УДК 004.056.5
В. Ф. ГОЛИКОВ, М. Л. РАДЮКЕВИЧ
ФОРМИРОВАНИЕ ОБЩЕГО СЕКРЕТА С ПОМОЩЬЮ ИСКУССТВЕННЫХ НЕЙРОННЫХ СЕТЕЙ
Белорусский национальный технический университет Научно-производственное республиканское унитарное предприятие «Научно-исследовательский институт технической защиты информации»
В работах [1-3] предлагается использование двух синхронизируемых искусственных нейронных сетей (СИНС), соединенных открытым каналом связи для конфиденциального формирования общего криптографического ключа. В [3]рассматриваются возможности по формированию такого же ключа третьей стороной, прослушивающей канал связи и синхронизирующей свою сеть. Вместе с тем, остаются мало исследованными вопросы практической пригодности данной технологии для ответственных криптографических приложений. Отсутствуют рекомендации по выбору параметров используемых сетей, обеспечения приемлемого быстродействия и гарантированной конфиденциальности сформированного общего секрета.
В связи с этим представляет интерес обоснование рациональных значений параметров ИНС с точки зрения криптографических требований и анализ безопасности предлагаемого способа формирования криптографических ключей.
Ключевые слова: синхронизируемые искусственные нейронные сети, атака, общий криптографический ключ, параметры искусственных нейронных сетей.
Введение
Абоненты А и В, имеют идентичные ИНС, соединенные открытым каналом связи [1, 2] (рис. 1). Каждая ИНС, состоит из одного слоя персептронов. Каждый персептрон имеет n входов и прямоугольную функцию активации s(*) (рис. 2).
До начала синхронизации абоненты А и В независимо друг от друга формируют вектор весовых коэффициентов (ВК)
wa = wa11, wan,..., wa,„, wai, wan
wb = wbn, wb12,..., wbin, wb21, wb22,...,
wb2n, wbk^ wbk2, ■
wb
(2)
km
12
41n>
21
22
wa
2n'
wa
k1
wa
k2
wa
(1)
kn>
где wa1J, wbij е L], 1 = 1, 2, ..., К;; = 1, 2, ..., п; L - целое число.
Каждый элемент этих векторов wiJ есть случайное целое число с дискретным равномерным законом распределения (рис. 3)
Р( = sij) = —1—, 4 4 2L +1
где sii = -L, -L +1, ..., -1, 0, 1, ..., L -1, L.
Рис. 1. Синхронизируемые ИНС
Рис. 2. Функция активации
Каждый шаг синхронизации начинается с подачи на входы обеих сетей выбранного случайным образом вектора
х (г ) = хп
12'
Х1п, Х21, х22
(3)
12п> ЛК1> ЛК2' •
где х„
(
КА/В =С
Л
Ё щ
.}=1
А/В,
(4)
Индекс А /В означает, что операция касается обеих сетей А и В, а единичный индекс -что операция касается одной сети соответственно. Функция активации ст(*) имеет вид
1, с(*)> 0,
-1, с(*)< 0.
(5)
Затем вычисляется выходная величина 2 для каждой из сетей
ТА/ В
К
= ПА/В = П 1=1 1=1
К
( щ
V1=1
Л
А/ Вх
ч хч
(6)
Рис. 3. Закон распределения начальных значений весовых коэффициентов
щА / В =
и
А/В 7А/В 7А гуВ 7А/В лгА/В
Щу + 2 Ху, если 2 = 2 И 7 = У { ,
..А/В
Щ,;
в противном случае.
Кроме того, учитывается ограничение щ
[-ц ц
А/ В,
: [-1,1] - дискретная случайная величина с равномерным распределением, г = 1, 2, ... -номер такта (далее все рассматриваемые величины зависят от г, но для упрощения записи эта зависимость в обозначениях отсутствует).
Для каждого персептрона выходная величина равна
„А/В
± ц,
щА/В,
если
„А/В
> ц,
в противном случае.
