Научная статья на тему 'О кодах аутентификации на основе ортогональных таблиц'

О кодах аутентификации на основе ортогональных таблиц Текст научной статьи по специальности «Математика»

CC BY
241
64
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КОД АУТЕНТИФИКАЦИИ / AUTHENTICATION CODE / ИМИТАЦИЯ СООБЩЕНИЯ / MESSAGE IMITATION / ХЕШ-ФУНКЦИЯ / HASH FUNCTION

Аннотация научной статьи по математике, автор научной работы — Рацеев Сергей Михайлович, Череватенко Ольга Ивановна

Исследуются коды аутентификации, стойкие к имитации и подмене сообщений. Особо выделен случай, когда вероятности имитации и подмены достигают нижних границ. Такие коды аутентификации называются оптимальными. Приводятся конструкции оптимальных кодов аутентификации на основе ортогональных таблиц. Рассматривается случай оптимальных кодов аутентификации с необязательно равномерным распределением на множестве ключей.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

On authentication codes based on orthogonal tables

The authentication codes resistant to messages imitation and substitution are investigated. The case when the probabilities of imitation and substitution reach the lower limits has been highlighted. Such authentication codes are called optimal. We study constructions of optimal authentication codes based on orthogonal tables. The case of optimal authentication codes with optional uniform distribution on the set of keys is studied.

Текст научной работы на тему «О кодах аутентификации на основе ортогональных таблиц»

Вестн. Сам. гос. техн. ун-та. Сер. Физ.-мат. науки. 2014. № 4(37). С.178—186

ISSN: 2310-7081 (online), 1991-8615 (print) doi: http://dx.doi.org/10.14498/vsgtu1309

Информатика

УДК 519.728

0 КОДАХ АУТЕНТИФИКАЦИИ

НА ОСНОВЕ ОРТОГОНАЛЬНЫХ ТАБЛИЦ

С. М. Рацеев1, О. И. Череватенко2

1 Ульяновский государственный университет,

Россия, 432017, Ульяновск, ул. Л. Толстого, 42.

2 Ульяновский государственный педагогический университет имени И. Н. Ульянова,

Россия, 432063, Ульяновск, пл. 100-летия со дня рождения В. И. Ленина, 4.

Аннотация

Исследуются коды аутентификации, стойкие к имитации и подмене сообщений. Особо выделен случай, когда вероятности имитации и подмены достигают нижних границ. Такие коды аутентификации называются оптимальными. Приводятся конструкции оптимальных кодов аутентификации на основе ортогональных таблиц. Рассматривается случай оптимальных кодов аутентификации с необязательно равномерным распределением на множестве ключей.

Ключевые слова: код аутентификации, имитация сообщения, хеш-функция. doi: http://dx.doi.org/10.14498/vsgtu1309

Пусть h : K х X ^ Y — ключевая криптографическая хеш-функция, где X — конечное множество сообщений, K — конечное множество ключей, Y — конечное множество сверток. Напомним, что кодом аутентификации (без сокрытия) называется четверка (X,K,Y,h), для которой Y = IJ keK hk (X).

Заметим, что потенциальный противник может осуществлять не только пассивные действия относительно передаваемых по каналу связи сообщений,

© 2014 Самарский государственный технический университет.

Образец для цитирования

Рацеев С. М., Череватенко О. И. О кодах аутентификации на основе ортогональных таблиц // Вестн. Сам. гос. техн. ун-та. Сер. Физ.-мат. науки, 2014. №4(37). С. 178186. doi: 10.14498/vsgtu1309.

Сведения об авторах

Сергей Михайлович Рацеев (к.ф.-м.н., доц.; [email protected]; автор, ведущий переписку), доцент, каф. информационной безопасности и теории управления.

Ольга Ивановна Череватенко (к.ф.-м.н., доц.; [email protected]), доцент, каф. высшей математики.

178

О кодах аутентификации на основе ортогональных таблиц

которые заключаются, например, в подслушивании или перехвате сообщений, но также и активные атаки, заключающиеся в имитации или подмене сообщения.

Пусть канал связи готов к работе и на приеме установлены действующие ключи k £ K, но в данный момент времени никакого сообщения вида (x,y), где y = hk(x), не передается. Тогда в этом случае противником может быть предпринята попытка имитации сообщения некоторой парой (x, y) £ X х Y.

Рассмотрим вероятностное пространство (Q = K, Fk ,Pk). Зафиксируем (x,y) £ X х Y. Обозначим через K(x,y) следующее множество:

K(x,y) = {k £ K | hk(x) = y}.

