Раздел VI. Методы защиты информации
А.М. Ковалев, В.Г. Скобелев
МОДЕЛИ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ КОМБИНАТОРИКИ И ХАОСА
Введение. Современный этап развития информационных технологий характеризуется обилием парадигм, моделей и методов криптографии [1-3] без достаточной теоретической их проработки. В течение последнего двадцатилетия интенсивно исследуется и хаос динамических систем, в том числе применение циклических аттракторов при решении задач защиты информации [4-6], что привело к выработке парадигмы хаотического процессора [7], в которой реализован отказ от существовавшего принципа: усложнение поведения ИС влечет усложнение ее структуры. В результате, в области защиты информации существует большое число плохо сравнимых друг с другом разработок при отсутствии их системного анализа, причем остаются в тени такие важные для практики вопросы, как поддержка работоспособного состояния криптосистемы, применение программно/аппаратных реализаций, ориентация на методы синтеза, основанные на массовом параллелизме. Поэтому актуальной является проработка основ, связанных с систематической разработкой вычислительно стойких шифров и исследование внутренних связей между применяемыми математическими моделями и методами. Цель настоящей работы - обзор полученных под руководством авторов результатов в этом направлении, изложенных в [8-19]. В п.1 представлена парадигма блока управляемых отношений, а в п.2 - ее детализация для построения нестационарных стойких шифров. В п.3 методы защиты информации, основанные на применении хаоса динамических систем, охарактеризованы в терминах комбинаторных структур.
1. Блок управляемых отношений. Для того чтобы повысить сложность решения задачи дискретной математики, достаточно ее переформулировать так, чтобы осуществился переход от алгебраических операций к не сводящемуся к ним поиску. При построении шифров существенно, чтобы поиск генерировал каждый объект с линейной емкостной и временной сложностью, что, в частности, справедливо для генерации всех слов в фиксированном алфавите, а также для генерации всех элементов симметрической группы. На основе такого поиска в [8] построена аксиоматика парадигмы блок управляемых отношений (БУО), являющейся нетривиальным обобщением парадигмы блок управляемых подстановок (БУП) [3]. Основная конструкция, проработанная в [8-10], имеет следующий вид.
Пусть Ь сЕ+, /г(а) - частота появления буквы а е Е в словах языка Ь , ей : Е ^ Е11 (Е = {0,1}) - инъективное отображение, расширенное на множество Е+ равенством ей(а1 ■ ■■ап) = ей(ах)...ей(ап), а /1 >|"^| Е|] (11 е К). Зафиксируем 12 е N (12 > /1) и отношение Дс Е1' х Е^2, такое, что: 1) существует такое к е N , что | Д(ей(а)) | = к • /г (а) для всех а е Е ; 2)
Д(ей (а1)) п Д(ей (а2)) = 0 для всех а1,а2 еЕ (а1 ^а2); 3) емкостная сложность представления Д(ей(а)) (ае Е) в неявном виде равна о( | Д(ей(а)) | ); 4) существует алгоритм А, который при фиксированной, начинающейся с нуля, нумерации элементов каждого множества Д(ей(а)) (а е Е) с временной и емко-
стной сложностью O(l2): а) порождает нулевой элемент множества A(cd(ст)); б)
по У (mod | A(cd(ст)) | )-у элементу (j е Z +) множества A(cd (ст)) порождает
(j + 1)(mod | A(cd(ст)) | ) -й элемент множества A(cd(ст)). Рассмотрим следующий алгоритм C зашифрования сообщения p = ст1 ...стп е L (А(ст, j) (ст е Е, j е Z +) - j(mod | A(cd(ст)) | )-й элемент множества A(cd(ст)), порождаемый алгоритмом
А, а CNT - одномерный массив длины 2ll, предназначенный для подсчета числа вхождений каждой буквы ст еЕ в p).
Шаг 1. i := 1, result := Л, CNT := (-1,... ,-1).
2l1 раз
Шаг 2. CNT(cd(стi)) := CNT(cd(ст,)) +1, bi := А(стг, CNT(cd(ст,))).
Шаг 3. result := result || bi, i := i +1.
Шаг 4. Если i < n, то переход к шагу 2, иначе конец.
Ясно, что частота появления каждого элемента множества U A(cdng(ст)) в
стеЕ
шифртекстах равна к —, а временная и емкостная сложность алгоритма C равна, соответственно, T = O((Tj + T2) • п) и V = O(V1 + V2) (T1 и V1- временная и емкостная сложность вычисления значения отображения cd, а T2 и V2 - временная и емкостная сложность алгоритма А). Если T2 = O( flog | Е |]),
V2 = O(| Е | •[log | Е |]), l= O(flog | Е |]) (i = 1,2), то временная и емкостная
сложность алгоритма C равна, соответственно, T = O( flog | Е |"|- n) и V = O( | Е | •flog | Е |]) , т. е. является асимптотически оптимальной.
