Научная статья на тему 'Многобитовые функции без запрета в задачах защиты ответственной информации на железнодорожном транспорте'

Многобитовые функции без запрета в задачах защиты ответственной информации на железнодорожном транспорте Текст научной статьи по специальности «Математика»

CC BY
140
37
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БУЛЕВА ФУНКЦИЯ / ЗАПРЕТ БУЛЕВОЙ ФУНКЦИИ / КРИПТОАНАЛИЗ / УЯЗВИМОСТИ СТАНДАРТОВ СВЯЗИ / GSM

Аннотация научной статьи по математике, автор научной работы — Рожнёв А. Ю., Титов С. С.

Рассматривается защита ответственной информации в системах передачи данных на железнодорожном транспорте. Приведен обзор атак на алгоритмы защиты данных в GSM, которые показывают их криптографическую слабость. Обобщена теория запретов булевых функций для многобитовых последовательностей, введено понятие многобитовой функции без запрета. Доказаны теоремы об отсутствии запрета у многобитовых функций, линейных или биективных по крайним переменным. Полученную математическую модель можно применять для построения блоков нелинейного усложнения генераторов псевдослучайных последовательностей в алгоритмах шифрования.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Multi-bit Functions Without Prohibitions in the Problems of Critical Information Security on Railway Transport

The authors consider the security of the critical information in the data transmission systems on railway transport. The review of attacks on the data protection algorithms in GSM that show their cryptographic weakness is presented. The authors give the generalization of the existing theory of prohibitions of the Boolean functions for multi-bit sequences and introduce the notion of a multi-bit function without prohibition. The theorems showing that multi-bit functions either linear or bijective ones have no prohibitions have been proved. The obtained mathematical model can be used for building blocks of nonlinear complication of generators of pseudorandom sequences in cryptography algorithm.

Текст научной работы на тему «Многобитовые функции без запрета в задачах защиты ответственной информации на железнодорожном транспорте»

Информатика и технологии информатики

119

- подсказки, касающиеся возможности реализации той или иной команды с целью исключения ошибок, могущих привести к задержкам передвижений;

- логический контроль технологических событий с активным воздействием на алгоритмы системы управления;

- формирование прогноза с реализацией автоматического действия на согласованный предстоящий период в несколько часов при условии соблюдения допусков отклонений параметров технологического процесса;

- подсказки и блокирование состояний в системе при вспомогательном управлении, возникновении отказов, иных нештатных ситуациях.

Каждой из перечисленных задач при программной реализации системы соответствует набор функций и алгоритмов, являющийся неотъемлемым атрибутом компьютерной системы управления, обладающей искусственным интеллектом, для организации безопасного перевозочного процесса.

Заключение

Использование вычислительных средств в системах нового поколения для оперативного управления поездами позволяет расширить их функциональные возможности за счет интеллектуальной составляющей принятия решений в программных модулях автоматизированных рабочих мест персонала дежурных по станциям.

Библиографический список

1. Основы проектирования электрической централизации промежуточных станций / В. А. Кононов, А. А. Лыков, А. Б. Никитин. -М. : Маршрут, 2003. - 316 с.

2. Методические указания по расчету численности работников железнодорожных станций, занятых приемом, отправлением поездов, маневровой работой и обработкой составов : сб. Проектного и внедренческого центра организации труда МПС / И. М. Кокурин, А. Б. Никитин, Н. А. Сапунов и др. - М. : МПС, 1994. - 89 с.

УДК 656.259: 004.056

А. Ю. Рожнёв, С. С. Титов

Уральский государственный университет путей сообщения

МНОГОБИТОВЫЕ ФУНКЦИИ БЕЗ ЗАПРЕТА В ЗАДАЧАХ ЗАЩИТЫ ОТВЕТСТВЕННОЙ ИНФОРМАЦИИ НА ЖЕЛЕЗНОДОРОЖНОМ ТРАНСПОРТЕ

Рассматривается защита ответственной информации в системах передачи данных на железнодорожном транспорте. Приведен обзор атак на алгоритмы защиты данных в GSM, которые показывают их криптографическую слабость. Обобщена теория запретов булевых функций для многобитовых последовательностей, введено понятие многобитовой функции без запрета. Доказаны теоремы об отсутствии запрета у многобитовых функций, линейных или биективных по крайним переменным. Полученную математическую модель можно применять для построения блоков нелинейного усложнения генераторов псевдослучайных последовательностей в алгоритмах шифрования.

булева функция, запрет булевой функции, криптоанализ, GSM, уязвимости стандартов связи.