Под обозначением K(x, y) будем также понимать событие из алгебры событий Fk, заключающееся в том, что при случайном выборе ключа k £ K будет выполнено равенство hk(x) = y. Тогда событию K(x,y) будут благоприятствовать все элементы из множества K(x,y), и только они. Поэтому

Р (K (x,y))= ^ Pk (k).

kEK(x,y)

Поскольку противник имеет возможность выбора (x, y) £ X х Y, его шансы на успех имитации сообщения выражаются такой величиной:

Pim = max Р (K (x, y)).

(x,y)€X xY

Если же в данный момент передается некоторое сообщение вместе со своей сверткой (x,y) £ X х Y, y = hk(x), то противник может заменить его на (ж, ж) £ X х Y, ж = x. При этом он будет рассчитывать на то, что на действующем ключе k при проверке будет выполнено равенство ж = hk (ж). Чем больше вероятность этого события, тем успешнее будет попытка подмены. Пусть «K(ж, у) | K(x,y)» —событие, заключающееся в попытке подмены сообщения (x, y) сообщением (ж, у). Применяя теорему о произведении вероятностей, получаем

Р(K(ж,у) | K(x,y))

Р(K(x,y) П K(ж, у)) Р (K (x,y))

Тогда вероятность успеха подмены сообщения будет вычисляться по следующей формуле:

Psubst = _ max^, Р(K(ж, ж) I K(x, y)).

x,x£.X, y,yE Y x = x

Теорема 1 [1]. Для любого кода аутентификации (X, K, Y, h) справедливы следующие утверждения:

(i) Pim ^ 1/|Y|, причем нижняя граница достигается тогда и только тогда, когда для любой пары (x, y) £ X х Y выполнено равенство

Р (K (x,y)) = 1/|Y |;

179

Рацеев С. М., Череватенко О. И.

(гг) Psubst ^ 1/|Y|, причем нижняя граница достигается тогда и только тогда, когда для любых x,x € X, x = x, y, y € Y выполнено равенство

P(K(x,y) | K(x,y)) = 1/|Y|;

(ггг) Pim и Psubst одновременно достигают нижней границы тогда и только тогда, когда для любых x,x € X, x = X, y, y € Y выполнено равенство

P(K(x,y) П K(X, X)) = 1/|Y|2.

Напомним несколько определений. Латинским квадратом s-того порядка над множеством Y = {y\,... ,ys} называется таблица размера s х s, заполненная элементами множества Y таким образом, что в каждой строке и в каждом столбце каждый элемент встречается ровно один раз.

Две матрицы A = (aij) и B = (bij) над множеством Y = {y\, ...,ys} называются ортогональными, если все упорядоченные пары (aij,bij) различны.

Ортогональной таблицей OA(s,n) над множеством Y = {y\,... ,ys} называется матрица размера s2 х n над множеством Y с тем условием, что для любых двух столбцов данной матрицы каждая из пар (yi,yj) € Y х Y встречается ровно один раз. Существование ортогональной таблицы OA(s, n) над множеством Y эквивалентно существованию n попарно ортогональных квадратных матриц порядка s над множеством Y [2].

Хорошо известно, что если число s является степенью некоторого простого числа, то в этом случае существуют s — 1 попарно ортогональных латинских квадрата, или, что то же самое, s + 1 ортогональных матриц [3]: для этого достаточно рассмотреть многочлены fa(x,y) = ax + y над полем GF(s) при ненулевых а.

Большой интерес представляют коды аутентификации со свойством

Pim = Psubst = 1/lY |.

Такие коды называются оптимальными. Для описания таких кодов используется понятие ортогональной таблицы.

Теорема 2 [1]. Пусть код аутентификации (X, K,Y,h) является оптимальным. Тогда верны следующие утверждения:

(г) \K| ^ |Y|2;

(гг) \K\ = \Y\2 тогда и только тогда, когда табличное задание хеш-функции h представляет собой ортогональную таблицу OA(\Y\, \Х\) над Y и 'распределение вероятностей Pk является равномерным.

Следствие 1. Пусть для кода аутентификации (X, K, Y, h) выполнено равенство \K \ = \Y \2. Код аутентификации (X, K,Y,h) является оптимальным тогда и только тогда, когда выполнены следующие условия:

(г) табличное задание хеш-функции h представляет собой ортогональную таблицу OA(\Y\, \X\);

180

О кодах аутентификации на основе ортогональных таблиц

(гг) 'распределение вероятностей на множестве K равномерно.

