УДК 519-7
ОБ ОПТИМАЛЬНЫХ КОДАХ АУТЕНТИФИКАЦИИ НА ОСНОВЕ
КОНЕЧНЫХ ПОЛЕЙ
ON AUTHENTICATION CODES BASED ON FINITE FIELDS
1С.М. Рацеев, 2О.И. Череватенко S.M. Ratseev, O.I. Cherevatenko
^Ульяновский государственный университет, 432017, г. Ульяновск, ул. Льва Толстого, 42. Ulyanovsk State University, 432017, Ulyanovsk, Lev Tolstoy 42
E-mail: [email protected]
^Ульяновский государственный педагогический университет имени И.Н.Ульянова, 432063, г. Ульяновск,
пл. 100-летия со дня рождения В.И. Ленина, 4. Ulyanovsk State I.N.Ulyanov Pedagogical University, Ploshchad' 100-letiya so dnya rozhdeniya V.I. Lenina, 4
E-mail: [email protected]
Аннотация
В работе исследуются коды аутентификации, стойкие к имитации и подмене сообщений. Особо выделен случай, когда вероятности имитации и подмены достигают нижних границ. Такие коды аутентификации называются оптимальными. Приводятся конструкции оптимальных кодов аутентификации на основе ортогональных таблиц.
Abstract
In the work authentication codes resistant to imitation and substitution messages are investigated. The case when the probability of imitation and substitution reach the lower limits has been highlighted. Such authentication codes are called optimal. We study constructions of optimal authentication codes based on orthogonal tables.
Ключевые слова: код аутентификации, имитация сообщения, хеш-функция.
Keywords: authentication code, hash function._
Пусть h: K x X ^Y — ключевая криптографическая хеш-функция, где X — конечное множество сообщений, K — конечное множество ключей, Y — множество значений кода аутентичности. Напомним, что кодом аутентификации (без сокрытия) называется четверка (X, K,Y, h), для которой выполнено равенство Y = \Ы1Ик (X).
Заметим, что потенциальный противник может осуществлять не только пассивные действия относительно передаваемых по каналу связи сообщений, которые заключаются, например в подслушивании или перехвате сообщений, но также и активные атаки, заключающиеся в имитации или подмене сообщения.
Пусть канал связи готов к работе и на приеме установлены действующие ключи кeK, но в данный момент времени никакого сообщения вида (x, y), где y = hk (x), не передается. Тогда в этом случае противником может быть предпринята попытка имитации сообщения парой (x', y') e X x Y.
Рассмотрим вероятностное пространство (Q = K,FK,PK). Зафиксируем (x,y) e XxY. Обозначим через K(x, y) следующее множество: K(x, y) = {k e K | hk (x) = y}. Под обозначением K( x, y) будем также понимать событие из алгебры событий F , заключающееся в том, что при случайном выборе ключа к eK будет выполнено равенство hk (x) = y. Тогда событию K(x,y) будут благоприятствовать все элементы из множества K( x, y), и только они. Поэтому
P(K(x, y))= X Pk (к).
keK ( x, y)
Поскольку противник имеет возможность выбора (x,y)eXxY, его шансы на успех имитации сообщения выражаются такой величиной:
Pim = max P(K(x, y)).
(x, y)eX xY
Если же в данный момент передается некоторое сообщение (x,y) eXxY, y = hk(x), то противник может заменить его на (x',y') e X xY, x ' Ф x. При этом он будет рассчитывать на то, что
на действующем ключе к при проверке будет выполнено равенство у' = Ик (х'). Чем больше вероятность этого события, тем успешнее будет попытка подмены. Пусть "К(х',у') | К(х,у)" — событие, заключающееся в попытке подмены сообщения (х, у) сообщением (х', у'). Применяя теорему о произведении вероятностей, получаем
Р(К (х, у) | К (х, у))= Р(К ('¿Ц?"(х •у)) -
Р(К ( x, у))
Тогда вероятность успеха подмены сообщения будет вычисляться по следующей формуле:
Ррот = , тах , Р(К(х',у') | К(х,у)).
х,х , хФх , у,у еУ
Теорема 1 [1]. Для любого кода аутентификации (X,К,У,И), | У |= 5, справедливы следующие утверждения:
(г) р.т > 1/5, причем нижняя граница достигается тогда и только тогда, когда для всех (х,у)еXхУ выполнено равенство Р(К(х,у)) = 1/5.
(и) Ррос1т> 1/5, причем нижняя граница достигается тогда и только тогда, когда для любых х,х'еX, х ф х', у,у'еУ, выполнено равенство Р(К(х',у') | К(х,у)) = 1/5.
