3410;
3) случайных последовательностей, комбинируемых с парольными словами для нарушения «атаки угадывания» пароля криптоаналитиком;
4) векторов инициализации для блочных криптосистем, работающих в режиме обратной связи;
К генераторам псевдослучайной последовательности (ПСП), ориентированным на использование в системах защиты информации, предъявляются следующие требования:
1. хорошие статистические свойства: ПСП по своим статистическим свойствам не должна существенно отличаться от истинно случайной последовательности;
2. большой период формируемой последовательности: например, при шифровании для преобразования каждого элемента входной последовательности необходимо использовать свой элемент псевдослучайной гаммы (криптографическая сложность);
3. эффективная аппаратная и программная реализация.
В настоящее время актуальной задачей является анализ качества псевдослучайных последовательностей, снимаемых со смарт-карт.
В данной статье проводится исследование датчиков случайных чисел, встроенных смарт-карты и основанные на российских алгоритмах шифрования. Для тестирования были взяты следующие статистические пакеты и отдельные критерии:
а) Статистический пакет NIST,
б) статистический пакет U01,
в) статистический критерий «стопка книг», «пустые ящики», критерий на равномерное заполнение гиперкуба.
1. ГПСЧ на основе ГОСТ-28147-89 на примере СКЗИ «MS_KEY K»
ГПСЧ предназначен для дополнительного усложнения в процедуре генерации закрытых ключей ГОСТ Р 34.10-2001.
В качестве исходных данных функции усложнения используется последовательность случайных чисел со штатного ДПСЧ NXP [1] и предзаданное случайное число, получаемое с сертифицированного внешнего ДСЧ.
Описание алгоритма ГПСЧ
В качестве начальных данных алгоритма используются:
- ранее загруженное, модифицируемое после исполнения алгоритма, случайное число (СЧ) длиной 32 байта, называемое «внешнее СЧ»;
- ранее загруженное, модифицируемое после исполнения алгоритма, СЧ длиной 8 байт, называемое «синхропосылка».
При необходимости сгенерировать СЧ в составе какой-либо операции (генерация ключа, формирование ЭЦП или просто выдача СЧ) выполняется алгоритм, один цикл которого состоит из следующей последовательности шагов:
1. Из специального файла считываются «синхропосылка» и «внешнее СЧ».
2. Со штатного ДСЧ берётся последовательность из 32 байт, которая складывается по модулю 2 с «внешним СЧ». Полученный результат длиной 32 байта назовём «ключом ДСЧ».
3. Используя «ключ ДСЧ» и «синхропосылку» формируем N+8+32 байт гаммы согласно ГОСТ 28147-89 в режиме гаммирования, где N - количество байт СЧ, требуемое для какой-либо операции. Полученный результат назовём «гаммой».
4. Согласно протокола операции, со штатного ДСЧ берётся последовательность из N байт, которая складывается по модулю 2 с первыми N байтами ранее сформированной «гаммы».
5. Следующие, после N, 8 байт «гаммы» складываются по модулю 2 со значением «синхропосылки» и заменяет старое значение «синхропосылки».
6. Следующие, после N+8, 32 байта «гаммы» заменяет старое значение «внешного СЧ».
7. Замененные значения «синхропосылки» и «внешнего СЧ» записываются в специальный файл.
8. В составе операции (генерация ключа, формирование ЭЦП или просто выдача СЧ), со штатного ДСЧ берется последовательность требуемой длины N, которая складывается по модулю 2 с полученным значением «гаммы». Результат длиной N байт назовём «секретным СЧ». Если операция — генерация ключа, то при наличии «внешнего ключевого материала» его значение складывается по модулю 2 с имеющимся «секретным СЧ».
9. «Секретное СЧ» подвергается процедуре динамического статистического контроля, и если ее не проходит, то отбрасывается. В этом случае п.п. 1 - 9 повторяются, но не более 5 раз. Если за 5 раз не получено «секретное СЧ» надлежащего качества, то ОС выдается специальный признак ошибки (Status Word = 9114), и выполнение любой следующей команды блокируется.
10. Для всех упомянутых операций (генерация ключа, формирование ЭЦП или просто выдача СЧ) N принимается равным 32.
11. Если операция — генерация ключа, то результат («секретное СЧ») длиной 32 байта используется для формирования секретного ключа ГОСТ Р 34.10-2001 штатным образом (т.е., в частности нормируется по модулю, согласно используемым параметрам алгоритма, и проверяется против множества недопустимых значений).
12. Если операция — выдача СЧ наружу, то в качестве запрошенных M байт выдаются первые M байт «секретного СЧ», где M может принадлежать диапазону от 8 до 32.
Рис. 1. Схема выдачи случайного числа
Рассмотрим различные варианты неисправностей, которые могут возникнуть во время работы.
Вариант первый - отказ встроенного ДСЧ и загрузка плохих ключей. Под отказом встроенного ДСЧ подразумевается, что встроенный ДСЧ стал генерировать одни 0 или одни 1, под плохими ключами - ключи, в которых есть большое преобладание 0 или 1. Для реализации данной ситуации была разработана специальная программа.