Пусть (X, K, Y, h) — код аутентификации, |X| = n, K = {ki,..., kr}, с распределением вероятностей Рк на множестве ключей K и табличным заданием хеш-функции A размера r х n над множеством Y. При этом строки матрицы A пронумерованы элементами множества K, а столбцы — элементами множества X. Пусть также для некоторого другого ключевого множества K, |K | ^ |K |, с распределением вероятностей Рк найдется такое разбиение на r непустых непересекающиеся подмножеств

K = Ki и K2 U---U Kr, (1)

для которого выполнены равенства

Pk(Ki) = Е Pk(k) = Pk(ki), i = 1,...,r. (2)

fceKi

Построим код аутентификации (X,K ,Y, h). Как видно, для данного кода остается задать хеш-функцию h. Зададим ее таблично следующим образом: j-тую строку матрицы A продублируем |Kj | раз, j = 1,..., r, и из всех полученных (продублированных) строк составим матрицу B. Матрица B и будет табличным заданием хеш-функции h.

Предложение 1. Вероятности успехов имитации и успехов подмены для кодов аутентификации (X, K, Y, h) и (X, K, Y, h) соответственно равны, в частности, из оптимальности одного кода аутентификации следует оптимальность другого.

Доказательство. Следующие равенства

Р(K(x, y)) = Р(K(x, y)), Р(K(ж, Ж) | K(x, y)) = Р(K(x, y) | K(x, y)) выполняются, так как для любых x, ж € X, x = ж, y, y € Y, г = 1,... ,r

ki € K(x,y) & Ki C K(x,y). □

Данное утверждение показывает, что оптимальные коды можно строить не только для случая, когда Рк равномерно. Пусть

K = Ki и K2 и ■ ■ ■ и Ks2 (3)

— разбиение множества K на непустые непересекающиеся подмножества с условием

рк(Ki) = Е рк(k) = , г = 1,...,s‘2. (4)

fceKi

Пусть также для чисел s и n существует ортогональная таблица OA(s, n) над некоторым множеством Y = {yi,...,ys}. Построим из данной таблицы (как

181

Рацеев С. М., Череватенко О. И.

и до предложения 1) матрицу B размера |K| х п, которая будет таблично представлять хеш-функцию h : K х X ^ Y, где X = {xi,..., xn} — некоторое множество открытых текстов.

Предложение 2. Полученный код аутентификации будет являться оптимальным.

Доказательство следует из предложения 1 и следствия 1.

Пример. Пусть X = {xi, x2, x3}, Y = {0,1}, K = [k\,..., k7} и распределение вероятностей на множестве K имеет вид

K ki k2 k3 k4 k5 ke k7

Pk 1/16 3/16 1/20 1/10 1/10 1/4 1/4

В этом случае существует разбиение вида (3) с условием (4):

Ki = {ki,k2}, K2 = {кз, k4, k5}, K3 = {ke}, K4 = {k7},

Pk (Ki) = Pk (K2) = Pk (K3) = Pk (K4) = 1/4.

Составим ортогональную таблицу OA(2, 3) над Y, а на ее основе построим матрицу B, которая будет являться табличным представлением хеш-функции h:

OA(2, 3) :

0 0 0

0 1 1

1 0 1

1 1 0

K\X xi x2 x3

ki 0 0 0

k2 0 0 0

k3 0 1 1

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

k4 0 1 1

k5 0 1 1

ke 1 0 1

k7 1 1 0

Из предложения 2 следует, что полученный код аутентификации является оптимальным, причем

Pim = Psubst = 1/2.

Заметим, что недостатком данной математической модели кода аутентификации является ограничения, накладываемые на мощности множеств X и K. Рассмотрим математическую модель кода аутентификации без этих ограничений, введенную в работе [4], которая является аналогом математической модели шифров замены с ограниченным и неограниченным ключом, введенную А. Ю. Зубовым в работе [5] и позволяющую строить совершенные ими-тостойкие шифры [6,7].

Пусть U, V — соответственно конечные множества возможных кодвели-чин и кодобозначений (как аналогия шифрвеличин и шифробозначений в модели шифра замены с неограниченным ключом [5]). Перед выработкой кода аутентификации сообщение x £ X предварительно представляется в виде

182

О кодах аутентификации на основе ортогональных таблиц

последовательности кодвеличин, которые в процессе выработки кода аутентификации заменяются на кодобозначения. Пусть также имеются конечное множество ключей K и ключевая хеш-функция h : K х U ^ V. Процесс выработки кода аутентификации для сообщения x = ui.. .ui на ключе ki.. .ki заключается в замене каждой кодвеличины щ на кодобозначение Vi в соответствии с ключом ki, i = 1,... ,l. Опорным кодом кода аутентификации назовем совокупность A°H = (U,K, V,h), для которой V = IJkeK hk(U).