Процесс синхронизации продолжается до полного совпадения векторов Ща, щЬ , после чего абоненты А и В имеют общую секретную информацию, представляющую собой последовательность десятичных чисел вида
щА/В = Щ ,, Щ
11, щ12, Щ1п, Щ21, Щ22,
(7)
щ2п, wK1, ЩК 2,
Щ
Кп-
$ = щ11 | Щ12 | | • • • | Щ1п Щ21 Щ22
Щ2п • • • •• ЩК1 ЩК2 • • • • ЩКп .
На основании сравнения обоих полученных выходных величин реализован процесс синхронизации. Коррекция векторов весов обеих сетей происходит только тогда, когда обе выходные величины равны друг другу (2А = 2В). Внутри данной сети корректируются веса только тех персептронов, выходная величина которых равна величине 2 всей сети. Процесс коррекции идет по правилу Хэбба
Общее секретное число можно сформировать из (7), например, как конкатенацию значений ВК
(8)
1. Статистические закономерности процесса синхронизации
1.1. Неопределенность момента наступления полной синхронизации
В процессе синхронизации ИНС обмениваются через открытый канал связи только выходными величинами сетей 2Ш, поэтому не знают равны ли ВК их сетей или нет. Следовательно, они не знают, нужно ли им продолжать цикл синхронизации или можно остановиться.
Неопределенность относительно наступления полной синхронизации ВК для абонентов приводит к тому, что процесс синхронизации может продолжаться уже после выравнивания
Рис. 4. Схема взаимодействия сетей: t - номер такта синхронизации, X ^) - вектор синхронизирующих случайных воздействий, ZA(t), ZB(t) - выходные величины сетей А и В соответственно
ВК. Это с одной стороны увеличивает время формирования общего ключа и повышает шансы злоумышленника на реализацию возможных атак [3], с другой - могут иметь место случаи преждевременной остановки процесса синхронизации. В [4] предложен способ определения момента наступления полной синхронизации, основанный на том, что после наступления полной синхронизации выходные величины сетей всегда равны. Поэтому, если в процессе синхронизации наблюдается длительное равенство выходных величин сетей, то есть основания полагать о наступлении полной синхронизации. Экспериментальное исследование, приведенное с помощью имитационной модели [4], показало, что в процессе син-
_а —В
хронизации пока w ^) Ф w ^), наблюдаются
такты, в которых ZA ^) Ф ZB ^), и такты, в ко-
а в
торых Z ^) = Z ^). Действительно, как показали эксперименты, довольно часто встречаются отрезки тактов длиной до нескольких сотен и более совпадений ZA ^) = ZB ^), однако синхронизация еще не достигнута. Таким образом, решение этой задачи носит вероятностный характер и базируется на результатах имитационного моделирования. Так или иначе, но процесс формирования общего ключа должен
—а _'-в
заканчиваться сравнением w (¿с) и w (¿с),
чтобы А и В были уверены в идентичности полученных результатов. Эта процедура может выполняться с применением хэширования, т. е.
^ wА & )
сравниваются хэш-значения векторов h
и п W (tc) или шифрованием и расшифрованием отрывка текста, с использованием в качестве ключей вышеуказанных векторов.
Наряду с проблемой своевременной остановки процесса синхронизации существует проблема выбора параметров СИНС: К, п, Ь. Выбор этих параметров необходимо произвести исходя из криптографических соображений, имея ввиду конфиденциальность сфор-
мированного ключа и время формирования т. е. количество тактов синхронизации, потраченных на это. Поскольку эти характеристики зависят [3] от параметров сетей и моделей поведения третьей стороны Е, пытающейся узнать значение ключа, то далее следует рассмотреть статистические закономерности процесса синхронизации при наличии крипто-аналитика Е.