ISSN 1815-588Х. Известия ПГУПС

2012/2

120

Информатика и технологии информатики

Введение

На сегодняшний день благодаря использованию различных систем передачи данных на сети железных дорог ОАО РЖД передается значительный объем ответственной и кон -фиденциальной информации - от логистической, имеющей коммерческую ценность, до команд управления локомотивными устройствами, которые напрямую обеспечивают безопасность перевозок. В связи с этим особую важность приобретает защита информации в корпоративных сетях передачи данных и системах связи железнодорожного транспорта [1]. Информационная безопасность - один из важнейших факторов обеспечения безопасности движения поездов, что подчеркнуто в разделе VII Концепции многоуровневой системы управления и обеспечения безопасности движения поездов

[2]. Доктрина информационной безопасности Российской Федерации гласит: повышение безопасности информационных систем и сетей связи, в особенности имеющих отношение к обеспечению безопасности жизни людей, является основополагающим положением для соблюдения национальных интересов в информационной сфере [3].

В настоящее время при организации транспортного производства все шире внедряются беспроводные технологии, такие как GSM-R, TETRA, CDMA и др. Особенно активно ведется внедрение стандарта GSM-R.

Радиосвязь по своей природе является более уязвимой, чем связь по проводам. За последние годы в Интернете и СМИ не раз вспыхивали дискуссии как вокруг самой защиты системы мобильной связи GSM, так и вокруг многочисленных уже случаев ее компрометации. В системах GSM, GSM-R в качестве алгоритмов шифрования используются шифры семейства A5. Как показал анализ литературных источников, в основном зарубежных, на каждый из алгоритмов, входящих в семейство, приходится достаточное количество различных видов атак [4]-[6]. Рассмотрим подробнее теоретические основы шифрования и приведем обзор результатов анализа алгоритмов семейства A5.

1 Теоретические основы

Известный американский инженер и математик К. Шеннон доказал: если ключ является фрагментом истинно случайной двоичной последовательности с равномерным законом распределения, причем его длина равна длине исходного сообщения и используется этот ключ только один раз, после чего уничтожается, то такой шифр является абсолютно стойким, его невозможно раскрыть, даже если криптоаналитик располагает неограниченным запасом времени и неограниченным набором вычислительных ресурсов [7].

Одним из недостатков абсолютно стойкого шифра является равенство объема ключевой информации и суммарного объема передаваемых сообщений. Построить эффективный алгоритм защиты информации можно, отказавшись от абсолютной стойкости, используя метод гаммирования с применением псевдослучайных последовательностей [4].

Определение 1. Гаммированием называют процедуру наложения (с помощью некоторой функции F) на входную информационную последовательность гаммы шифра, т. е. псевдослучайной последовательности (ПСП) с выходов генератора ПСП [4].

Надежность шифрования методом гамми-рования определяется качеством генератора ПСП. Один из наиболее эффективных методов криптографического анализа генераторов основан на использовании теории запретов [8]. При этом анализу в теории запретов подвергаются не сами генераторы ПСП, а блоки нелинейного усложнения (например, stop-and-go в A5/1), которые служат для «перемешивания» линейных рекуррентных последовательностей, являющихся криптографически слабыми [5], [6], [9]. Наличие запрета у булевой функции/, по которой работает блок нелинейного усложнения, свидетельствует о том, что выходная последовательность кодирующего устройства с булевой функцией / не может считаться близкой к реализации последовательности независимых, одинаково распределенных случайных величин, принимающих значения «0» или «1» с вероятностями 1/2 [8].

2012/2

Proceedings of Petersburg Transport University

Информатика и технологии информатики

121

2 Анализ криптостойкости семейства

алгоритмов A5

Рассмотрим алгоритм A 5/1 как наиболее широко используемый на данный момент. Генератор ПСП A 5/1 состоит из трех коротких регистров сдвига. Регистры работают по принципу stop-and-go, что обеспечивается с помощью применения функции majority.

Алгоритм шифрования A5/1 достаточно подробно проанализирован криптоаналитиками. Результатом этого является целая серия предложенных атак, которые доказывают слабость A5/1. Все атаки предполагают, что криптоаналитику известны определенные биты выходной последовательности A 5/1 в определенных кадрах данных.

В 2000 г. А. Бирюков, А. Шамир и Д. Вагнер описали две атаки в реальном времени на A5/1, которые основаны на том, что размер LFSR довольно мал и все состояния этих регистров можно предварительно рассчитать и хранить в оперативной памяти ПК. Таблицы всех возможных состояний были созданы, их использование требовало не менее двух минут закодированной A 5/1 информации. Сама атака длилась несколько секунд.