I-той степенью опорного кода AH назовем совокупность

AH = (Ul ,Kl ,Vl ,h(l>),

где Ul, Kl, Vl —декартовы степени соответствующих множеств U, K, V; мно-

k e Kl,

k = ki.. .kl e Kl выполнено равенство

hk(u) = hk-i(ui)...hkl(ui) = vi ...vi e V1.

Кодом аутентификации с неограниченным ключом назовем семейство

AH = (AH, l e N; ^^,

где фс — случайный генератор ключевого потока.

Будем говорить, что код аутентификации с неограниченным ключом Ah является оптимальным, если оптимальным является код AH для любого l e N.

Теорема 3 [4]. Пусть для кода аутентификации Ah выполнены следующие условия:

(i) |K| = |V|2;

(ii) для любых ui, u2 e U, vi,v2 e V существует, и притом единственный, ключ k e K, для которого hk(ui) = vi и hk(u2) = v2;

(iii) 'распределение вероятностей на множестве K равномерно.

Тогда код аутентификации Ah является оптимальным.

Следствие 2. Пусть для кода аутентификации Ah выполнено равенство | K| = |V| 2. Тогда AH является оптимальным, тогда и только тогда, когда выполнены следующие условия:

(i) для любых ui , u2 e U, vi , v2 e V существует, и притом единственный, ключ k e K такой, что hk(ui) = vi, hk(u2) = v2;

(ii) распределение вероятностей на множестве K равномерно.

Для кода аутентификации AH, l e N, обозначим через P\m вероятность успеха имитации, а через Pslubst(s) — вероятность успеха подмены в сообщении ровно s пар элементов вида (ui,vi) e U х V, где vi = hkt(ui). Тогда, если код аутентификации AH является оптимальным, то

Pm = 1/|V |l, PSubst (S) = 1/|V |S,

жество h(l> состоит из отображений

hk : Ul ^ V‘.

таких, что для любых u = ui.. .ui e Ul,

183

Рацеев С. М., Череватенко О. И.

то есть pm ^ 0 при l ^ то, PSubst(s) ^ 0 при s ^ то.

Пусть Ан — некоторый код аутентификации с неограниченным ключом с опорным кодом А°н = (U, K, V, h), |U| = n, |V| = s, |K| = г, распределе-

нием вероятностей Рк для случайного генератора фс и табличным заданием хеш-функции A размера г х n над множеством V для кода АН. Пусть также для некоторого ключевого множества K, |K| = Г, г ф г, имеется случайный генератор фс с распределением вероятностей Р^ и условием, что найдется разбиение множества K на г частей вида (1) с условием (2). Построим код аутентификации с неограниченным ключом /Ан со случайным генератором фс и опорным кодом /АН = (U, K, V, h) со значениями U и V, как и в опорном коде АН. Определим хеш-функцию h с помощью табличного представления B размера Г х n над множеством V, в которой строки пронумерованы элементами множества K, а столбцы — элементами множества U следующим образом: j-тую строку матрицы A продублируем |Kj| раз, j = 1,..., г, и из всех полученных (продублированных) строк составим матрицу B, которая и будет представлять хеш-функцию h.

Предложение 3. Вероятности успехов имитации и успехов подмены для кодов аутентификации Ан и Ан соответственно равны, в частности, из оптимальности одного кода аутентификации следует оптимальность другого.

Доказательство следует из предложения 1.

Пусть имеется разбиение (3) с условием (4). Пусть также для чисел s и n существует ортогональная таблица OA(s, n) над множеством V = {vi,..., vs}. Построим из данной таблицы матрицу B размера s2 х n, которая будет таблично представлять хеш-функцию h : K х U ^ V.

Предложение 4. Полученный код аутентификации Ан будет являться оптимальным.

Доказательство следует из предложения 2.

ORCID

Sergey Ratseev: http://orcid.org/0000-0003-4995-9418 Olga Cherevatenko: http://orcid.org/0000-0003-3931-9425

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Черемушкин А. В. Криптографические протоколы. Основные свойства и уязвимости. М.: Академия, 2009. 272 с.

2. Холл М. Комбинаторика. М.: Мир, 1970. 424 с.

3. Bose R. S. On the applications of the properties of Galois fields to the problems of construction of Hyper-Graeco-Latin square// Indian J. Stat, 1938. vol. 4, no. 3. pp. 323338.

4. Рацеев С. М. Об оптимальных кодах аутентификации // Системы и средства информ., 2013. Т. 23, №1 («Проблемы информационной безопасности и надежности систем информатики»). С. 53-57.

5. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры. М.: Гелиос АРВ, 2005. 192 с.

184

О кодах аутентификации на основе ортогональных таблиц

6. Рацеев С. М. О совершенных имитостойких шифрах // ПДМ, 2012. №3. С. 41-46.

7. Рацеев С. М. О совершенных имитостойких шифрах замены с неограниченным ключом// Вестн. СамГУ. Естественнонаучн. сер., 2013. №9/1(110). С. 42-48.

Поступила в редакцию 31/III/2014; в окончательном варианте — 17/VI/2014; принята в печать — 27/VIII/2014.

Vestn. Samar. Gos. Techn. Un-ta. Ser. Fiz.-mat. nauki

[J. Samara State Tech. Univ., Ser. Phys. & Math. Sci.] 2014. Issue 4(37). Pp. 178—186

ISSN: 2310-7081 (online), 1991-8615 (print) doi: http://dx.doi.org/10.14498/vsgtu1309

MSC: 68P25, 94A60

ON AUTHENTICATION CODES BASED ON ORTHOGONAL TABLES

S. M. Ratseev1, O. I. Cherevatenko2

1 Ulyanovsk State University,

42, L. Tolstoy st., Ulyanovsk, 432017, Russian Federation.

2 Ulyanovsk State I. N. Ulyanov Pedagogical University,

4, Ploshchad’ 100-letiya so dnya rozhdeniya V. I. Lenina,

Ulyanovsk, 432063, Russian Federation.

Abstract

The authentication codes resistant to messages imitation and substitution are investigated. The case when the probabilities of imitation and substitution reach the lower limits has been highlighted. Such authentication codes are called optimal. We study constructions of optimal authentication codes based on orthogonal tables. The case of optimal authentication codes with optional uniform distribution on the set of keys is studied.

Keywords: authentication code, message imitation, hash function. doi: http://dx.doi.org/10.14498/vsgtu1309

ORCID

Sergey Ratseev: http://orcid.org/0000-0003-4995-9418 Olga Cherevatenko: http://orcid.org/0000-0003-3931-9425

© 2014 Samara State Technical University.

How to cite Reference

Ratseev S. M., Cherevatenko O. I. On authentication codes based on orthogonal tables, Vestn. Samar. Gos. Tekhn. Univ., Ser. Fiz.-Mat. Nauki [J. Samara State Tech. Univ., Ser. Phys. & Math. Sci.], 2014, no. 4(37), pp. 178-186. doi: 10.14498/vsgtu1309. (In Russian)

Authors Details

Sergey M. Ratseev (Cand. Phys. & Math. Sci.; [email protected]; Corresponding Author), Associate Professor, Dept. of Information Security & Control Theory.

Olga I. Cherevatenko (Cand. Phys. & Math. Sci.; [email protected]), Associate Professor, Dept. of Higher Mathematics.

185

Рацеев С. М., Череватенко О. И.

REFERENCES

1. Cheremushkin A. V. Kriptograficheskie protokoly. Osnovnye svoistva i uiazvimosti [Cryptographic Protocols: Basic Properties and Vulnerability]. Moscow, Akademiia, 2009, 272 pp. (In Russian)

2. Holl M. Combinatorial Theory. New York, John Wiley & Sons, Inc., 1988, xvii+440 pp.. doi:10.1002/9781118032862.

3. Bose R. S. On the applications of the properties of Galois fields to the problems of construction of Hyper-Graeco-Latin square, Indian J. Stat, 1938, vol. 4, no. 3, pp. 323-338.

4. Ratseev S. M. On optimal authentication code, Sistemy i Sredstva Inform., 2013, vol. 23, no. 1, pp. 53-57 (In Russian).

5. Zubov A. Iy. Kriptograficheskie metody zashchity informatsii. Sovershennye shifry [Cryptographic Metho ds of Information Security. Perfect Ciphers]. Moscow, Gelios ARV, 2005, 192 pp. (In Russian)

6. Ratseev S. M. About perfect imitation resistant ciphers, Prikl. Diskr. Mat., 2012, no. 3, pp. 41-46 (In Russian).

7. Ratseev S. M. On perfect imitation resistant ciphers of substitution with unbounded key, Vestnik SamGU. Estestvenno-Nauchnaya Ser., 2013, no. 9/1(110), pp. 42-48 (In Russian).

Received 31/III/2014;

received in revised form 17/VI/2014;

accepted 27/VIII/2014.

186

i Надоели баннеры? Вы всегда можете отключить рекламу.