1.2. Модели поведения криптоаналитика
Рассмотрим основные известные атаки на формируемый ключ со стороны третьей стороны, «прослушивающей» канал связи, по которому синхронизируемые сети обмениваются информацией.
Схема взаимодействия сетей абонентов и криптоаналитика представлена на рис. 4.
Архитектура и параметры всех сетей идентичны (рис. 1).
1.2.1. Силовая атака
Силовая атака, также известная как полный перебор - метод взлома, являющийся самым универсальным, однако и самым долгим. Относится к классу методов поиска решения исчерпыванием всевозможных вариантов. Сложность полного перебора зависит от количества всех возможных значений формируемого ключа.
Для того чтобы оценить эффективность силовой атаки, необходимо рассчитать количество всевозможных значений всей совокупности весовых коэффициентов. Всевозможное количество значений рассчитывается по формуле:
п = (2Ь + 1)п*К (9)
Для количественной оценки выберем ней-росеть с параметрами п = 25, К = 3, Ь = 8. Подставляя соответствующие значения в формулу, получим количество комбинаций, равное
1,9-1092. При скорости перебора, равной 1 миллиарду комбинаций в секунду, на полный перебор всех комбинаций уйдет 6,02-1075 лет, что намного больше предположительного времени актуальности зашифрованной информации. Из этого следует, что данный метод не подходит для взлома, даже при относительно небольших значениях параметров сети.
1.2.2. Простая атака
При простой атаке для взлома ключа крип-тоаналитику необходимо иметь свою собственную нейросеть, имеющую такую же структуру, как и сети легитимных абонентов.
При начале сеанса выработки ключа крип-тоаналитик подключает свою сеть к каналу связи, и, при помощи перехватываемых векторов синхронизирующих случайных воздействий и выходных величин сетей А и В, обучает сеть Е по следующим правилам обучения:
1) Если сети А и В получили разные выходные величины (2А Ф 2В), то сеть Е не меняет своих весов.
2) Если сети легитимных пользователей получили одинаковые выходные величины (2А = 2В) и к тому же выходная величина оппонента Е равна выходным величинам наблюдаемых сетей (2А = 2В = 2Е), то сеть Е производит коррекцию своих ВК.
3) Если выходы обеих сетей согласованы (2А = 2В), а криптоаналитик Е получает другую выходную величину (2А = 2В Ф 2Е), то сеть Е пропускает коррекцию, так как ее пропускают сети А и В.
Это приводит к тому, что количество коррекций сети Е оказывается меньше, чем количество коррекций ИНС у А и В и это приводит к задержке в процессе обучения сети оппонента относительно времени синхронизации наблюдаемых сетей. Это отставание является главным элементом безопасности процесса синхронизации. Если процесс синхронизации завершится на довольно раннем этапе, то оппонент будет не в состоянии синхронизировать свои вектора весов с наблюдаемыми сетями. Следовательно, чем больше эта задержка, тем выше уровень безопасности.
1.2.3. Геометрическая атака
Для ослабления эффекта отставания в количестве коррекций применяется атака под на-
званием геометрическая. При возникновении случая 3, т. е. при (2А = 2В Ф 2Е), делается предварительная коррекция, выходной величины того персептрона сети Е, у которого величина Ё щЕЕ Ху наименьшая по абсолютному значению.1 Это приводит к изменению знака выбранного персептрона на противоположный, аналогично и знака всей сети, что переводит сеть в случай 2. Эффективность такой атаки в среднем выше чем эффективность простой атаки, поэтому в дальнейшем будем считать основной моделью поведения Е.
1.3. Конфиденциальность сформированного общего ключа
Так как процессы синхронизации, протекающие в рассматриваемых сетях, являются случайными, то и исследование должно проводится с использованием математических вероятностных моделей.
