Представление криптосистем многоосновной алгебраической системой Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2008 Математические методы криптографии № 2(2)

УДК 681.3

ПРЕДСТАВЛЕНИЕ КРИПТОСИСТЕМ МНОГООСНОВНОЙ АЛГЕБРАИЧЕСКОЙ СИСТЕМОЙ

Е.А. Иващенко, В.Г. Скобелев

Донецкий национальный университет,

Институт прикладной математики и механики НАН Украины, г. Донецк

E-mail: [email protected], [email protected]

На основе многоосновной алгебраической системы построена формальная модель криптосистемы. В рамках этой модели выделены основные типы криптосистем.

Ключевые слова: модель криптосистемы, многоосновная алгебраическая система.

Современные задачи криптографии обуславливают необходимость разработки математического аппарата для моделирования систем защиты информации, их сравнительной характеристики, анализа их вычислительной стойкости и имитостойкости. Системы защиты информации [1 - 3] характеризуются многообразием и сложностью процессов их взаимодействия с внешней средой, а также сложностью внешней среды (содержащей интеллектуальные компоненты). При этом математическая модель криптосистемы играет фундаментальную роль. Известны подходы к построению таких моделей с позиций теории систем [4] и современной алгебры [5].

Первый подход [1] базируется на системе вход-выходного типа

S = ( M, C , К , K2 , E , D ) ,

где M, C, К и К2 - множество соответственно открытых текстов, шифртекстов, ключей шифрования и ключей расшифровки, а E : M х К ^ C и D : C х К2 ^ M- алгоритмы шифрования и расшифровки. Достоинство этой модели - представление согласованности процессов шифрования и расшифровки биекцией k : К ^ К2, возможность выделения блочных и поточных криптосистем, а также ряда портов, через которые осуществляются пассивные атаки криптоаналитика.

Второй подход [6] основан на алгебраической системе

S = ( T , F, domain , range , Fe , Fc ) ,

где T и F - множество имен соответственно типов и функций, domain : F ^ T и range : F ^ T - отображения, Fe ( Fe с F ) - множество легко вычислимых функций, а Fc = { feF | domain (f ) = X } ( X - пустое слово) - множество констант. Достоинство этой модели - возможность построения на множестве термов системы конгруэнций, предназначенной для формирования определяющих соотношений для конкретной криптосистемы, и выделения ряда портов, через которые осуществляются пассивные атаки криптоаналитика.

Однако обе модели имеют существенные недостатки. Во-первых, они могут представлять системы с предвосхищением и системы, содержащие невычислимые функции. Во-вторых, необходима их дополнительная проработка для выделения основных классов криптосистем [1] и представления основных типов атак криптоаналитика. В-третьих, они не дают возможность эффективно представлять параметрические криптосистемы [7, 8], нестационарные криптосистемы и криптосистемы с вариацией окна шифрования. Естественный путь устранения этих недостатков - это выбор в качестве базовой модели варианта системы алгоритмических алгебр [9]. Для этого необходимо построить соответствующую многоосновную алгебраическую систему. Решение этой задачи - основная цель настоящей работы.

Структура работы следующая: в п.1 построена и охарактеризована базовая многоосновная алгебраическая система, в п.2 в рамках этой модели выделены основные типы криптосистем. Заключение содержит ряд выводов.

1. Базовая алгебраическая система

Рассмотрим многоосновную алгебраическую систему

S = ( T , F ),

где семейство T основных множеств и сигнатура F имеют вид

T = { Tij = {>| r e N} | i = 1, ..., 8 ;j = 1, 2 },

F = U и F u К u Ф .

Предполагается, что множества Ту попарно не пересекаются, причем Тй ( г = 1 , ..., 8 ) так линейно упорядочены, что

г (1) < / (2) < < , (я) <

'г 2 < 'г 2 < ■ ” < 'г 2 < ■ ”

Множества Тц , . , Т81 и Т12 , ■ , Т82 назовем множествами имен и множествами размеров соответственно открытых текстов, ключей шифрования, параметров шифрования, состояний шифрования, шифртекстов, ключей расшифровки, параметров расшифровки и состояний расшифровки.

