Доклады БГУИР
2014 № 5 (83)
УДК 004.056.5:519.254
методика нахождения эталонных законов распределения вероятностей, получаемых при статистическом тестировании последовательностей ключей
Н.Г. КИЕВЕЦ, А.И. КОРЗУН
Белорусский государственный университет информатики и радиоэлектроники П. Бровки, 6, Минск, 220013, Беларусь
Поступила в редакцию 31 марта 2013
Предложена методика нахождения эталонных законов распределения вероятностей Р-уа1ие, получаемых при статистическом тестировании. Проведен анализ результатов тестирования по частотному тесту и тесту на подпоследовательности одинаковых бит системы NIST последовательностей ключей при использовании равномерного закона в качестве эталонного закона распределения вероятностей Р-уа1ие и при использовании найденных законов распределения Р-уаШе.
Ключевые слова: последовательность ключей, статистическое тестирование.
Введение
Практически значимой является задача тестирования последовательностей ключей, применяемых в криптографических системах защиты информации. Получение ключей с хорошими статистическими свойствами не может гарантировать даже использование качественного генератора случайных чисел (ГСЧ). В связи с этим все ключи перед их использованием требуется подвергать статистическому тестированию.
При относительно небольшой длине ключей их статистическое тестирование может привести к неверным результатам, так как распределение тестовой статистики обычно сравнивается не с действительным, а приблизительным законом распределения. При обобщении результатов тестирования вероятность принять неверное решение увеличивается. Тесты системы NIST [1] предполагают использование для тестирования последовательностей длиной от 100 бит. Относительно небольшие длины практически используемых ключей, превышающие 100 бит, равны 128 и 256 бит. Ключи длиной 128 бит используются в симметричных алгоритмах шифрования IDEA и AES, ключи длиной 256 бит используются в симметричном алгоритме шифрования ГОСТ 28147-89 [2]. Представляет интерес интерпретация результатов тестирования последовательностей ключей длиной 128 и 256 бит.
Анализ результатов тестирования по методике NIST
Исследование по каждому из тестов последовательности ключей с обобщением результатов по методике NIST [1] включает следующие этапы.
1. Тестирование по тесту каждого ключа последовательности.
2. Формирование массива значений вероятности P-value, полученных при тестировании ключей последовательности.
3. Подсчет частот попадания значений P-value в интервалы L : l1 = [0;0,1]; l2 = (0,1;0,2]; 1э = (0,2;0,3]; I4 = (0,3;0,4]; I5 = (0,4;0,5]; 4 = (0,5;0,6]; 1П = (0,6;0,7]; 4 = (0,7;0,8]; I9 = (0,8;0,9]; I10 = (0,9;1].
К+и 42
. _ „ 2 т - 5 ■ Рг) 1
4. Расчет случайной величины X = /-— , где К +1 - количество интервалов
И 5 ■ Р
значений Р-уа!ие, т, - частота попадания значений Р-уа1ие в интервал 1г ,5 - количество значений Р-уа!ие, равное количеству ключей в последовательности, р1 - вероятность попадания значения Р-уа1ие в интервал I,. В случае равномерного распределения Р-уа1ие для всех интервалов I, принимают значения р1 = 1/10.
5. Расчет вероятности, характеризующей степень соответствия эмпирического закона распределения вероятностей Р-уа1ие эталонному закону:
г ю ^ Л /ю ^ Л
Р-уа1пеТ = | г2 е-Л 1/1 |г2 е-Л , (1)
а2/2 V о )
где К = 9 - число степеней свободы распределения «хи-квадрат».
6. Сравнение значения Р-уа1ыет с уровнем значимости а = 0,0001. Если Р-уа1ыет >а,
то делается вывод о том, что последовательность ключей успешно прошла тестирование. Если Р-уа1пет <а, то делается вывод о том, что последовательность ключей не прошла
тестирование по данному тесту.