заданное неявно
Блок ’1 бинарное
настроики отношение Д
заданные неявно бинарные отношения, у каждого из которых вторые проекции попарно не персекаются
Лі Л2 . . . д« . . . дп
исходный текст
алгоритм зашифрования с помощью бинарного отношения Д., основанный навв1боре элемента из второй проекции
шифртекст
Рис. 1. Общая схема построения шифра на основе БУО Определим БУО как семейство Дь к Дп таких (бинарных) отношений, что Д г- (/ = 1, к, п) удовлетворяет приведенной выше аксиоматике. Парадигма БУО приводит к схеме построения шифров, изображенной на рис.1 (любая схема построения шифров на основе БУП - это такой специальный случай предложенной схемы, что Дг- - функциональное отношение для всех I = 1, к, п). Таким образом, создана основа для систематического построения нестационарных вычисительно стойких шифров. Действительно, свойство «быть нестационарным шифром» можно обеспечить как за счет изменения параметров, определяющих отношения, так и за счет действий автоморфизмов конечных векторных пространств, переводящих БУО в изоморфный ему БУО. Свойство «быть вычислительно стойким шифром»
можно обеспечить как за счет экспоненциального роста числа ключей, так и за счет управления размером окна шифрования. Представление в неявном виде отношений, принадлежащего БУО, выделяет в качестве основной операции поиск с возвращением, эффективность которого и определяет скорость шифрования. Линейная емкостная и временная сложность генерации объекта делает перспективными аппаратно/программные методы реализации БУО связками «CPU-RAM»
(рис. 2). Применение последних существенно снижает возможности взлома, повышает скорость по сравнению с Рис. 2. Связка «микропроцессор - RAM» чисто программными реализациями и дает возможность обеспечить работоспособное состояние шифра за счет стандартных решений технической диагностики дискретных устройств.
2. Шифры на основе БУО. В [8] исследованы две модельные комбинаторные детализации БУО. В1-й детализации 2-е проекции элементов - попарно непересе-кающиеся шары SR (v) = {v' е El2 | p(v, v') < R}, что дает возможность представить 2-ю проекцию любого элемента парой (v, R), а также исправлять ошибки стандартными методами теории кодирования [20]. Во 2-й детализации 2-е проек-
а а Г
ции элементов - попарно непересекающиеся грани Х11... х/ единичного куба, что дает возможность представить 2-ю проекцию любого элемента перечислением существенных для грани литералов х^1,..., х^ . В обоих случаях применение автоморфизма векторного пространства осуществимо за линейное время, что обеспечивает эффективную генерацию отношений A i (i = 1,..., n).
В [11-13] исследованы представления 2-х проекций бинарных отношений стандартными структурами данных, причем во всех случаях свойство «быть нестационарным шифром» обеспечивается за счет выбора конкретной структуры данных с помощью псевдослучайного генератора. В [11] построено обобщение
классического рюкзачного шифра на основе применения множества сверхрастущих векторов различной размерности, что дает возможность управлять «размером» окна шифрования (рис.3). Тем самым сложность взлома сводится к сложности варианта проблемы тождества слов. В [12] построен шифр на основе применения семейства булевых функций для организации зависимого от содержимого контейнера занесения информации. В этот шифр встроен механизм, обеспечивающий нечувствительность стегокон-тейнера к статистическому анализу. В [13] построен шифр на основе ограниченно-детерминированных функций (о.-д.-функций), представленных полными бинарными деревьями. Число an биективных о.-д.-функций f : En ^ En удовлетворяет рекуррентному соотношению
Jan = 2 ая-1 , т.е. an = 0.5 • 22 (n е N). Если n = log k, то an = 0.5 • 2k , т.е. выде-
l a1 = 2
лена подгруппа Gk < S (k) экспоненциального порядка. Покажем, что Gk характеризуется в терминах метрических пространств. Определим расстояние между
Рис. 3. Зашифрование с варьируемым размером окна
микропроцессор
X = (хь к, хп) е Е п и у = (уь к, уп) е Е п равенством р(х, у) = £ 21 • | х{ - уг |.
1=1
Для любой биективной о.-д.-функции /: Еп ^ Еп равенство
р(х, у) = р(/(х), /(у)) истинно при любых х, у е Е п . Так как Ок состоит из перестановок, изометрических относительно метрики р , то р характеризует «близость» элементов подгруппы Ок, что существенно при выборе подмножества Н с Ок в процессе построения шифра.
Временная сложность всех рассмотренных выше шифров - линейная функция. При этом, композиции этих шифров обеспечивают свойство «быть нестационарным шифром» и полное разрушение частот в шифртексте, что сводит действия криптоаналитика к перебору экспоненциального числа ключей.