Охарактеризуем теперь сигнатуру Р, состоящую из имен легко вычислимых функций.

I. Множество и состоит из имен монотонно возрастающих функций и имеет вид

и = {мг(1): N ^ N , иг(2): N ^ N и(3): N ^ N | г = 1, ... , 8 } , где для всех значений г е { 1, ..., 8 } при любых фиксированных значениях у , г е N ( г < у ) функция V, (х) = иг(2) ( х , у , г) - кусочно-постоянная, а функция ж, ( х ) = иг(3) ( х , у , г ) - периодическая на множестве

{ 1 , ..., и(1) (у ) }, и каждая из функций V , ж, отображает это множество на множество { 1 , ..., и(1) ( г ) } .

Множество и предназначено для построения на каждом множестве ТлТй ( г = 1, ..., 8 ) системы определяющих соотношений вида

Í4h)4r) =t(h и‘>(r)}4) > если h > «í(1) (r).

I t(h)t(r) _ t(hi) t(r-1 )t(h2)t(r2)

L lH li2 ~ lH li2 lH li2 ,

(1)

где

8 ) к множеству

r = rj+ r2 ( ri , r2 ) e N , h1= u(2) ( h , r , r1 ) ,

h2 = u(3) ( h , r , r2 ) .

Первое из соотношений (1) осуществляет переход от множества Ti1Ti2 ( i = 1

Ti,i2 = { 4h)4r) I r e N , h e { 1 ,..., Mf)(r)}} с TnTa .

Положим

Ti,12 ( n ) = {e Ti,12 I h e { 1 , ., Ui(1) (n)}} ( n e N ) .

Тогда

ГО

Ti,12 = U Ti, 12 ( n ) ,

n= 1

где Ti12 ( n ) ( n e N ) - попарно непересекающиеся конечные множества. Значение второго из соотношений (1) состоит в следующем. Систему соотношений (1) назовем полугрупповой, если каждый элемент t-jA)t-2) e Ti12 ( i = 1 , ., 8 ) единственным образом представляется в виде

Âh)Jr ) = (h ) (1)

'il li2 ‘il ‘i2 •

t ( К )t (1) •‘il ‘i2 •

Пусть X = { x1 , ..., xm } ( m e N ) , = r ( r e N ) и u¡1)(r) = mr • Определим биекцию ф : T¡,12 ^ X+ равен-

ствами

ф (4°4) ) = Xj ... xJr ( h = 1 , ..., u(1)(r) ) ( r e N ) ,

где

h = jr + (jr-1 - 1) m + (jr-2 - 1) m2 + ... + (ji - 1) mr 1

В этом случае соотношения (1) согласуются с лексикографическим порядком на каждом множестве T;i2 ( r ) ( r e N ) . Отсюда вытекает

Теорема 1. Полугрупповая система определяющих соотношений (1) непротиворечива.

Проиллюстрируем достоинства полугрупповой системы определяющих соотношений (1) на следующем простом примере.

Пример 1. 1. Пусть

X = {000 , 001 , 010 , 011 , 100 , 101 , 110 , 111} .

Первое соотношение (1) дает возможность представить сообщение tj^t® в виде

t(20),(1) = (12) (1) = (4) .(1) = 011 '11 '12 '11 '12 '11 '12 011

2. Пусть

X = Z4 = {000 , 001 , 010 , 011} .

Второе соотношение (1) дает возможность представить сообщение 4')4) в виде

421)42) = 44? = №№№ = 001000 .

Всюду в дальнейшем считаем, что система определяющих соотношений (1) - полугрупповая и истинны

равенства

II. Множество F имеет вид

F = Fi и F2 ,

где F1 и F2 - равномощные непересекающиеся множества имен функций, удовлетворяющие следующим трем условиям.

Условие 1. Для каждого fj е F j (j = 1, 2) существуют такие числа nf , n(2^ е N , что

ГО

Dom f = ( U (T4 j -3,12 ( n ) х T4 j -2,12 ( n ) ) ) x T f.,

n=1

где

0 * T

Val fj =U T9-4 j,i2 ( n ),

n=1

„(i)

4 /,1U n f.

