Научная статья на тему 'Симметричные кодовые криптосистемы на основе кодов в Ф-метриках'

Симметричные кодовые криптосистемы на основе кодов в Ф-метриках Текст научной статьи по специальности «Математика»

CC BY
392
91
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
симметричные кодовые криптосистемы / ф-метрика / ф-metric / ssymmetric cryptosysmets based on error correction codes

Аннотация научной статьи по математике, автор научной работы —

В работе с целью повышения стойкости симметричных кодовых криптосистем рассматриваются помехоустойчивые коды в Ф -метриках и строятся кодовые криптосистемы на кодах в ранговой Ф -метрике и Ф -метрике Вандермонда. Для криптосистемы в ранговой метрике получена оценка стойкости криатосистемы путем вычисления мощности множества искуственных ошибок, добавляемых при шифровании; для криптосистемы в метрике Вандермонда адаптирован алгоритм декодирования.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

In this paper the error correction codes in Ф -metric are considered for strengthing symmetric cryptosystems. Two cryptosystems on rank Ф -metric and Vandermonde Ф -metric are designed. The strength of the cryptosysem on rank codes is estimated and decoder for Vandermonde metric is adapted for corresponding symmetric cryptosystem.

Текст научной работы на тему «Симметричные кодовые криптосистемы на основе кодов в Ф-метриках»

Раздел IV. Методы и средства криптографии и стеганографии

УДК 004.056.5

Ю.В. Косолапов, Е.С. Чекунов

СИММЕТРИЧНЫЕ КОДОВЫЕ КРИПТОСИСТЕМЫ НА ОСНОВЕ КОДОВ

В Ф -МЕТРИКАХ

В работе с целью повышения стойкости симметричных кодовых криптосистем рассматриваются помехоустойчивые коды в Ф -метриках и строятся кодовые криптосистемы на кодах в ранговой Ф -метрике и Ф -метрике Вандермонда. Для криптосистемы в ранговой метрике получена оценка стойкости криатосистемы путем вычисления мощности множества искуственных ошибок, добавляемых при шифровании; для криптосистемы в метрике Вандермонда адаптирован алгоритм декодирования.

Симметричные кодовые криптосистемы; Ф -метрика.

Y.V. Kosolapov, E.S. Chekunov

SYMMETRIC CRYPTOSYSTEMS BASED ON ERROR CORRECTION CODES

IN Ф -METRICS

In this paper the error correction codes in Ф -metric are considered for strengthing symmetric cryptosystems. Two cryptosystems on rank Ф -metric and Vandermonde Ф -metric are designed. The strength of the cryptosysem on rank codes is estimated and decoder for Vandermonde metric is adapted for corresponding symmetric cryptosystem.

Ssymmetric cryptosysmets based on error correction codes; Ф -metric.

Введение. В последние годы активно ведутся исследования в области построения методов защиты информации с использованием теории помехоустойчивого кодирования [1, 2]. Помехоустойчивые коды потенциально позволяют строить комплексные системы защиты, решающие одновременно как задачу защиты от помех, так и задачу защиты от несанкционированного воздействия. Эта особенность помехоустойчивых кодов может найти свое применение, например, в задаче защиты информации в каналах цифровой связи от технической утечки -несанкционированного чтения передаваемых данных. Помехоустойчивые коды уже успешно применяются в методах кодового зашумления для защиты от частичной утечки информации [3]. При этом в методах кодового зашумления возможна реализация одновременной защиты от помех и несанкционированного прослушивания [4]. Для защиты от полной утечки необходимо применение криптографических методов защиты. С точки зрения применения помехоустойчивых кодов, интерес представляют симметричные криптосистемы, так как могут быть построены на основе существующих в средствах связи помехоустойчивых кодеках [5, 4]. Отметим, что асимметричные кодовые криптосистемы не могут быть построены на основе существующих кодеков, так как в этом случае часть секретного ключа - кодек - является общеизвестной, что существенно снижает

стойкость криптосистем. Одной из наиболее стойких симметричных кодовых криптосистем является криптосистема Стройка-Тилбурга [6]. Однако она обладает принципиальными ограничениями - необходимо иметь достаточно большой объем памяти для хранения секретного ключа, а также нет возможности одновременно бороться с ошибками в канале. Первое ограничение связно с тем, что необходимо хранить предопределенную таблицу векторов ошибок большого веса и соответствующих синдромов (порядка (2п - к) | Б |п-к элементов поля Б), а второе ограничение связано с введением нелинейной функции в процедуру шифрования. Поэтому актуальной является задача построения таких симметричных кодовых криптосистем, у которых отсутствуют перечисленные выше ограничения.