При аппаратно-программной реализации БУО декомпозиция на основе принципов «разделяй и властвуй» и «балансировка» дает возможность эффективно применять структурно-процедурную организацию вычислений [22]. Для «диффузии» информации в шифртексте в [8] предложен метод построения схем треугольного типа (рис. 4) и исследованы две его модельные детализации. В 1-й детализации «диффузия» осуществляется на основе гамильтоновых циклов специально подобранных графов (один из них изображен на рис. 5), а во 2-й детализации - на основе поворотных решеток, что представляет собой вариант нестационарной роторной машины.
ХІV- -Суґ~ ПЛГГ- ■ЩГ "рг ~иуг ~Х35Г~ лЁк
[-(зУ) Нан ДЙН Н21Н ■дан нзом К39)
Х4І- -іщи _У|Ж_ -фу- ХзУ- -Ы4о;
Рис. 5. Граф 041
Применение аппаратных средств выдвигает в число основных задачи обеспечения работоспособности реализаций. Для их решения могут быть применены стандартные модели и методы технической диагностики. Недостаток этого подхода - высокая сложность, так как не учитывается ни структура, ни особенности применяемых схем. В то же время этим задачам не уделяется должное внимание со стороны разработчиков систем защиты информации. В [14] решены задачи обнаружения и локализации неисправностей для двух базовых реализаций БУП: параллельной и последовательной (рис. 6), установлены верхние оценки сложности локализации неисправностей любой аппаратной реализации БУП. Модификация параллельной реализации приводит к представлению БУП в неявном виде, так как параллельная подача управляющих сигналов на перестановки /1,...,/
дает возможность реализовать любую из 21 суперпозиций / .../
(1 < /1 < к < 1Г < I).
а)
А.
*1*2 Х1
и ъ
2-2
и Ь-2-1
1
-[гттт
Р к 2-2
Г—т
6)
О,
*1*2 Х1
Р2 Т“Т
Р2к_2
и Ь-
2-1
Рис. 6. Базовые реализации БУП: а) параллельная; б) последовательная
3. Хаос динамических систем. В [15,16] показано, что между методами криптографии и методами защиты информации на основе хаоса дискретных динамических систем (ДДС) существуют глубокие внутренние связи. Поэтому вычислительная стойкость шифра, основанного на хаосе ДДС, характеризуется в терминах комбинаторных структур, применяемых в классической криптографии. Так как любой устойчивый циклический аттрактор ДДС с эволюцией, определяемой кусочно-линейными отображениями (КЛО), представляется циклической перестановкой / є 51 (к), причем это соответствие - взаимно-однозначное, то рассматриваемые шифры эквивалентны некоторым перестановочным шифрам. В [17] исследована схема построения вычислительно стойких нестационарных шифров на основе циклических аттракторов ДДС с эволюцией, определяемой КЛО (рис. 7). Показано, что скорость таких шифров определяет время, затрачиваемое при лексикографическом порядке на порождение следующей циклической перестановки и на восстановление циклической перестановки по ее номеру.
Рис. 7. Общая схема шифра на основе циклических аттракторов ДДС с эволюцией, определяемой КЛО
В [18] исследована схема распределения между пользователями внутренних алфавитов канала связи на основе циклических аттракторов ДДС с эволюцией, определяемой КЛО (рис. 8). Преобразование множества циклических аттракторов в метрическое пространство дает возможность осуществлять равномерный выбор аттракторов из всего пространства, что обеспечивает высокую степень хаоса в процессе передачи информации по многопользовательскому каналу связи. Высокая степень защищенности передаваемой информации обеспечивается экспоненциальным числом ключей.
В [19] исследована иная схема построения вычислительно стойкого нестационарного шифра (рис. 9). Основная идея состоит в следующем. Осуществим «диффузию» исходного текста, представленного в двоичном виде, по одномерным массивам. Каждый массив интерпретируется как точка x = 0.(Ь1 ... bk) фазового пространства [0,1). Зашифрование осуществляется применением к этому множеству массивов ансамбля отображений «зуб пилы» (т.е. отображений у = {2 • x} (x е И)) и последующего сцепления полученных массивов в один массив. Нестационарность этого шифра обеспечивается вариацией числа массивов и их длин. При переходе к нелинейным ДДС применение хаоса существенно усложняется. В этом случае мощным средством решения задач защиты информации являются методы построения обратных динамических систем, разработанные в [22]. Такой подход применен в [23] для построения вычислительно стойкого шифра, основанного на системе Лоренца.