("0 Рт и Р Лт одновременно достигают нижней границы тогда и только тогда, когда для любых х,х 'еX, х ф х', у,у' еУ выполнено равенство Р(К(х,у) К(х',у')) = 1/52.
Напомним, что ортогональной таблицей 614(5,п,Х) над множеством У = ^,...,у}
называется матрица порядка Х52 х п над множеством У с тем условием, что для любых двух столбцов данной матрицы каждая из пар (у,,у ) еУ хУ встречается ровно в X строках.
Большой интерес представляют коды аутентификации со свойством Рт = Р^т = 1/| У |.
Такие коды аутентификации называются оптимальными. Для описания оптимальных кодов аутентификации используется понятие ортогональной таблицы [2].
Теорема 2 [1]. Пусть код аутентификации (X, К,У, И) является оптимальным, | X |= п,
| У |= 5. Тогда верны следующие утверждения:
(0 | К |> п(5 -1) + 1;
(и) | К |= п(5 -1) + 1 тогда и только тогда, когда табличное задание хеш-функции И
представляет собой ортогональную таблицу ОА(5, п, X) при X = п(-—1 +1 и распределение
5
вероятностей Р является равномерным.
Следствие 1. Пусть для некоторого кода аутентификации (X,К,У,И), |X |= п, | У |= 5, выполнено равенство | К |= п(5 -1)+1. Код аутентификации (X, К,У, И) является оптимальным тогда и только тогда, когда выполнены следующие условия:
(г) табличное задание хеш-функции И представляет собой ортогональную таблицу
оАу5,п, п(5 -1) + 1
(и) распределение вероятностей на множестве К равномерно. Обобщим алгоритм создания ортогональной таблицы из работы [1].
Пусть Р = ОЕ(ц) — конечное поле из ц элементов, ц = рп — степень простого числа р, ¥й — векторное пространство размерности й, й > 2, над полем Р. Пусть М — подмножество в , состоящее из попарно линейно независимых векторов над Р. Например, множество М можно построить следующим образом.
Рассмотрим следующие подмножества в ¥й:
М1 ={(0,...,0,1,х,.+„..., х, ) | хи е Р, у = г +1,..., й}, .
й
Тогда в качестве М возьмем такое множество: М = \М. Заметим, что
г=1
й-1_ -1
|М |=1 + ц +... + =
ц -1
Пусть А — матрица порядка \ Е1\ х \ М \ над Е. Пронумеруем строки матрицы А элементами множества Е1, а столбцы — элементами множества М. В матрице А на пересечении строки с номером х = (х1,...,хй) е V1 и столбца с номером у = (у,...,у) еМ поставим элемент
1
(х у) = е р.
1=1
Предложение 1. Полученная матрица А является ортогональной таблицей
ОА(д,\ М д1 ~2) над Е.
Доказательство. Так как любая пара различных элементов множества М является линейно независимой, то для любых а, Ь е Е, у, г е М, у Фг, найдутся ровно д1 2 элементов х
т—1
пространства Е , для которых система
(х, у) = а, (х, г) = Ь
разрешима относительно х е Е1. Это означает, что в любых двух столбцах матрицы А каждая из пар (а, Ь) е Е х Е встречается ровно X = да~2 раз.
Осталось заметить, что число строк матрицы А равно д1 = Хд2. Предложение доказано. Предложение 2. Пусть табличное задание хеш-функции к: К х X ^У представляет собой построенную выше матрицу А и распределение вероятностей на множестве ключей К равномерно. Тогда код аутентификации (X, К,У, к) является оптимальным. Доказательство следует из предложения 1 и следствия 1.
Заметим, что недостатком данной математической модели кода аутентификации являются ограничения, накладываемые на мощности множеств X и К. Рассмотрим математическую модель кода аутентификации без этих ограничений, введенную в работе [3], которая является аналогом математической модели шифров замены с ограниченным и неограниченным ключом, введенную А.Ю. Зубовым в работе [4] и позволяющая строить совершенные имитостойкие шифры [5].