Условие 2. Для всех /у еFу (у = 1, 2 ) и (¿4 у -3 , ¡4 у -2 ) е Т4 у -3,12 ( п ) х Т4 у -2,12 ( п ) ( п е N ),

I ] ( ¡4 у -3 , ¡4у -2 , ¿4 у -1 , ¡4у ) е Т9-4у,12( п )

при всех (¿4у-1 , ¿4у ) е Т/ .

Условие 3. Для всех /у еF у (у = 1, 2 ) функция

£ /у А у - 2 Л у-1 А у ( ¿4 у -3 ) = I ] (¿4 у -3 , ¡4 у -2 , ¡4 у -1 , ¿4 у,12 )

является биекцией множества Т4 у -3,12 ( п ) ( п е N ) на множество Г9 -4 у,12 ( п ) при всех фиксированных зна-

чениях (¿4у -2 , ¡4у-1 , ¡4у ) е Г4у -2,12 ( п ) X Г/ .

Назовем F1 множеством схем шифрования, а F2 - множеством схем расшифровки.

III. Множество

состоит из имен таких биекций

К = { Ki , К2 }

Kj : F j ^ F3 -j (j = 1, 2 ) ,

что для всех f j eF j (j = 1, 2 ) истинны равенства

IV. Множество

состоит из имен таких биекций

I Pri T/jl = I Pri T K, (fj )| , I Pr2 T /j| = 1 Pr2 T кj (fj )| ,

I T /j I = I T к j (fj )l ,

ф = U U { a f, n, ß /,, Y /, I n є N }

J=1 /yEFy

а /у ,я : Г4у -2,12 ( п ) ^ Г(4у+2)(шоё 8),12 ( п ) ,

Р / : ^ Г/ ^ ^ Гк, (/, ) ,

У / : Г / ^ ^г2 Г к. (/.) ,

что для всех /у е Fу (у = 1, 2 ) и п е N равенства

К (1 ) (1 (14у -3 , ¡4у -2 , ¡4у-1 , ¡4у ) , а /у ( ¡4 у -2 ) , Р / ( ¿4у -1 ) , У / ( ¿4у )) = ¡4у -3

истинны при всех (¿4у -3 , ¿4у -2 , ¿4у -1 , ¿4у ) е Г4у -3,12( п ) х Г4у -2,12( п ) х Г/,.

го

Отметим, что равенства (2) обеспечивают взаимно-однозначное соответствие между результатами процессов шифрования и расшифровки.

Охарактеризуем теперь построенную алгебраическую систему Б .

Для всех / є Гу (у = 1, 2) и п є N определим отношения эквивалентности

Є1 (/у , п ) Є Т4у -2,12 ( п ) Х Т4у -2,12 ( п ) ,

є2 (/у ) Є ргі Т7, Х ргі Т7, ,

є 3 (/ у ) Є рГ2 Т7, Х рГ2 Т fj

следующим образом:

( ¿4 у -2 , ¿’4 у -2 ) Є Єі (/у , П ) О

О (У(?4 у -3 , ¿4у -1 , ¿4 у ) є Т4у -3,12 ( п ) Х Т f. ) (/ у (^4у -3 , ¿4у -2 , ¿4у -1 , ¿4у ) =

=/у (¿4у -3 , Ґ4у -2 , ¿4у -1 , ¿4у )); (3)

( Ї4 у -1 , ¿4 у -1 ) Є Є2 (/у ) О О (Уп Є N ) (У (¿4у -3 , ¿4у -2 , ¿4у ) Є Т4у -3,12 ( п ) Х Т4у -3,12 ( п ) Х рГ2 Тfj ) (/у (¿4у -3 , ¿4у -2 , ¿4у -1 , ¿4у ) =

=/у (14у -3 , ¿4у -2 , ¿’4у -1 , ¿4у )); (4)