Как можно видеть в данном случае могут быть скомпрометированы сгенерированные ключи и т.д. Тем не менее блок динамического статистического контроля данную ситуацию не обрабатывает, а это значит что необходимо доработать блок статистического контроля, хотя в реальности данный случай очень маловероятен.
Вариант второй - отказ только встроенного ДСЧ. Для реализации данной ситуации так же была использована та же программа. В данном случае ГСЧ не проходит тест «Стопка книг», что так же требует внимания.
Вариант тертий - загрузка плохих ключей. Для реализации данной ситуации так же была использована та же программа.
Тесты как видно пройдены вполне успешно, поскольку нет отказа внутреннего ДСЧ (как видно из схемы ключ перед использованием складывается с псевдослучайно последовательностью, полученной со встроенного ДСЧ). Так же ключ после каждой итерации обновляется. Данный результат остается актуальным даже если после каждой итерации загружать новый «плохой» ключ.
Как видно в целом ситуация с этим датчиком достаточно не плохая, но из-за первой ситуации необходимо доработать блок динамического статистического контроля.
2. Моделирование ГПСЧ на основе алгоритма шифрования «Кузнечик»
Для моделирования ГПСЧ был реализован в качестве 1ауа-аплета для смарт-карты. Схема генерации была взята из предыдущего параграфа, за исключением того, что вместо вычисления гаммы
по ГОСТ-28147-89 использовалось вычисление гаммы по ГОСТ 34.13-2015. ГОСТ 34.13-2015 оказался медленнее чем ГОСТ 28147-89, однако как можно увидеть дальше показал статистические характеристики лучше, чем ГОСТ 28147-89.
Данная реализация так же была протестирована при различных вариантах неисправностей: Вариант первый - отказ встроенного ДСЧ и загрузка плохих ключей. Под отказом встроенного ДСЧ подразумевается, что встроенный ДСЧ стал генерировать одни 0 или одни 1, под плохими ключами - ключи, в которых есть большое преобладание 0 или 1.
В данном случае были пройдены все тесты NIST. Однако данный вариант был протестирован так же при очень редкой смене ключей. Было выявлено, что при редкой смене ключей ГПСЧ не проходит спектральный тест на основе быстрого преобразования Фурье. Данный тест выявляет скрытую периодичность с некоторым неизвестным периодом 1<T0<m/2 и соответствующей частотой ю0=2л/Г0:
к
f(t)= 2 (ak cos(kro0t) + bk sin(kro0t)),
к=1
где ft) - периодический тренд с некоторыми неизвестными коэффициентами {ak},{bk}; K>1 -параметр тренда, определяющий количество гармоник с частотами, кратными основной исследуемой частоте <в0.
Ввиду достаточно жестких условий тестирования а также маловероятности данной ситуации данным фактом можно считать пренебречь.
Вариант второй - отказ только встроенного ДСЧ. В данном случае были пройдены все тесты NIST. Вариант третий - загрузка плохих ключей. В данном случае были пройдены все тесты NIST. Заключение
Необходимость проверки последовательности с помощью нескольких критериев неоднократно отмечалась в литературе.
Чем больше используются компьютеры, тем больше необходимо случайных чисел, и генераторы случайных чисел, которые раньше считались вполне удовлетворительными, теперь недостаточно хороши для применения в физике, комбинаторике, стохастической геометрии, не говоря уже о криптографических приложениях. В связи с этим вводятся более строгие критерии, которые превосходят классические методы, подобные критерию интервалов и покер-критерию, в том смысле, что они по сравнению с этими критериями замечают и другие отклонения (например, статистический критерий «стопка книг», критерий равномерного заполнения гиперкуба).
Литература
1. Овчинников А. И. Тестирование датчиков случайных чисел, встроенных в смарт-карты. // Наука, техника и образование, 2014. № 2.
2. Garcia F. D., Rossum P., Verdult R. and Schreur R. W. Wirelessly Pickpocketing a Mifare Classic Card. In IEEE Symp. on Security and Privacy, Oakland, May 2009.
3. Costin, MFCUK, an open source C implementation of the Courtois Dark Side attack. [Electronic resource]. URL: https://code.google.com/p/mfcuk/
4. Courtois N. The Dark Side of Security by Obscurity and Cloning MiFare Classic Rail and Building Passes Anywhere, Anytime, In SECRYPT 2009 International Conference on Security and Cryptography: pp. 331 -338. INSTICC Press, 2009.
5. Courtois N. Slides about MiFare Classic, extended version of the talk given at the 2009 workshop on RFID security held at Leuven, Belgium. [Electronic resource]. URL: http://www.nicolascourtois.com/papers/mifare all.pdf.
6. Nohl K., Evans D., Starbug, and H. Pl'otz. Reverse-Engineering a Cryptographic RFID Tag, In Usenix Sec. Symp., P. 185 - 194, 2008.
7. National Institute of Standards and Technologies (NIST) Special Publication 800-22. A Statistical Test Suite for the Validation of Random Number Generators and Pseudo Random Number Generators for Cryptographic Applications, 2012. [Electronic resource]. URL: http://csrc.nist.gov/rng.