Пусть и, V — соответственно конечные множества возможных кодвеличин и кодобозначений (как аналогия шифрвеличинам и шифробозначениям в модели шифра замены с неограниченным ключом [4]). Перед выработкой кода аутентификации сообщение х е X предварительно представляется в виде последовательности кодвеличин, которые в процессе выработки кода аутентичности заменяются на кодобозначения. Пусть также имеются конечное множество ключей К и ключевая хеш-функция к: КхиПроцесс выработки кода аутентификации для сообщения х = щ ...и1 на ключе к ...к1 заключается в замене каждой
кодвеличины щ на кодобозначение V в соответствии с ключом к, 1 = 1,.,'. Опорным кодом кода аутентификации назовем совокупность А = (и, КV,к), для которой выполнено равенство
V = ЦеЛ (и)
' -й степенью опорного кода А назовем совокупность
А = (и1, К1 У1, к(' у),
где и',К',У' — декартовы степени соответствующих множеств и, К, V; множество к) состоит из отображений
кк :и' ^ V', к е К', таких, что для любых и = щ ...и, еи', к = к .к еК' выполнено равенство
К(и) = \ (и1).кк,(и') = V .V' е ^■ Кодом аутентификации с неограниченным ключом назовем семейство
Ан = (А,' еМ; ^), где — случайный генератор ключевого потока.
Для кода аутентификации А, 'еМ, обозначим через р'т вероятность успеха имитации, а через Р'1„сЬ (() — вероятность успеха подмены в сообщении длины ' ровно / элементов множества и элементами множества V.
Будем говорить, что код аутентификации с неограниченным ключом Ая является
оптимальным, если оптимальным является код А для любого ' е М:
Р' =—Pl (t) = —
m | |' ' podm У | ^ ■
Заметим, что Pjm ^ 0 при l , Р^ (t) ^ 0 при t .
Так как случайный генератор вырабатывает ключевые элементы k(, i = 1,...,', ключа k ■■■kl независимо, то
Pl = (р Y р' (t) = (р Y
im V im ' ? podm \ ' \ podm f ?
где рт и Ppodm — соответственно вероятности успехов имитации и подмены опорного кода А.
Исходя из этого, верна следующая теорема.
Теорема 3. Код аутентификации Ая является оптимальным тогда и только тогда, когда опорный код А является оптимальным.
Следствие 2. Пусть для кода аутентификации Ая, \U|= n, \V|= s, выполнено равенство | K \= n(s -1) +1. Код аутентификации Ан является оптимальным тогда и только тогда, когда выполнены следующие условия:
(i) табличное задание хеш-функции h представляет собой ортогональную таблицу
Оа[ s, n,n(S -1) +1
(ii) распределение вероятностей на множестве K равномерно. Доказательство следует из теоремы 3 и следствия 1.
Теорема 3 дает удобный способ построения оптимальных кодов аутентификации Ая. Примером тому служит следующий пример.
Предложение 3. Пусть табличное задание хеш-функции h: K xU ^ V опорного кода А представляет собой построенную выше матрицу A и распределение вероятностей на множестве ключей K равномерно. Тогда код аутентификации А является оптимальным. Доказательство следует из предложения 2 и теоремы 3.
Список литературы References
1. Черемушкин А.В. 2009. Криптографические протоколы. Основные свойства и уязвимости. М.: Издательский центр "Академия": 272 .
Cheremushkin A.V. 2009. Cryptographic Protocols: Basic Properties and Vulnerability. Moscow, Akademiia:
272.
2. Рацеев С.М., Череватенко О.И. 2014. О кодах аутентификации на основе ортогональных таблиц // Вестн. Сам. гос. техн. ун-та. Сер. Физ.-мат. науки. Т. 37, № 4: 178-186.
Ratseev S.M., Cherevatenko O.I. 2014. On authentication codes based on orthogonal tables. Journal of Samara State Technical University, Ser. Physical and Mathematical Sciences, Vol. 37, № 4: 178-186.
3. Рацеев С.М. 2013. Об оптимальных кодах аутентификации. Системы и средства информатики. Т. 23, № 1: 53-57.
Ratseev S. M. 2013. On optimal authentication codes, Systems and Means of Informatics, vol. 23, № 1.:
53-57.
4. Зубов А.Ю. 2005. Криптографические методы защиты информации. Совершенные шифры. М.: Гелиос АРВ: 192.
Zubov A. Iy. 2005. Cryptographic Methods of Information Security. Perfect Ciphers. Moscow, Gelios ARV:192.
5. Рацеев С.М. 2015. Некоторые обобщения теории Шеннона о совершенных шифрах. Вестн. ЮУрГУ. Сер. Матем. моделирование и программирование. Т. 8. № 1: 111-127.
Ratseev S.M. 2015. Some generalizations of Shannon's theory of perfect ciphers. Vestnik YuUrGU. Ser. Mat. Model. Progr.. Vol. 8. № 1: 111-127.