В [4] достаточно подробно описана атака, основанная на графе состояний. Для ее осуществления необходима запись всего лишь двух секунд разговора, однако время самой атаки составляет несколько минут. Основная ее цель состоит в получении большей части особых состояний с помощью легких вычислений над подмножеством особых состояний, которые на самом деле хранятся на диске. Атака основывается на новой функции f, которая отображает одно состояние на другое с помощью простых вычислений. Обратная функция позволяет нам вычислить особые состояния из выходных блоков, даже если они на самом деле не хранятся на жестком диске, с различными комбинациями времени T и памяти M, удовлетворяющими условию MJT = 248.

С точки зрения теории запретов булевых функций, функция majority, по которой работает блок нелинейного усложнения A 5/1, также имеет криптографическую слабость.

Доказательство этого факта с использованием графа сдвигов этой функции представлено в работе [10]. Наличие запрета у функции нелинейного усложнения доказывает уязвимость стандарта A5/1 и в этом блоке. Разработаны подходы к построению блоков нелинейного усложнения, не обладающих этим недостатком.

3 Обобщение теории запретов булевых функций для битовых векторов (регистров)

Существующий на данный момент математический аппарат теории запретов булевых функций относится к функциям, в которых каждая переменная может принимать лишь два значения [8].

Обобщим основные аспекты теории запретов для функций над элементами GF (2m).

Введем понятие многобитовой функции без запрета. Пустьf (x x2, ..., xj - функция n переменных, которая представляет собой отображение f GF(2m)n ^ GF(2m)n. Соответственно каждая переменная x x ..., xn функции f определена над полем GF (2m). Пусть Tn - множество таких функций f от n переменных.

Пусть некоторое устройство (конечный автомат) перерабатывает произвольную входную m-битовую последовательность в выходную m-битовую последовательность по следующему закону:

f (xs, xs+о ..., xs+„-1) = ys;

s = 1, 2, ..., l,

(1)

гдеf e T l- натуральное число.

Таким образом, это устройство перерабатывает последовательность x = (x x ..., xl+n-1) e Vl+-l в последовательность y = (yp y2, ...,yl) e V, V = GF(2m)1, для любого натурального числа l. Такое устройство назовем многобитовым кодирующим устройством с конечной памятью и без обратной связи.

Определение 1. Функцию f e T назовем многобитовой функцией без запрета, если для любого натурального числа l и для лю-

ISSN 1815-588Х. Известия ПГУПС

2012/2

122

Информатика и технологии информатики

бого набораy = (y у ..., y) е У{ система уравнений (1) совместна. В противном случае функция f называется функцией с запретом, а набор у = (yi, у2, ..., у**) е V*, для которого система уравнений (1) несовместна, называется запретом многобитовой функции f длины l*.

В [8] приведено утверждение (оформленное в виде задачи 9.54) о том, что булева функцияf(xi, x2, ..., xn), линейная по первой или/и по последней переменной, является функцией без запрета. Докажем, что аналог этого утверждения справедлив для многобитовых функцийf е Тп.

Приведем доказательства для случая линейности по первой переменной. Представим систему уравнений (1) в следующем виде:

'х1 + f ^ ..., xn) = yi;

Х2 + f (X3, ..., Xn+1) = y2

(2)

.Xl + f (Х1+U ..., Хп+i-i) = yi,

где множество (y y ..., y) задано, все ком -поненты системы уравнений определены над GF (2”).

Начнем решать систему с последнего уравнения. Для этого зададим (у1+1,..., x) -произвол, который может принимать (2”)п-1 решений. Тогда определится однозначно элемент zl = f(ym, ..., хп+[1) и систему уравнений (2) можно представить в следующем виде:

" xi = yi + zi;

xi-i = yi-i+f (xi ^ xn+i-2) = yi-i+zi-i;

xi-2 = yi-2 + f (xi-О xi, Xl+1,..., xn+i-3) =

i (3)

= yi-2 + Zi-2

_ xi = yi + f (^..^ xn ) = xi + Zi.

Здесь элементы z ..., z определяются рекуррентно, аналогично Zi.

Таким образом, мы однозначно определили все неизвестные (xi, x2, ..., x), задав предварительно значения (xl+i, ..., x ).

Очевидно, что в случае линейности по по-

следней переменной рекурсия будет аналогичной, с той лишь разницей, что ее начало будет в первом уравнении системы (2), а не в последнем. Этим завершается доказательство теоремы. Итак, доказана следующая теорема.

Теорема 1. Многобитовая функция f (xr x ..., xn) е T , линейная по первой или/и по последней переменной, является функцией без запрета.

Определение 2. Отображение ф: X^ У называется сюръективным или отображением на..., если для любого yeY выполнено ф^У ф 0, где ф^У - прообраз элемента y из множества X [i2].

Определение 3. Отображение ф: X^ У называется инъективным, если из xфx' следует ф(x) ф фУ) [i2].