По методике №8Т проведено обобщение результатов тестирования по частотному тесту и тесту на подпоследовательности одинаковых бит двух последовательностей по 8000 ключей длины 128 бит, полученных из двух ЭПК (электронных пластиковых карт). В табл. 1 представлены результаты тестирования. Так как все полученные значения Р-уа1ыет = 0 < 0,0001, ясно, что ни одна последовательность ключей не прошла тестирование
ни по одному тесту. Для наглядности представления полученных данных в табл. 1 содержатся
*
значения относительной частоты попадания значений Р-уа!ие в интервал Р . Значения
* *
величины Р рассчитываются по формуле: р* = т - /5 = т - /8000. Таблица 1. Результаты тестирования последовательностей ключей длины 128 бит, полученных из двух ЭПК
г 1, Частотный тест Тест на подпоследовательности одинаковых бит
ЭПК №1 ЭПК №2 ЭПК №1 ЭПК №2
т * Р* т, * Р* т, * Р* т, * Р*
1 [0-0,1] 700 0,0875 738 0,0922 823 0,1029 834 0,1043
2 (0,1-0,2] 730 0,0913 750 0,0938 785 0,0981 838 0,1048
3 (0,2-0,3] 1151 0,1439 1140 0,1425 903 0,1129 930 0,1163
4 (0,3-0,4] 760 0,0950 766 0,0957 789 0,0986 786 0,0983
5 (0,4-0,5] 885 0,1106 909 0,1136 781 0,0976 771 0,0964
6 (0,5-0,6] 961 0,1201 1016 0,1270 837 0,1046 862 0,1078
7 (0,6-0,7] 0 0 0 0 565 0,0706 576 0,0720
8 (0,7-0,8] 1051 0,1314 1024 0,1280 881 0,1101 831 0,1039
9 (0,8-0,9] 1159 0,1449 1085 0,1356 945 0,1181 878 0,1098
10 (0,9-1] 603 0,0754 572 0,0715 691 0,0864 694 0,0867
2 X 1304,4225 1256,2775 134,8825 116,0475
Р-уа!ие 0 0 0 0
*
По данным табл. 1 построены гистограммы относительных частот Р* для каждой из
четырех ключевых последовательностей. Гистограммы представлены на рис. 1, на котором
**
уровни Р = 0,1 показывают ожидаемые значения величины Р для каждого интервала.
в г
Рис. 1. Гистограммы относительных частот P * для: а - последовательности ключей, полученной из ЭПК №1 и протестированной по частотному тесту; б - последовательности ключей, полученной из ЭПК № 2 и
протестированной по частотному тесту; в - последовательности ключей, полученной из ЭПК № 1 и протестированной по тесту на подпоследовательности одинаковых бит; г - последовательности ключей, полученной из ЭПК №2 и протестированной по тесту на подпоследовательности одинаковых бит
Значения P-valueT = 0 свидетельствуют о том, что либо полученные ключи не
пригодны для использования, либо методология имеет изъян. Поскольку ключи были получены от физических ГСЧ, нулевые результаты заставили усомниться в равномерности распределения значений P-value.
Было решено подвергнуть сомнению равномерность распределения значений P—value, получаемых при тестировании последовательностей ключей длиной 128 бит по частотному тесту и тесту на подпоследовательности одинаковых бит по следующим причинам.
1. Получены отрицательные результаты при тестировании всех последовательностей ключей, вырабатываемых физическими ГСЧ.
2. В тестах используется аппроксимация фактических законов распределения количества единиц или количества непрерывных подпоследовательностей бит в ключе нормальным законом.
3. Гистограммы на рис. 1 показывают сходство распределения P-value для разных ключевых последовательностей при тестировании по одному и тому же тесту.
Таким образом, показано, что следует провести корректировку эталонного закона распределения значений P-value, получаемых при тестировании последовательностей ключей длины 128 бит при тестировании по частотному тесту и по тесту на подпоследовательности одинаковых бит.
Методика нахождения эталонного закона распределения значений Р-уаШв
Для нахождения закона распределения значений Р-уа1ие при тестировании по некоторому тесту ключей длины п бит необходимо протестировать полный набор 2п ключей и определить долю значений Р-уа!ие, принимающих значения из каждого из десяти интервалов
¡i (i = 1,10). Такая задача является трудновыполнимой из-за больших временных затрат, необходимых для тестирования полного набора ключей, который при длине ключа 128 бит равен 2128 « 3,4028-1038, при длине 256 бит - 2256 «1,1579-1077 ключей.
