Схема специального широковещательного шифрования, основанная на некоторых конкатенированных кодах, и исследование границы ее применения Текст научной статьи по специальности «Компьютерные и информационные науки»

Kosolapov Yury Vladimirovich

Federal State-Owned Educational Establishment of Higher Vocational Education «Southern Federal University».

E-mail: [email protected].

8a, Milchakova street, Rostov-on-Don, 344090, Russia.

Phone: +79061833020.

Chekunov Evgeny Sergeevich

E-mail: [email protected].

Phone: +79054782547.

УДК 004.056.5

В. В. Мкртичян

СХЕМА СПЕЦИАЛЬНОГО ШИРОКОВЕЩАТЕЛЬНОГО ШИФРОВАНИЯ, ОСНОВАННАЯ НА НЕКОТОРЫХ КОНКАТЕНИРОВАННЫХ КОДАХ,

И ИССЛЕДОВАНИЕ ГРАНИЦЫ ЕЕ ПРИМЕНЕНИЯ

Исследуется проблема защиты легально тиражируемой цифровой продукции от несанкционированного распространения. Строится математическая модель схемы специального широковещательного шифрования на основе обобщенных кодов Рида-Соломона конкатенированных с кодами Адамара и декодера Гурусвами-Судана. Разрабатывается программная реализация математической модели. Проводится исследование возможности ее применения в случае превышения допустимого числа членов коалиции злоумышленников.

Коды Рида-Соломона, конкатенированные коды; списочное декодирование; широковещательное шифрование; поиск злоумышленников.

V.V. Mkrtichan BROADCAST ENCRYPTION SCHEME BASED ON SOME CONCATENATED CODES, RESEARCH OF BOUND OF THE SCHEME APPLYING

The problem of protecting legally replicated digital products from unauthorized distribu-tion.AConstruct a mathematical model of Skye special broadcast encryption scheme based on generalized Reed-Solomon concatenated with Hadamard codes and deco-dera Guruswami-Sudan.ADeveloped software implementation of mathematical models. AWe study its possible use in case of exceeding the allowable number of members of the coalition attackers.

Reed-Solomon codes; concatenated codes; list decoding; broadcast encryption; tracing traitors.

1. Введение и постановка задачи. В работе [1] рассмотрен перспективный способ защиты легально тиражируемой цифровой продукции от несанкционированного распространения, называемый схемой специального широковещательного шифрования (ССШШ). Известно, что злоумышленники, являющиеся легальными пользователями ССШШ, могут объединяться в коалиции и пытаться атаковать ССШШ. В [1] доказано, что для эффективного поиска всей коалиции или, по крайней мере, ее непустого подмножества можно применять обобщенный код Рида-Соломона (ОРС-код), специальным образом конкатенированный с кодом Адамара (КОРСА-код). При этом в качестве алгоритма декодирования предлагается использовать эффективный алгоритм списочного декодирования Гурусвами-Судана [2]. В [3] представлена математическая модель и теоретическое исследование эффективной ССШШ для ОРС-кода, в [4], [5] проведено экспериментальное исследование этой схемы. В [6] построена компьютерная модель списочного декодера Гурусвами-Судана для КОРСА-кода, выступающая наиболее сложным элементом

ССШШ. Целью настоящей работы является построение и исследование математической модели эффективной ССШШ на основе КОРСА-кода и списочного декодера Гурусвами-Судана для КОРСА-кода.

2. КОРСА-коды и списочное декодирование. Пусть р - простое, т - натуральное, Рр - поле Галуа, грт - фиксированное упорядочение элементов

линейного векторного пространства Р™. Код Адамара над полем Рр с инициализирующим параметром т задается кодирующим отображением

пт

фт■ ; Фт(«) = (< а,г1>,...,< а,грш >),

где < а, її > - скалярное произведение векторов а и гі Далее этот код будем обозначать как (рт, т)-А-код.