Целью настоящей работы является построение симметричных кодовых криптосистем, позволяющих при стандартных параметрах помехоустойчивых кодеков противодействовать атаке методом статистического криптоанализа. Для этого ставится задача изучения помехоустойчивых кодов в специальной метрике -Ф -метрике - и построение кодовых криптосистем на соответсвующих кодах. В частности, в работе строятся две симметричные кодовые криптосистемы на основе кодов в ранговой Ф -метрике и Ф -метрике Вандермонда. Для криптосистемы в ранговой метрике получена оценка стойкости при стандартных параметрах кодеков, а для криптосистемы в Ф -метрике Вандермонда адаптирован декодер из [2].

Криптосистема Стройка-Тилбурга. Опишем оригинальную криптосистему Стройка-Тилбурга. Пусть Окхп - порождающая матрица (п,к) -кода С над полем

Б и кодовым расстоянием Хэмминга d = n - к + 1; Бс - быстрый алгоритм декодирования кода С, исправляющий до 1 = |_^ -1) / 2] ошибок; Бп/С = {51; 5 2;.. ;5 2п-к } - разбиение пространства Бп на классы эквивалентности по коду С; Бкхк - случайная невырожденная матрица; Рпхп - случайная перестановочная матрица; Н(п -к)хп - такая, что

^кхк * Окхп * Рпхп * Н(п-к)хп Окх(п-к) >

где Окх(п-к) - нулевая матрица; Ъ - подмножество Бп такое, что

е Ъ,г Ф щ :г еНг,г еН8 | Нг ФН8;

Т = (г * НТ_к)хп, г) | г е Ъ - синдромная таблица. Пусть I - нелинейная функция с областью определения © Бп и областью значений Бк и пусть Гя = Г(-,г). Будем предполагать, что: е Бп Эgг:Fk ^ | ^г(у), г) = у. Тогда

gz = Г-1. Пусть К = (8кхк, Окхп, Рпхп, Т, ^ (х)) - секретный ключ криптосистемы. Сообщение т(е Бп) зашифровывается по правилу:

с = :£г (т) * 8кхк * Окхп * Рпхп + г,

где г выбирается случайно из Ъ. Для расшифрования принятого сообщения с по синдрому с * НТ_к)хп из Т находится г , выполняется процедура декодирования

а = Бс ((с - г) * Рпх1!!) и вычисляется т = Г- (а * 8-1к ) .

Введение синдромной таблицы Т и нелинейной функции :£г(х) [6]

существенно осложняет криптоанализ этой криптосистемы при длине кода более 250 бит. Оригинальная схема Стройка-Тилбурга не использует корректирующей способности линейного кода и может применяться для борьбы с

несанкционированным съемом информации, в частности с полной технической утечкой, только в помехозащищенных каналах связи. В [5] построена схема реализации кодовой криптосистемы Стройка-Тилбурга на ранговых кодах и кодах Гоппы. В настоящей работе повышается стойкость криптосистем за счет перехода от хэмминговой метрики к Ф -метрике.

Ф -метрика. Ф -метрики - это метрики, основанные на проективных множествах. При определении Ф -метрики будем следовать работе [2]. Рассмотрим n -мерное векторное пространство Fqn над полем Галуа Fq , q = pr , r - простое. Пусть Ф ={F1,F2,...,Fn} - любой набор подмножеств Fi сFq1

таких, что линейная оболочка Л^^_ Fi j = ф . Под Ф -нормой (Ф -весом) w ф любого вектора x є Fqn будем понимать мощность наименьшего набора подмножеств (Fb i є I} из семейства Ф такого, что x єл|^ ^Fi j. Ф -норма является метрикой в пространстве ф. Ф -расстоянием между точками x и y назовем норму их разности d ф (x,y) = w ф (x - y). Ф -метрика является обобщением метрики Хэмминга и ранговой метрики [2].