8. Courtois N. The Dark Side of Security by Obscurity and Cloning MiF are Classic Rail and Building Passes Anywhere, Anytime, In SECRYPT 2009 International Conference on Security and Cryptography: pp. 331338. INSTICC Press, 2009.
9. Meriac M. Heart of darkness - exploring the uncharted backwaters of hid iclass(TM) security, In 24th Chaos Communication Congress, December 2010.
10. SmartMX2 P40 family P40C040/072. [Electronic resource]. URL: http://www.ru.nxp.com/documents/short_data_sheet/P40C040_C072_SMX2_FAM_SDS.pdf.
11. Рябко Б. Я., Пестунов А. И. «Стопка книг» как новый статистический тест для случайных чисел // Пробл. передачи информации, 2004. Т. 40, вып. 1. С. 73-78.
12. Pestunov A. Statistical Analysis of the MARS Block Cipher // Cryptology ePrint Archive. Report 2006/217. 2006. [Electronic resource]. URL: http://eprint.iacr.org/2006/217.
13. Ryabko B., Monarev V. Using information theory approach for randomness testing // J. of Statistical Planning and Reference, 2005. Vol. 133, N 1. P. 95-110.
14. Doroshenko S., Ryabko B. The experimental distinguishing attack on RC4 // CryptologyePrint Archive. Report 2006/070. 2006. [Electronic resource]. URL: http://eprint.iacr.org/2006/070.
15. Боровков А. А. Математическая статистика. М.: Наука. Гл. ред. физ.-мат. лит., 1984.
16. Ryabko B., Stognienko V., Shokin Yu. A new test for randomness and its application to some cryptographic problems // J. of Statistical Planning and Reference, 2004. Vol. 123, N 2. P. 365-376.
17. Пестунов А. И. Теоретическое исследование свойств статистического теста «Стопка книг» 2006
18. NIST Special Publication 800-57, Elaine Barker, William Barker, William Burr, William Polk, and Miles Smid «Recommendation for Key Management - Part 1: General (Revision 3)», July 2012.
19. NIST Special Publication 800-90A, Elaine Barker, John Kelsey, «Recommendation for Random Number Generation Using Deterministic Random Bit Generators», January 2012.
Тепловая защита систем летательного аппарата с помощью ЭВТИ. Анализ тепловых характеристик Сенченков В. С.
Сенченков Владислав Сергеевич /Senchenkov Vladislav Sergeevich — магистрант, кафедра информационно-управляющих вычислительных систем, факультет информационных технологий, Московский технологический университет, г. Москва
Аннотация: работа посвящена разработке метода повышения эффективности теплозащитных пакетов (ЭВТИ) для криоустройств путем использования в них новых композиционных прокладочных изоляционных бумаг из волокон различных материалов.
Abstract: the work deals with the development of a method to improve the efficiency of thermal insulation packages (SVHI) for cryostat by new composite gasket, insulating papers from fibers of different materials.
Ключевые слова: ЭВТИ, экранно-вакуумная теплоизоляция, термическое сопротивление, теплообмен. Keywords: SVHI, screen-vacuum insulation, thermal resistance, heat exchange.
В настоящее время во многих областях науки и техники широко используются криогенные температуры и ожиженные газы [1]. Подсистемы теплозащиты являются существенными элементами общей системы обеспечения теплового режима. В соответствии с разными целями и задачами можно рассматривать большое число возможных вариантов подсистем теплозащиты, различных по конструктивному выполнению и принципу действия. Подсистемы теплозащиты, органически входящие в систему обеспечения теплового режима (СОТР), должны обеспечивать требуемую температуру внутренних поверхностей. Рассмотрим одну из подсистем теплозащиты, которая должна обеспечивать требуемый тепловой режим космического аппарата (КА). Такой системой является экранно-вакуумная теплоизоляция (ЭВТИ).
Глубокий вакуум, особенности радиационных характеристик различных материалов, а также специфический характер внешних тепловых нагрузок в условиях космического полета позволяют рассматривать ряд возможных вариантов теплозащиты на основе многослойного экранирования внешней поверхности объекта. ЭВТИ обладает рядом положительных свойств, таких, как высокое термическое сопротивление при относительно малой плотности, надежность, сравнительная простота установки на поверхности сложной конфигурации и т.п.
Материалы, применяемые для изготовления слоев ЭВТИ и прокладок, могут быть самыми различными и выбираются в зависимости от уровня температур. При рабочей температуре ЭВТИ до 423 К для экранов обычно применяют полиэтилентерефталатную пленку с напылением алюминия, серебра или золота. При температуре до 723 К - алюминиевую фольгу с прокладками из стекловолокна. При температуре свыше 723 К для изготовления экранов используется фольга из меди, никеля или стали с кварцевым волокном в качестве прокладочного материала. Масса десяти экранов из полиэтилентерефталатной пленки площадью 1 м2 составляет 0,2-0,3 кг, а из металлической фольги -около 1,0 кг. В независимости от используемых материалов слоев принцип и особенности работы