Для удобного в дальнейшем представления КОРСА-кодов введем ряд обозначений. Пусть р - простое, т - натуральное,

г Є {рт; 2рт; 3рт;...; р2т }, к Є {т; 2т; 3т;...; гт/рт }, (1)

ц.т - биективное отображение, сопоставляющее элементу пространства Р™ эле-

мент поля Ррт в соответствии с полиномиальным представлением поля

к0 = к/т, г0 = г/рт. (2)

Рассмотрим биективное отображение:

Хт ,к■ РРк -1М;

Хт ,к (а) = (а(0)) + (а(1))х+... +^т (а(к°_^)хко-1,

где а = (а0,..., а^_1), а(1) = (аіт,..., а(і+1)т_1), і Є {0;...; к0 - 1}. Очевидно, что отображение х_\ определяется формулой

Хт.к■ Ррш-1[Х] ; ХтїіРЮ) = (Ро), Мт (?1 X . . ., М-1 {Рк0 _0 ),

где р(х) = р0 + р1 х+... +рко-1 хко-1. Рассмотрим отображение:

‘Фт- Ррт ^ Ер ; 'Фт(^') Фт (Ит (^)),

где фт - кодирующее отображение (рт, т)-А-кода. Пусть а1,..., арт - фиксиро-

ванное упорядочение элементов Ррт. Рассмотрим также (г0, к0)-ОРС-код.

КОРСА-код над полем Рр, получаемый специальным конкатенированием (г0, к0)-ОРС-кода над полем Ррт и (рт, ш)-А-кода над полем Рр, имеет инициализирующие параметры т, к, г (см. (1), (2)) и задается кодирующим отображением:

Ут ,к ,г ■ Рр ^ Рр ; Ут ,к,г (Ц) ('Фт(Ра (^1)'),..., Фт(Ра (^Го)')'),

где Ра (х) = Хт,к (а) - представление сообщения а Є Рр в виде полинома степени не выше к0 _ 1 над полем Ррт. При этом "внешним" кодом является (г0, к0)-ОРС-код, а "внутренним" кодом - (рт, ш)-А-код.

Отметим, что в приведенном выше определении КОРСА-кода содержится и метод кодирования.

В работе [2] показана теоретическая возможность списочного декодирования КОРСА-кодов, при этом схематично описан метод декодирования, однако точного алгоритма не приводится. В [6] представлен формализованный алгоритм декодирования, на который далее будем ссылаться как на алгоритм 1. Входными параметрами алгоритма являются параметры КОРСА-кода С: параметры полей р и т,

длина г и размерность к кода, упорядочения арт и г1,...,грт элементов

Ррт и Р™ соответственно. При декодировании на вход алгоритма подается слово У = (у!>...> У г) Е Рр . Декодер производит поиск всех кодовых слов в пределах сферы, центром которой является у, радиусом - величина

Е = (1 — 1/р)(г — ^гр^к/т—Т) . (3)

Выходом алгоритма является список всех информационных векторов Ь(Е Рр ), удовлетворяющих условию: й(ут:к:Г(Ь),у) < Е, где ут,к,г - кодирующее отображение кода С, й(х,у) - метрика Хемминга в Р£. Оценка эффективности работы алгоритма 1 списочного декодирования КОРСА-кодов составляет О (г2).

3. Математическая модель ССШШ, основанной на КОРСА-кодах и списочном декодере для них. Для получения доступа к распространяемым данным пользователь ССШШ получает, в частности, так называемый вектор-номер, являющийся словом помехоустойчивого кода С (см. [1], [3], [5]). Злоумышленники могут объединить свои вектор-номера в коалицию и строить потомков коалиции. Множество всевозможных коалиций кода С мощности не более с(>2) обозначается через ша^(С); множество потомков коалиции Соета^(С) обозначается через desc(C0) и определяется правилом

desc(C0) = {ж = (^1,..., шг)еРц : У1е{1; ...; г} еС01},

где С0^ - множество координат всех вектор-номеров С0; множество пиратских вектор-номеров коалиции С0 определяется правилом desc(C0)\C0. Пиратские вектор-номера можно применять для нелегального доступа к тиражируемым данным.