Обычно возможное количество значений вероятности P-value, получаемых при тестировании ключей по данному тесту при заданной длине n, бывает существенно меньше полного набора ключей. Для снижения временных затрат при нахождении эталонных законов распределения вероятностей P-value предложена следующая методика.
1. Формируется массив всех возможных значений P-value для данного теста при заданной длине ключа, которые делятся на 10 групп в зависимости от принадлежности к интервалу ¡i (i = 1,10).
2. Определяется вероятность появления каждого значения вероятности P-value.
3. Для каждой группы значений P-value рассчитывается вероятность попадания в данную группу вероятности P-value.
Рассмотрим приложение предложенной методики к частотному тесту и тесту на подпоследовательности одинаковых бит.
В частотном тесте значение вероятности P-value определяется по формуле [1]:
P-value = erfc (|/л/2П) , где erf (x) - дополнительная функция ошибок; Sn - сумма
элементов последовательности, полученной из исходной последовательности нулей и единиц путем замены элемента «0» на элемент «-1»; n - длина битовой последовательности. Количество возможных значений величины |S„| равно n/2+1. Следовательно, имеем n/2+1 различных значений вероятности P-value. Вероятность получения значения вероятности
(v
P-value при заданном значении Sn определяется по формулам [3]: p(Sn) =
n!
n — Sn
/ 2n
если
Sn * 0, и p(Sn ) =
если Sn = 0.
(n/2>(n/2>2И '
В тесте на подпоследовательности одинаковых бит значение вероятности P-value
i\
определяется по формуле [1]: P-value = erfc
r — 2nX(1 — A,)|
Л
, где r - количество непрерывных
2V2nA,(1 — A,)
подпоследовательностей нулей и единиц, X = n1/ n - доля единиц в тестируемой последовательности, содержащей n1 единиц. При заданной длине n значение P—value полностью определяется величинами r и n1. Величина r =1 при |n1—n /2| = n /2 и величина r может принимать значения от 2 до 2 - |n1 — n/^ при |n1 — n/^ * n/2 . С учетом того, что вероятность P-value принимает одинаковые значения при n1 = x и n1 = |n — X при одинаковых
n /2—1
значениях г , то всего имеем 2 ^(2 • ] — 1) + п +1 разных возможных значений вероятности
j=1
P-value для теста на подпоследовательности одинаковых бит. Вероятность получения данного значения P-value, что эквивалентно получению данных значений n1 и r , определяется по формулам [3, 4]:
/ n1 — 1 Y n — n1 — ( \
/(2n j, если r - четное число;
1. p(n1, r) = 2
2. p(n1, r) =
v r/2 — Ъ
v r/2 —1 у
(n1 — 1 Y n — n1 — (n1 — 1
+
(r —1)/2 yv (r — 3)/2
Y n — n1 — (r — 3)/2 X (r —1)/2
/(2" ),
если r - нечетное число.
В соответствии с предложенной методикой определены вероятности Р - вероятности попадания в каждый из интервалов 11 (1 = 1,10) значений Р-уа!ие, получаемых при тестировании
2
последовательностей ключей длиной 128 бит по частотному тесту и тесту на подпоследовательности одинаковых бит. Полученные значения вероятности P представлены в табл. 2. По данным табл. 2 на рис. 2 построены гистограммы вероятностей P , соответствующих действительным законам распределения P-value для данных тестов.