( ¿4у , ¿’4у ) є є2 (/у ) О

О (Уп є N ) (У(?4 у -3 , ¿4у -2 , ¿4у -1 ) є Т4у -3,12 ( п ) Х Т4у -2,12 ( п ) Х рг1 Т fj ) (/ у (^4у -3 , ¡4у -2 , t4у -1 , ¡4у ) =

=/ у (14у -3 , ¿4у -2 , ¿4у -1 , ¿’4у )). (5)

Из (2) - (5) вытекает

Теорема 2. Для всех/ є Гу (у = 1, 2) :

1) если ( ¿4у-2 , ¿’4у-2 ) Є Є1 (/у , п ) ( п є N ), то ( а/у>я ( ¿4у-2 ) , а/у>я ( ¿’4у -2 ) є Є1 (к,- (/) , п ) ;

2) если ( ¿4у -1 , ¿’4у -1 ) Є Є2 (/у ), то ( в fj ( ¿4у -1 ) , р fj ( ¿’4у -1 ) Є Є2 (ку (/) , п ) ;

3) если ( ¿4у , ¿’4у ) є є3 (/у X то ( У fj ( ¿4у -1 ) , 1 fj ( ¿’4у -1 ) є є3 (ку (/у ) , п ) .

Отметим, что рассмотренные выше понятия дают возможность выделить следующие классы систем Б :

1) класс слабо Г-минимальных систем Б, характеризующийся тем, что для любых двух элементов

/у, /у єГу (у = 1, 2 ) при любом (¿4 у -1 , ¿4 у ) є Т^ п Т^ существует такое число п є N и такой элемент

¿4 у -2 є Т4 у -2,12 ( п ) , что

^/і А у - 2 Л у-1А у ^ ^//А у - 2 А у-1А у ;

2) класс сильно Г-минимальных систем Б, характеризующийся тем, что для любых двух элементов /у , /у є Гу (у = 1, 2 )

^/у А у - 2 А у-1А у ^ ^/у'А у - 2 А у-1А у

при любом (¿4у -1 , ¿4у ) є Тfj п Тр для всех ¿4у -2 є Т4у -212 ( п ) ( п є N );

3) класс К-минимальных систем Б, характеризующихся тем, что

К1-1 = К2 ;

4) класс К-минимальных систем Б, характеризующийся тем, что для всех / є Г у (у = 1, 2) каждое отношение є1 (/у , п ) (п є N ) - отношение равенства на множестве Т4у -2,12 (п) .

2. Классы криптосистем

Для каждого/ є Гу (у = 1, 2) и (¿4у -1 , ¿4у ) є Т^ определим отображение

ГО ГО

А /у А у-1А у : и (Т4 у -3,12 ( п ) Х Т4 у -2,12 ( п ) ) ^ и Т9-4 у ,12 ( п )(у’ = 1 2 ) п=1 п=1

равенством А /у ,^4у-1 ^у ( ¿4у -3 , ¿4у -2 ) =.// ( ¿4у -3 , ¿4у -2 , ¿4у -1 , ¿4у ) .

Отображение А ^ ^ ^ (/1 є Г1 , ( ¿3 , ¿4 ) є Т^ ) назовем алгоритмом (/1 , ¿3 , ¿4 )-шифрования, а отображение А ^ ^ (/2 є Г2 , ( ) є Т2 ) - алгоритмом (/2 , )-расшифровки.

Отметим, что такое определение алгоритмов шифрования и расшифровки дает возможность в терминах многоосновной алгебраической системы Б выделить следующие три уровня понятия «ключ»:

1) элемент множества Г4 у-2,12 интерпретируется как сеансовый или, иными словами, кратковременный ключ;

2) элемент множества рг2 Г/у интерпретируется как ключ средней длительности, т.е. как ключ, применяемый для определенного числа сеансов;

3) элемент множестварг1 Г/, интерпретируется как долговременный ключ.

Определим стационарную (/1 , ¿3 , ¿4 )-криптосистему (/1 е F1 , ( ¿3 , ¿4 ) е Г^ ) ) как упорядоченную пару

С А\ ,*3 ,*4 = ( А Аг >*3 ¿4 , А К1 (А\ ),Р / Оз ).У/\ (г4 ) ) , а стационарную (/2 , ¡7 , )-криптосистему (/2 е F2 , ( ) е Г^ ) - как упорядоченную пару

С А2 ,*! ,*8 = ( А к2 (Аг ),Р/2 (*1 ),У/2 (*8 ) , А /2 ¿7 ¿8 ) .