Для защиты от коалиционных атак в качестве С используется КОРСА-код такой длины г и размерности к (далее (г, к)-КОРСА-код), над полем ^ такой, что выполняется условие:

с < В0(С) = \дг/(ц(к/т — 1)(щ — 1) + г)\,

где q = рт, р - простое, т - натуральное, а1,...,арт и г1,...,грт - фиксированные упорядочения элементов Рр-т и Р™ соответственно. При обнаружении пиратского вектор-номера w применяется следующий порядок действий котроллера: подать р, т, г, к, а1,..., арт, г1,..., грт и вектор w на вход алгоритма 1, и на выходе получить список Ь(Я; С) легальных вектор-номеров из коалиции.

4. Исследование границы применения ССШШ. Выше отмечено, что условие с < В0 (С) является необходимым условием корректной работы эффективной ССШШ. Аналогично [3] введем классификацию различных случаев его нарушения. Пусть N - множество натуральных чисел, Ы1 = N{1}, С - (г, ^)-КОРСА-код, Е -определено в (3). Множество номеров координат совпадения векторов

х = (х1,..., хг), у = (у1,..., уг) из Рц обозначим 1(х, у). Метрика Хемминга й(х,у) в Рц и множество 1(х,у) связаны следующим равенством: й(х,у) = г — 1(х,у). Рассмотрим множества ^(С), называемые областями компрометации кода C. Пусть

а1 (С) = {сеЫ^. ЗреС ЗС0е^а^(С\{^}) Зwеdesc(C0)\C0: й(р, w)<E}.

Область ^ (С) кода С - это множество мощностей таких коалиций, у которых имеется возможность компрометации невиновного пользователя в результате применения алгоритма 1 к потомку коалиции. Пусть

&2(С) = {сеN1. ЗуеС ЗС^еша^(C\{v})Зwеdesc(C0)\С0УиеС0: й(у,№)<й(ж,и)}.

Область П2 (С) кода С есть множество мощностей таких коалиций, при которых для некоторого кодового слова V существует коалиция С0, у которой хотя бы один из потомков расположен не далее от V, чем от любого элемента С0. Пусть

П3(С) = {сеЫ^. ЗреС ЗС0е^а^(С\{^}): vеdesc(C0)\C0}.

Область П3 (С) кода С - это множество мощностей таких коалиций, при которых для некоторого кодового слова V существует коалиция, у которой V является потомком. Очевидно, П^(С) - целочисленный отрезок вида П^(С) = {Н^(С);...; |С|}, где (С) - величина, называемая рубежом области компрометации П^С). Непосредственно из определений вытекает справедливость вложения П3 (С) £ п2 (С).

Для рубежа К3(С) удалось получить верхнюю оценку.

Теорема. Пусть С - (г, к) -КОРСА-код, над полем ^, где q = рт, р - простое, т - натуральное. Рассмотрим величину

Гз (С) = \г/(рт (к/т — 1))!.

Тогда для рубежа К3(С) выполняется оценка Я3(С) < П3 (С).

Замечание. Полученные теоретические результаты можно использовать при выборе значений параметров г, к и т применяемого КОРСА-кода при проектировании ССШШ. Именно вычисленное значение границы К3 (С) позволяет оценить качественную характеристику возможной компрометации невиновных пользователей в случае атаки коалиции мощности с для конкретных параметров г, к и т.

Для доказательства теоремы рассмотрим две вспомогательные леммы. В леммах 1, 2 и доказательстве теоремы в качестве кодирующего отображения (г, &)-КОРСА-кода С будем использовать следующее отображение:

Ут,к0,г: ; Ук0,г (Р(Х)) = (r(P(^1)), ■■■, r(P(^r0))),

где - кодирующее отображение (рт, ш)-А-кода, а1,..., арт - фиксированные упорядочения элементов поля Ррт, а к0 и г0 определены в (2).