Рис. 9. Шифр на основе отображения «зуб пилы»
Заключение. В работе с единых позиций рассмотрены решения задач защиты информации, основанные как на традиционных моделях и методах криптографии, так и на хаосе ДДС. Применение парадигмы БУП делает весьма привлекательными аппаратно-программные реализации шифров связками «СРи-ЯЛМ». Поэтому актуальным является исследование сложности генерации элементов основных комбинаторных структур, в том числе и в условиях массового параллелизма. Второе направление связано с исследованием сложности локализации неисправностей стандартных схем, реализующих БУП (сети Клоса, Бенеша, Вакс-мана и т.д.). Особое значение имеет разработка рекурсивных методов построения тестов, согласованных с рекурсивно определяемой структурой схемы. Третье направление связано с исследованием структур инвариантных множеств ДДС с целью оптимизации выбора аттракторов, обеспечивающих заданный уровень защиты информации. Четвертое направление связано с исследованием аналогов модельных ДДС над конечными полями и кольцами, что даст возможность охарактеризовать вычислительную стойкость конструируемых шифров в терминах теории автоматов.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Шнайер Б. Прикладная криптография. М.: ТРИУМФ, 2003. 816 с.
2. Диффи У.,ХеллмэнМ.Э. Защищенность и имитостойкость: Введение в крип-
тографию // ТИИЭР. 1979. №3. С. 71-109.
3. Молдовян А.А. и др. Криптография. Скоростные шифры. СПб.: БХВ-Петербург, 2002. 496 с.
4. Strategic assessment report: Toward a new digital communication technology based on nonlinear dynamics and chaos. US Army Research Office, 1996. 31p.
5. Proceedings of the 7th International Specialist Workshop on Nonlinear Dynamics of Electronic Systems (NDES’99). Dresden: Technical University Dresden, 1999. 294p.
6. Кузнецов С.П. Динамический хаос. М.: Физматлит, 2001. 296с.
7. Андреев Ю.В., Дмитриев А.С., Куминов Д.А. Хаотические процессоры // За-
рубежная радиоэлектроника. 1994. №10. С.50-79.
8. Скобелев В.В. Построение стойких к частотному анализу криптосистем на основе регулярных комбинаторных структур // Искусственный интеллект. 2004. №1. С.78-86.
9. Ковалев А.М., Скобелев В.В. Шифры: от алгебры к быстрому поиску // Материалы Международной конференции «Математические модели физических процессов». Таганрог: ТГПИ, 2004. С.175-177.
10. Скобелев В.Г. Схемы генерации управляемых подстановок на основе поиска // Вестник Томского университета. 2004. №9. 2004. С.77-82.
11. Анисимова Е.Н. Построение стойкой криптосистемы, основанной на задаче о рюкзаке // Искусственный интеллект. 2004. №1. С.4-12.
12. Пономаренко П.В. Метод шифрования сообщений, основанный на стеганографии // Искусственный интеллект. 2004. №1.С.64-69.
13. Тыкулов Е.В. Построение нестационарных поточных криптосистем на основе автоматных моделей // Искусственный интеллект. 2004. №1. С.110-118.
14. Скобелев В.Г., Анисимова Е.Н. Сложность локализации неисправностей блока управляемых перестановок // Искусственный интеллект. 2004. №4. С.794-803.
15. Ковалев А.М., Скобелев В.Г. Нестационарные стойкие шифры: модели и методы // Материалы VI Международной конференции «Информационная безопасность». Таганрог: ТРТУ, 2004. С.250-252.
16. Ковалев А.М., Скобелев В.Г. Два подхода к защите информации: комбинаторика и хаос // Искусственный интеллект. 2004. №3. С.806-815.
17. Скобелев В.Г., Приходько О.В.. Шифры, основанные на циклических аттракторах // Искусственный интеллект. 2004. №3. С.826-835.
18. Скобелев В.Г., Ткаченко А.В. Многопользовательский доступ к каналу связи на основе циклических аттракторов // Искусственный интеллект. 2004. №3. С.836-843.
19. Скобелев В.Г., Сухинин В.А. Шифр на основе отображения “зуб пилы” // Искусственный интеллект. 2004. №4. С.804-810.
20. Блейхут Р. Теория и практика кодов, контролирующих ошибки. М.: Мир, 1986. 576с.
21. Каляев А.В., Левин И.И. Модульно-наращиваемые многопроцессорные системы со структурно-процедурной организацией вычислений. М.: Янус-К, 2003. 380с.
22. Ковалев А.М., Щербак В.Ф. Управляемость, наблюдаемость, идентифицируемость динамических систем. Киев: Наукова думка, 1993. 235с.
23. Savchenko A.Ya., Kovalev A.M., Kozlovskii V.A., Scherbak V.F. Inverse dynamical systems in secure communication and its discrete analogs for information transfer // Proceedings of NDES 2003. Switzerland: Scuol/Schuls. pp. 112-116.