Обозначим количество назначенных тактов синхронизации через d, количество фактических тактов синхронизации до достижения равенства ВК сетей А и В через гАВ, а сетей А и Е через гАЕ. Величины гАВ и гАЕ - дискретные случайные величины, законы распределения которых зависят от параметров сетей Ц, п, К. В некоторых источниках, например [5], для оценки уровня безопасности процесса синхронизации в рассматривается параметр, названный коэффициентом безопасности г = ТАЕ / Т^, где TAB - среднее время до полной синхронизации сетей А и В, TAE - среднее время до полной синхронизации сетей А и Е. С помощью этого параметра можно проследить тенденцию зависимости безопасности от параметров сети. Однако для криптографических применений важна не безопасность в среднем, а конкретно в каждом сеансе формирования, поэтому далее рассматриваются другие критерии.
В процессе синхронизации могут произойти следующие события:
1. Сети А и В достигли синхронизма (их веса стали равны друг другу), Е смог обучить свою сеть. Для этого события выражение вероятности запишется в виде P(tAв — d, — d). Это событие является неблагоприятным, так как сформированный ключ сразу дискредитируется.
2. Сети А и В достигли синхронизма, Е не успел обучить свою сеть. Для этого события
выражение вероятности запишется в виде Р^ав — д, (ае > д). Это событие является благоприятным, так как ключ был сформирован и не дискредитирован.
Остальные события нас не интересуют, так как в случае их наступления А и В не достигают синхронизма, следовательно, ключ не будет сформирован.
Вероятность сложного события (¿ав — д, (ае — д), пренебрегая взаимосвязью частных событий можно представить следующим образом:
Р ( (ав — д, (ае — д ) =
= Р ((ав — д)Р((ае — д / (ав — д)* (10)
* Р((ав — д)Р((ае — д).
По аналогии преобразуется выражение Р(А — д, (ае > й). Данные преобразования позволяют нам перейти к одномерным вероятностям, что упрощает расчетную часть.
Исходя из выше описанных правил, задача анализа безопасности сводится к расчету вероятности удачной синхронизации сетей А и В ( Р((аВ — д)), а также удачной либо неудачной попытки обучения сети Е (Р((аЕ—д),Р((аЕ>д)) при выбранных значениях д.
Аналитический расчет этих вероятностей не представляется возможным из-за высокой сложности. Поэтому расчет проводился методом статистического моделирования. Для этого была разработана программная модель СИНС и сети криптоаналитика Е. С помощью этой модели была имитирована реальная синхронизация. Повторяя этот процесс многократно, вычислены статистические значения искомых вероятностей для различных параметров сетей.
Исследования показали, что независимо от вида атаки обеспечивается
Р((ав — д) > Р((ае — д)
(11)
500 1000 1500 2000 2500 3000 5500 4000 4500 50Ш
Рис. 5. Результаты имитационного моделирования
Выражение (11), однако, совсем не означает, что в процессе атаки обязательно произойдет событие ^в < й < А . Т. е. могут иметь место успешные атаки, при которых окажется (ае < (ав < й . С наличием таких реализаций и связаны основные сомнения в безопасности анализируемого метода открытого формирования общего секрета.
На рис. 5 приведены вероятности Р((ае < й), полученные методом имитационного моделирования при некоторых значениях параметров сетей. Анализируя результаты моделирования, полученные авторами статьи и другими исследователями [3], можно выявить важные закономерности, которые могут быть использованы для принятия конкретных решений.
2. Выбор параметров и обоснование структуры ИНС
Анализ результатов моделирования и работ других авторов позволяет сформулировать предложения по обоснованию структуры и параметров СИНС.
Решение этой задачи, на наш взгляд, следует начать с выбора диапазона значений ВК, который вместе с количеством входов п и числом персептронов К задает с одной стороны множество возможных значений #А/в, с другой сильно влияет на длительность процесса согласования ВК сетей А и В. Увеличение L приводит к увеличению множества возможных значений #А/в, т. е. к увеличению крипто-стойкости, но при этом увеличивается длительность процесса согласования ВК, т. е. снижается скорость работы алгоритма. С точки зрения обеспечения требуемой криптостойко-сти следует отдать предпочтение первому фактору. Поэтому величину L будем выбирать исходя из криптографических факторов.