Отметим, что определение криптосистемы как упорядоченной пары дает возможность выделить (если такая необходимость возникает), что является приоритетным: процесс шифрования или процесс расшифровки.

Покажем, что в терминах многоосновной алгебраической системы Б могут быть представлены основные классы криптосистем.

Стационарную /, ¿4у -1 , ¿4у )-криптосистему С/у ,*4у ^у (/ е F]• (у = 1, 2) , (¿4у -1 , ¿4у ) е Г/у ) назовем:

1) симметричной криптосистемой, если каждое а п (п е N - имя такой биекции, что а -1 п - имя легко-

-О ’ ^ У ’

вычислимой биекции;

2) асимметричной, если каждое а ^, п (п е N) - имя такой биекции, что в настоящее время не известен быстрый алгоритм вычисления биекции а -1 п, либо доказано, что такой алгоритм не существует;

3) криптосистемой с автоключом, если ¡4у-2 е Г4у -312 - фиктивная переменная;

4) криптосистемой с внешним сеансовым ключом, если ¡4у___________2 е Г4у -312 - существенная переменная;

5) параметрической криптосистемой, если ¡4 у-1 е рг1 Г/у - существенный параметр для системы

С /у ,*4; 1,^4; , т.е. существуют два таких элемента ¿4у-1 , ¡’4у-1 е _рг1 Г/ , что

С / * * ^ С / .1 * ;

/у ,*4у—1,*4у /у ’Г4у —1 ,*4у

6) блочной криптосистемой, если

А /у Ау—1,*4у ( ¡4 у -3 Ау -3 , ¡4 у -2 ¡’4 у -2 ) = А / ¿у1Лу ( ¡4 у -3 , ¡4 у -2 ) А / ,*4 у —1 ( Ау -3 , ¡’4 у -2 )

ГО

дЛЯ всех ( ¿4у -3 , ¿4у -2 ) , ( ¡’4у -3 , ¡’4у -2 ) е и (Г4у -3,12 ( п ) х Г4у -2,12 ( п ) ) ;

п=1

7) схемой с предысторией, если существует хотя бы одна такая пара значений

ГО

( ¡4 у -3 , ¡4 у -2 ) , ( ¡’4 у -3 , ¡’4 у -2 ) е У (Г4у -3,12 ( п ) х Г4у -2,12 ( п )) ,

п-1

что А /у ,*4у—1,*4у ( ¡4у -3 Ау -3 , ¡4у -2 Ау -2 ) * А /у,*4у—1,*4у ( ¡4у -3 , ¡4у -2 ) А /у ,*4у—1 ,*4у ( ¡’4у -3 , ¡’4у -2 ) .

Выделим следующий подкласс класса схем с предысторией, являющийся предметом исследования классической криптографии. Стационарную / , ¿4 у -1 , ¡4 у )-криптосистему с предысторией С /у ,*4у ^у (/у е Fу

(у = 1, 2) , ( ¡4у -1 , ¡4у ) е Г/,) назовем стационарной поточной криптосистемой, если существует такая легко

вычислимая функция

ГО

^ /у ,*4у —1,*4у : Г/у х и (Г4у -3,12 ( п ) х Г4у -2,12 ( п ) ) ^ Г/у , (6)

п-1

ГО

что для всех ( ¡4у -3 , ¡4у -2 ) , ( ¡’4у -3 , ¡’4у -2 ) е У (Т4у -3,12 ( п ) х Т4у -2,12 ( п ) )

п-1

А /у,*4у —1,*4у ( ¡4у -3 ¡’4у -3 , ¡4у -2 ¡’4у -2 ) = А /у,*4у —1,*4у ( ¡4у -3 , ¡4у -2 ) А /у,*4у—^у ( ¡’4у -3 , ¡’4у -2 ), (7)

где ¡4у = § /у ,*4у —1,*4у ( ¡4у , ( ¡4у -3 , ¡4у -2 ) ) . (8)

Из (1) вытекает следующая

Теорема 3. Для любой стационарной поточной криптосистемы C f ^. 1>Î4. ( f е F j ( j = 1, 2) , ( t4 j -1 , t4 j )

e Tf, ) отображение A f, ^, 1 ^, - ограниченно-детерминированная функция.