Таблица 2. Значения вероятностей P
i 1 2 3 4 5 6 7 8 9 10
li [0-0,1] (0,1-0,2] (0,2-0,3] (0,3-0,4] (0,4-0,5] (0,5-0,6] (0,6-0,7] (0,7-0,8] (0,8-0,9] (0,9-1]
Частотный тест
Р, 0,0927 0,0920 0,1463 0,0955 0,1098 0,1224 0 0,1323 0,1386 0,0704
Тест на подпоследовательности одинаковых бит
Р, 0,1006 0,1014 0,1134 0,1022 0,0959 0,1041 0,0719 0,1103 0,1143 0,0860
0,15---pq-------
0.14- -
0,13- — 0,120,11- -—
ОД - _
0,090,080,07- -
0,06" 0,050,040,030,020,010 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1
а
0,15-----------
0,14 -0,130,120,11 - -
0,1--- --
0,09 - _
0,080,07- -
0,060,05 -0,040,030,020,01- L
0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 б
Рис. 2. Гистограммы вероятностей P : а - для частотного теста; б - для теста на подпоследовательности
одинаковых бит
Из табл. 2 видно, что в случае тестирования ключей длиной 128 бит по частотному тесту невозможно получение значения P-value из интервала (0,6;0,7]. В связи с этим для частотного теста при данной длине ключа следует рассматривать не десять интервалов значений P-value, а девять, исключив из диапазона [0;1] интервал (0,6;0,7] . В таком случае при
расчете по формуле (1) будем иметь K = 8 степеней свободы распределения «хи-квадрат».
Таким образом, получены эталонные законы распределения вероятностей P-value для частотного теста и теста на подпоследовательности одинаковых бит при n=128 бит. Выявлено, что данные законы отличны от равномерного. Аналогичным образом получены эталонные законы распределения P-value для последовательностей ключей длиной 256 бит.
Интерпретация результатов тестирования с использованием полученных эталонных законов распределения вероятностей P-value
Для проверки качества ранее полученных последовательностей результаты тестирования по частотному тесту и тесту на подпоследовательности одинаковых бит были интерпретированы с учетом полученных эталонных законов распределения P-value. Результаты расчетов представлены в табл. 3.
Таблица 3. Результаты тестирования последовательностей ключей длиной 128 бит
Название теста Частотный тест Тест на подпоследовательности одинаковых бит
№ ЭПК 1 2 1 2
2 X 8,2468 5,2488 3,7839 9,3189
P-valueT 0,5095 0,8121 0,9251 0,4084
Из табл. 3 видно, что обе последовательности ключей по обоим тестам прошли тестирование, так как все значения P-value > 0,0001. Это свидетельствуют о хороших
статистических свойствах исследуемых последовательностей ключей, которые выявляют частотный тест и тест на подпоследовательности одинаковых бит.
Заключение
Таким образом, предложена методика получения эталонных законов распределения значений P-value. Получены эталонные законы распределения значений P-value для частотного теста и теста на подпоследовательности одинаковых бит при длине ключей n = 128 бит и n = 256 бит. Показано, что использование равномерного закона распределения в качестве эталонного закона распределения вероятностей P-value при исследовании последовательностей ключей относительно небольших длин приводит к неверным выводам:
1) последовательности ключей с хорошими статистическими свойствами могут быть забракованы;
2) последовательности ключей с плохими статистическими свойствами могут успешно пройти тестирование.
Использование методики интерпретации результатов тестирования с истинными эталонными законами распределения позволяет получить достоверные результаты. Поэтому методику нахождения эталонных законов распределения вероятностей P-value целесообразно распространить на другие тесты.
the technique of probability reference distribution law finding at key sequence statistical testing
N.G. KIYEVETS, A.I. KORZUN
Abstract
The technique of probability reference distribution law finding at statistical testing is offered. The analysis of results of key sequence testing under the frequency test and runs test of system NIST is carried out at use of the uniform law as the probability reference distribution law and at use of the found distribution laws.
Список литературы
1. A statistical test suite for random and pseudorandom number generators for cryptographic applications. [Электронный ресурс]. - Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-22-rev1a/SP800-22rev1a.pdf. - Дата доступа: 13.11.2012.
2. Дшхунян В.Л., Шаньгин В.Ф. Электронная идентификация. Бесконтактные электронные идентификаторы и смарт-карты. М., 2004.
3. Гмурман В. Е. Теория вероятностей и математическая статистика. М., 1977.
4. Nonparametric Statistical Interference. [Электронный ресурс]. - Режим доступа: http://f3.tiera.ru/2/M_Mathematics/MV_Probability/MVsa_Statistics%20and%20applications/Gibbons%20J .%20Nonparametric%20statistical%20inference%20(Dekker,%202003)(ISBN%200824740521)(0)(672s)_ MVsa_.pdf. - Дата доступа: 25.02.2014.