В результате полной синхронизации А и В формируют общую последовательность десятичных чисел (8), состоящую из целых положительных и отрицательных чисел из интервала L]. Для использования этой последовательности чисел в качестве криптографического ключа ее следует преобразовать в бинарную.
Возникает вопрос о выборе разрядности двоичного числа при переходе от десятичного формата ВК к двоичному. Как уже указывалось выше, диапазон изменения значений де-
сятичных чисел w, задается величиной L и равен L]. Таким образом, количество возможных значений w , равно 2L + 1. Двоичным числом длиной I можно описать 21 десятичных чисел, а так как 2L + 1 нечетное число, то точное его описание для произвольно выбранных значениях L невозможно. Избыточная разрядность нежелательна, так как это приведет к избыточному количеству нулей в ключевой последовательности. Поэтому возможна следующая методика. Уменьшим количество возможных значений wjJ■ на единицу и вычислим необходимую разрядность I:
2L = 21, откуда I = 1п (2L). (12)
В табл. 1 приведены значения L и соответствующие значения I.
Таблица 1. Соответствие разрядности двоичного числа десятичному
L 2 4 8 16 32
1 2 3 4 5 6
Тогда таблица для перевода десятичных чисел в двоичные, например, для L = 4 имеет вид в табл. 2.
Таблица 2. Перевод десятичного числа в двоичное
w ¿/(10) 0 1 2 3 4 -1 -2 -3 -4
w ,,(2) 000 001 010 011 100 101 110 111 -
Из последней таблицы видно, что трехразрядных чисел не хватает для замены всех десятичных чисел выбранного интервала. Замена на одно из уже используемых двоичных чисел возможна, но нежелательна, так как это нарушает равномерность распределения чисел. Лучший вариант это переход на несимметричный интервал L2] (для рассматриваемого случая: Ll = -3, L2 = 4), но при этом нужно изменить и функцию активации, сдвинув ее вправо на единицу рис. 6.
С учетом (12) длина сформированной секретной последовательности в битах равна
Г( 2)= пК 1п ( 2 L ). (13)
Необходимую длину ключа, как следует, из (13) можно обеспечить соответствующим выбором п, К, L, учитывая при этом, что й < Т, где Т - допустимое число тактов, отведенное на сеанс связи. Эксперименты показывают, что обеспечение необходимой величины Г(2) це-
Возникает вопрос насколько достигнутые значения вероятностей удовлетворяют криптографическим требованиям. Вероятность P(tab — d) является важной характеристикой, но не критичной, так как, если формирование общего ключа в данном сеансе не состоится, то его можно повторять до получения успеха. Другое дело с вероятностью P(tAE — d). Полученные цифры можно трактовать, как то, что из каждой 1000 сформированных ключей, крип-тоаналитик буде знать 45. В некоторых случаях такая конфиденциальность может оказаться недостаточной.
Заключение
Таким образом из рассмотренного можно сделать следующие выводы:
- при использовании СИНС для формирования общего секретного ключа необходимо исходить из приемлемых значений вероятностей P(tAB — d) и P(tAE — d);
- для обеспечения требуемой стойкости к возможным атакам следует выбирать: L > 8, K > 3, n > 1000.
ЛИТЕРАТУРА
1. Kanter, 1 The Theory of Neural Networks and Cryptography, Quantum Computers and Computing / I. Kanter, W. Kinzel.-2005. Vol. 5, n. 1. - P. 130-140.
2. Kinzel, W. Neural Cryptography / W. Kinzel, / I. Kanter // 9th International Conference on Neural Information Processing, Singapore, 2002.