Следующий пример показывает, что современные криптосистемы естественно укладываются в рамки построенной выше классификации криптосистем.

Пример 2. 1. Шифр Вернама представляет собой стационарную непараметрическую блочную криптосистему с внешним сеансовым ключом.

2. Шифры Виженера представляют собой стационарные параметрические криптосистемы с предысторией и автоключом, причем роль параметра играет пароль.

3. Шифры DES, AES и ГОСТ 28147-89 представляют собой стационарные блочные параметрические криптосистемы с внешним сеансовым ключом. Для DES и ГОСТ 28147-89 параметром является набор S-блоков, а для AES - набор коэффициентов многочленов.

4. Шифр RSA представляет собой стационарную блочную параметрическую криптосистему с автоключом, причем роль параметра играет набор натуральных чисел.

5. Шифр RC4 представляет собой стационарную поточную параметрическую криптосистему с внешним сеансовым ключом, причем параметр - перестановка чисел 0, 1, ..., 255.

6. Нелинейный БПИ-автомат над конечным кольцом [7, 8] представляет собой стационарную поточную параметрическую криптосистему с автоключом, причем параметр - это набор коэффициентов многочленов.

7. Любой квантовый шифр представляет собой криптосистему с предысторией.

Заключение

В работе построена многоосновная алгебраическая система S, предназначенная для исследования современных криптосистем с единых позиций. Дальнейшее, более глубокое исследование абстрактных свойств алгебраической системы S - одно из возможных направлений дальнейших исследований. Второе направление исследований связано с детальной проработкой введенного в работе понятия стационарная (f , t4 j -1 , t4 j )-криптосистема ( f e Fj ( j = 1, 2) , ( t4 j -1 , t4 j ) e T^ ). Третье направление исследований связано с построением и анализом в рамках алгебраической системы S формальной модели нестационарной криптосистемы. Четвертое направление исследований связано с разработкой в рамках алгебраической системы S формальных моделей пассивных и активных атак криптоаналитика, достаточных для теоретического анализа с единых позиций их эффективности и сложности. Пятое направление исследований связано с разработкой структуры данных, достаточной для эффективного компьютерного моделирования атак криптоаналитика на криптосистемы, определяемые в терминах алгебраической системы S.

ЛИТЕРАТУРА

1. Алферов А.П. и др. Основы криптографии. М.: Гелиос АРВ, 2002. 480 с.

2. Молдовян А.А. и др. Криптография. Скоростные шифры. СПб.: БХВ-Петербург, 2002. 496 с.

3. Диффи У., Хеллмен М.Е. Защищенность и имитостойкость: Введение в криптографию // ТИИЭР. 1979. Т. 67. № 3. С. 71 - 109.

4. Месарович М., Такахара Я. Общая теория систем: математические основы. М.: Мир, 1978. 311 с.

5. Мальцев А.И. Алгебраические системы. М.: Наука, 1970. 329 с.

6. Lynch N. I/O automaton models and proofs for shared-key communication systems // Proceedings of the 12th IEEE Computer Security Foundations Workshop (CSFW’99), Mordana, Italy, June, 28 - 30, 1999. - 16 p.

7. Скобелев В.Г. Нелинейные автоматы над конечным кольцом // Кибернетика и системный анализ. 2006. № 6. С. 29 -42.

8. Скобелев В.Г. О некоторых свойствах нелинейных БПИ-автоматов над кольцом lpk // Прикладная радиоэлектроника. 2007. Т. 6. № 2. С. 288 - 299.

9. Глушков В.М., Цейтлин Г.Е., Ющенко Е.Л. Алгебра, языки, программирование. Киев: Наукова думка, 1978. 320 с.