Лемма 1. Пусть С - (г, ^)-КОРСА-код, над полем Рч. Пусть ру (х)еР^^°1—1[х\, у = ¥т,к0,г (Рр (х)) - сообщение и соответствующее ему кодовое слово и пусть

Ри М = Ру (х)- (х-а11)- ...-(х-а1з), и = ук0,г (ри (x)),

где 5 = к0 - 1, {11,..., 15}с{1;..., г0}. Тогда выполняются соотношения р Ф и, II(V, и) |> д5, 1(р, и)з{1'11;...; 1^ },

где ^ =Шг 1) + 1; ■■■; яъ}]'е{1; ■■■;5}.

Доказательство. Заметим, что V Ф и, так как ру(х) —ри (х) = (х—

- )'"(х — а1$) - ненулевой информационный полином. Так как элементы

ру (а; ) и ри (аI ) поля Ррт совпадают для любого ]' е{1;...; 5}, то совпадают и векторы у( ру(аI.)) и цу(ри(а; )), а значит выполняется вложение 1(у, и) з {1'11;...; I? }

и неравенство II (V, u)|>qS.

Лемма 2. Пусть С - (г, ^)-КОРСА-код, над полем ^, где q = рт. Тогда

VсеЫ1 УреС З^еша^С^у}) Зwеdesc(C0): \1(р, ш)|>

> шт{рт (к/т — 1)с, г}.

Доказательство. Чтобы для ceN1 и v = (v1, ..., vr)eC построить коалицию C = {и1; ...; ис} 6 coalc(C\{v}) и элемент wedesc(C0)\C0, рассмотрим два случая.

1. Сначала рассмотрим случай с < г/(рт (к/т - 1)). Пусть

Рщ (х) = Pv(х) - (х - aS(i-1)+1)-"(х - aSi),

где pv (х) такой, что ут,к rpv(х) = v, 8 = к0 -1. По лемме 1 для каждого ie{1;...; с} выполняется вложение /(ут,коr(pUt(х)), v)3 {-1)+1; ...;/|;}, где для любого je{ 1;...; 8}

/5(i-1 )+1 = { q(8(i-1) + j-1) +1;■■■; q(8(i- i) +j)}.

Отсюда вытекает, что для каждого ie{1; ...; с} выполняется вложение КГт ,к0,г (РЩ (х)), v) ^{q8(i-1) + 1; ■■■; q8},

а значит и неравенство \1(Ут,к0,г (Рщ (х)), v)| > q8, причем щ = (Ym,к0,г (Pui(x)) * v. Таким образом, построена коалиция С = {и1;...; ис} 6 coalc(C\{v}), для которой

ui = (v1, ■■■ , vq8, u1,q8+1, —u1,r),

< Ui {Ui,1, ■■■, Ui,qS(i_ 1), VqS(i_l)+l, ... , Vqgi, Ui qSi+l, ..., Ui,r'),

<uc = (uc,1, ■■■ , uc,qc(i_ 1), Vc,qc(i_ 1)+1, ■■■ , vqSc, uc,qSc+1, ■■■, uc,r).

Определим

W = (yi, ..., VqSc, WqSc+1, ... Wr),

где для каждого je{q8c + 1;...; c} координата w задается как произвольный элемент из {u1j,...,ucj}. Ясно, что wedesc(C0)\C0. По построению выполняется неравенство \I(v, w)\>q8:, а так как q8c = min{q8c, r}, то выполняется неравенство \I(v, w)\>min{pm (к/т - 1)с, r}.

2. Рассмотрим случай c>r/(pm (к/т - 1)). Способом, описанным выше, построим первые \т/(рт(к/т- 1))J элементов коалиции С0. Если |г/(рт(к/т --1')')*г/(рт(к/т-1)), то элемент коалиции с номером г/(рт(к/т-1)) определим как Y т ,к0,г (Ри[г/(рт (к/т-1))] MX

где pU[r/(рт (к/т_1))] = pv(x) - (х - aqS(\r/(рт (к/т-1))1—1)+1) ' — ' (х - ar).