Определение 4. Отображение ф: X^ У называется биективным или взаимно-однозначным, если это отображение одновременно сюръективно и инъективно [i2].

Обобщим теорему i для биективных по крайним переменным многобитовых функ-

цийf(xv X2, ..., xn) е Тп

Теорема 2. Если многобитовая функция

f (x x ..., xj е Tn биективна по крайней переменной (xi или xj, то она является функцией без запрета.

Доказательство. Пусть a, b е GF(2m), а ф b. Тогда в случае биективности по первой переменной следует, согласно определению 3, чтоf(a, x2, ..., xп) фf(b, x2, ..., xп).

Это означает, согласно определениям 3 и 4, что уравнение f(x, x2, ..., xп) = y имеет единственное решение x для любого y (x, y е е GF(2m)), а это, согласно методу доказательства теоремы i, говорит об отсутствии запрета в такой функции. Теорема доказана.

Обобщение теоремы i как для линейных, так и для биективных функций применимо не только для многобитовой логики, но и для двухзначной и трехзначной логики. Это связано с тем, что для таких функций доказано, что биективность целиком выражается в линейности этих функций [i2]. По существу можно сказать, что линейность функции по крайним переменным является частным случаем биективности, поэтому

2012/2

Proceedings of Petersburg Transport University

Информатика и технологии информатики

123

доказательство теоремы 2 открывает для исследования и применения более широкие классы функций.

Заключение

Криптографические алгоритмы GSM достаточно хорошо проанализированы и являются криптографически слабыми, в том числе из-за наличия запрета в блоке нелинейного усложнения 45/1. Это представляет опасность для использования на железнодорожном транспорте. Поэтому необходимы новые надежные алгоритмы шифрования. Данную задачу предлагается решать, применяя описанный выше математический аппарат теории запретов многобитовых функций.

Библиографический список

1. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта / В. В. Яковлев, А. А. Корниенко. - М. : УМК МПС, 2002. - 328 с.

2. Концепция информационной подсистемы многоуровневой системы управления и обеспечения безопасности движения поездов (АСУ МС) / Под ред. Н. Г. Шабалина. - М. : Изд-во ВНИИУП, 2003. - 56 с.

3. Доктрина информационной безопасности Российской Федерации, № Пр-1895 : утв. 09.09.2000. - М., 2000.

4. Поточные шифры / А. В. Асосков, М. А. Иванов, А. А. Мирский, А. В. Рузин, А. В. Сланин, А. Н. Тютвин. - М. : Кудиц-образ, 2003. - 336 с.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

5. Linear cryptanalysis using multiple approximations / B. S. Kaliski, M. J. B. Robshaw // In Proceedings of Advances of Cryptology - CRYPTO’94. Lect. Notes in Comp. Sci. Springer-Verlag, 1994. V. 950. P. 26-39.

6. Linear recurring sequences over rings and modules / A. S. Kuzmin, V. L. Kurakin, A. V. Mikha-lev, A.A. Nechaev. Contemporary Math. and its Appl. Thematic surveys. 1994. V. 10. Algebra 2. Moscow //

J. of Math. Sciences. 1995. V. 76. No. 6. P. 27932915.

7. Теория связи в секретных системах /

K. Шеннон // Работы по теории информации и кибернетике. - М. : Иностранная литература, 1963. -С. 333-369.

8. Булевы функции в теории кодирования и криптологии / О. А. Логачев, А. А. Сальников,

B. В. Ященко. -М. : МЦНМО, 2004. - 470 с.

9. Теория, применение и оценка качества генераторов псевдослучайных последовательностей. Кн. 2 / М. А. Иванов, И. В. Чугунков. -М. : Кудиц-образ, 2003. - (Серия СКБ).

10. Исследование булевых функций на запрет в системах связи на железнодорожном транспорте / А. Ю. Рожнев, С. С. Титов // Вестник УрГУПС. - Екатеринбург : Уральский гос. ун-т путей сообщения, 2011. - С. 21-27.

11. Новые методы изучения совершенно уравновешенных булевых функций / О. А. Логачев, С. В. Смышляев, В. В. Ященко // Дискретная математика. Т. 21. - 2009. - Вып. 2. -

C. 51-74.

12. Дискретная математика и криптология /

B. М. Фомичев. - М. : Диалог-МИФИ, 2003. -

C. 25.

13. Amos Beimel, Benny Chor. Universally Ideal Secret Sharing Schemes, IEEE Trans. on Information Theory. 1994, V. 40, No. 3. P. 786-794.

ISSN 1815-588Х. Известия ПГУПС

2012/2

i Надоели баннеры? Вы всегда можете отключить рекламу.