3. Ruttor, A. Dynamics of neural cryptography / A. Ruttor, I. Kanter, and W. Kinzel // Phys. Rev. E, 75(5):056104, 2007.
4. Голиков В. Ф., Брич Н. В., Пивоваров В. Л. «О некоторых проблемах в задачах распределения криптографических ключей с помощью искусственных нейронных сетей», Системный анализ и прикладная информатика, № 1-3, 2014.
5. Плонковски, М. Криптографическое преобразование информации на основе нейросетевых технологии / М. Плонковски, П. П. Урбанович // Труды БГТУ Сер. VI. Физико-математические науки и информатика; под ред. И. М. Жарского. - Минск: БГТУ, 2005.
REFERENCES
1. Kanter, 1. The Theory of Neural Networks and Cryptography, Quantum Computers and Computing / I. Kanter, W. Kinzel. - 2005. Vol. 5, n. 1. - P. 130-140.
2. Kinzel, W. Neural Cryptography / W. Kinzel, / I. Kanter // 9th International Conference on Neural Information Processing, Singapore, 2002.
3. Ruttor, A. Dynamics of neural cryptography / A. Ruttor, I. Kanter, and W. Kinzel // Phys. Rev. E, 75(5):056104, 2007.
4. Golikov V. F., Brich N. V., Pivovarov V. L. «On some problems in the distribution of cryptographic keys using artificial neural networks», System Analysis and Applied Informatics, № 1-3, 2014.
5. Plonkovski, M. Cryptographic transformation of information based on neural network technology / M. Plonkovski, P. P. Ur-banovich // Proceedings of BSTU. Series VI. Physics and Mathematics and Informatics; by ed. I. M. Zharsky. - Minsk: BSTU, 2005.
HOLIKAU U. F, RADZIUKEVICHM. L. GENERATION A SHARED SECRET USING ARTIFICIAL NEURAL NETWORKS
Belarusian National Technical University Scientific Production Republican Unitary Enterprise «Research Institute for the Technical Protection of Information»
In the Kanter s and Kinsella s works is proposes the use of two synchronized artificial neural networks (SANN) connected by opening communication channel to confidential formation of a common cryptographic key. At the same time, there are few
Рис. 6. Функция активации для несимметричного интервала
лесообразно обеспечивать выбором п > 1000 при К = 3, L = 8. При этом согласно графикам (рис. 6) обеспечивается Р(А <й) = 0,994, Р((АЕ < й) = 0,005 при й = 4000 тактов. Увеличение L в 2 раза вызывает увеличение й примерно в 10 раз при некотором снижении величины Р((ае < й), к аналогичным результатам приводит и увеличение К. Таким образом, если выбрать: п = 1000, К = 3, L = 8, й = 4000, то можно с вероятностью Р ((¿в < й) = 0,994 сформировать общую бинарную последовательность длиной Г(2) = 12 000 битов, конфиденциальность которой не менее Р(А < й) = 0,045.
questions of practical suitability of this technology for cryptographic applications. There are no recommendations on the choice ofparameters of the used networks, ensuring acceptable speed and guaranteed confidentiality of the generated general
In this regard, it is interesting to substantiate the rational values of the parameters of ANN from the point of view of cryptographic requirements and security analysis of the proposed method offormation of cryptographic keys.
Keywords: synchronized artificial neural networks, attack, common cryptographic key, parameters of the synchronized artificial neural networks.
Голиков Владимир Федорович
Доктор технических наук, профессор кафедры «Информационные технологии в управлении» Белорусского национального технического университета. Сфера научных интересов: защита информации, криптография. E-mail: vgolikov@bntu.by
Радюкевич Марина Львовна
Магистр технических наук. Начальник испытательной лаборатории по требованиям безопасности информации научно-производственного республиканского унитарного предприятия «Научно-исследовательский институт технической защиты информации». Победитель конкурса молодых ученых на XXIV научно-практической конференции «Комплексная защита информации».
E-mail: 1218a@list.ru