Оставшиеся с - \r/(pm (к/т - 1))! элементов коалиции выберем как произвольные кодовые слова, не равные v. Таким образом, построена коалициия С0 = {и1; ...; ис] 6 coalc(C\{v}). В качестве wedesc(C0)\C0 выберем (v1, ..., vr). Так как r = min{q8c,r}, то выполняется неравенство \I(v,w)\>min{pm(к-

1)с, г}.

Доказательство теоремы. Для проверки неравенства Д3(С) < Д3 (С) достаточно показать, что для произвольного с>Д3 (С) выполняется условие с еП3 (С). По определению

П3(С) = {сеЫ^. ЗреС ЗС0ета^(С\{^}): vеdesc(C0)\C0}.

По лемме 2 при с > г/(рт (к/т — 1))

VveC 3C0ecoalc(C\{v}) 3wedesc(C0): \I(v, w)| = r, т. е. w = v.

Значит из неравенства с > r/(рт (к/т - 1)) следует условие с еП3 (C). А так как R3 (C) = \r/(prn (к/т- 1))! > r/(рт(к/т - 1)), то и из неравенства с > R3(C) следует условие с еП3(C). Таким образом, R3(C) < R3(C).

4. Программная реализация и экспериментальное исследование ССШШ. Наличие математической модели сделало возможным построение программной реализации ССШШ. Реализация выполнена на языке C++ в среде Microsoft Visual Studio 2008 с использованием библиотеки теоретико-числовых методов WinNTL-5_4_1 [7] и может работать под управлением операционной системы Windows 2000/XP/Vista/7. Программная реализация математической модели ССШШ исследована экспериментально. Результаты экспериментов подтвердили корректность математической модели ССШШ.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Silverberg A., Staddon J., Walker J. Application of list decoding to tracing traitors // In Adv. in Cryptology, ASIACRYPT 2001 (LNCS 2248), 2001. - P. 175-192.

2. Guruswami V. List Decoding of Error-Correcting Codes. - New York: Springer-Verlag Inc. (LNCS 3282). 2005. - 350 p.

3. Деундяк В.М., Мкртичян В.В. Математическая модель эффективной схемы специального широковещательного шифрования и исследование границ ее применения // Известия вузов. Северо-Кавказский регион. Естественные науки. - 2009.- № 1. - С. 5-8.

4. Мкртичян В.В. Экспериментальное исследование надежности схемы специального широковещательного шифрования в случае превышения допустимого числа злоумышленников // 'Материалы X Международной научно-практической конференции "Информационная безопасность". Ч.2. - Таганрог, 2008. - С. 149-152.

5. Мкртичян В.В. Об экспериментальном исследовании надежности и применении схемы специального широковещательного шифрования // Известия ЮФУ. Технические науки.

- 2008. - № 8 (85). - С. 203-210.

6. Мкртичян В.В. Компьютерные модели списочных декодеров Гурусвами-Судана для обобщенных кодов Рида-Соломона и конкатенированных кодов // Вестник ДГТУ.

- 2007. - Т. 7, № 4. - С. 384-394.

7. Библиотека классов WinNTL-5_4_1. [Электронный ресурс]: 2008. - Режим доступа: shoup.net/ntl.

Мкртичян Вячеслав Виталиевич

ФГНУ НИИ "Спецвузавтоматика", г. Ростов-на-Дону.

E-mail: [email protected].

344007, г. Ростов-на-Дону, пер. Газетный, 51.

Тел: +79044417791.

Mkrtichan Vyacheslav Vitalievich

Federal State Scientific Establishment "Scientific Research Institute "Specialized Security Computing Devices and Automation", Rostov-on-Don.

E-mail: [email protected].

51, Gazetniy line, Rostov-on-Don, 344007, Russia.

Phone: +79044417791.