Рассмотрим произвольный код C с ф . Под Ф -расстоянием кода C будем

понимать минимальное из Ф -расстояний различных ненулевых кодовых слов, т.е. d Ф (C) = min(d Ф (x,y)jx,y є C, x ф y}. В качестве элементов F; семейства Ф могут выступать векторы. В таком случае Ф -метрика называется проективной Ф -метрикой и ее элементы обозначаются через fi, Ф = {f1,f2,...,fN}. Для любого линейного (n, k) -кода C в проективной Ф -метрике выполняется граница Синглтона, т.е. dф (C) < n -k + 1 [2]. Код, достигающий этой границы, будем называть кодом с максимальным Ф -расстоянием. Отметим, что в общем случае алгоритм быстрого декодирования линейных кодов в произвольной Ф -метрике неизвестен. Как правило, декодеры строятся для конкретных Ф -метрик. Так, в [2] построен код с максимальным Ф -расстоянием для специальной Ф -метрики, ассоциированной с матрицей Вандермонда.

Благодаря своим характеристикам, Ф -метрика нашла свое применение в кодовых криптосистемах. Так, в [2] предложена модификация асимметричной криптосистемы Нидеррайтера на основе кодов в Ф -метрике Вандермонда. Использование Ф -метрики позволяет усилить стойкость криптосистемы к атаке на ключ. В настоящей работе предлагается использование Ф -метрики для усиления стойкости симметричной кодовой криптосистемы к атаке на шифрограмму.

Симметричная кодовая криптосистема в Ф -метрике. Построим симметричную кодовую криптосистему для Ф -метрики в общем случае. Пусть Gkxn - порождающая матрица кода C над полем F в Ф -метрике с Ф -расстоянием do ; D ф - быстрый алгоритм декодирования кода C в Ф -метрике, исправляющий до t = L(dф -1) / 2J Ф -ошибок; Skxk - случайная невырожденная матрица; Pnxn -случайная перестановочная матрица. Секретным ключом криптосистемы является четверка

K = (Skxk, Gkxn, Pnxn, Do ).

Пусть m - информационное сообщение, z - вектор Ф -ошибок, выбранный случайным образом так, чтобы выполнялось условие:

wo(z) = t1 <t,wH(z) > n(j Fj -1)/j Fj, (1)

где wh (z) - вес Хэмминга вектора ошибок z над полем F. Тогда шифрование сообщения m выполняется по правилу:

c = m • Skxk • Gkxn • Pnxn + z .

Пусть криптограмма c передается по зашумленному каналу, в котором к криптограмме добавляется случайный вектор e Ф -веса не более t - tx. Тогда для расшифрования принятого сообщения c' = c + e первоначально выполняется декодирование вектора c'• Pnxn : y' = Do (c'• P,-xn), а затем вычисляется

информационное сообщение m = y'- S-1k. Алгоритм расшифрования работает корректно. Действительно, принятый вектор c' имеет вид

"o' = m • Skxk • Gkxn • Pnxn + z + e .

Так как

d o (z + e) < d o (z) + d o (e) < t1 +1 —11 =t,

то алгоритм декодирования D o корректно исправляет вектор ошибок z + e .

Стойкость предложенной криптосистемы к статистической, описанной в [6], основана на том, что к кодовому слову m • Skxk • Gkxn • Pnxn добавляется вектор z веса Хэмминга не менее n/2, что является достаточным условием для противодействия атаке [6]. Размер секретного ключа K равен k2 + n(k +1) элементов поля Ф, где k2 - размер скремблирующей матрицы Skxk, kn - размер кодовой матрицы Gkxn , n - размер перестановки, соответствующей матрице Pnxn . Обычно декодер D ф для кода в Ф -метрике легко определяется по кодеру, поэтому на размер ключа K декодер D ф не влияет.

Заметим, что метрика Хэмминга является частным случаем Ф -метрики [2], однако коды в хэмминговой метрике для построения стойких симметричных кодовых криптосистем не подходят, так как для таких кодов не выполняется условие (1). Поэтому для построения симметричных кодовых криптосистем должны быть использованы другие Ф -метрики. Далее рассматриваются конкретные Ф -метрики - ранговая метрика и метрика Вандермонда - и строятся кодовые криптосистемы на кодах в соответствующих метриках.

Криптосистема в ранговой Ф -метрике. Как отмечалось выше, криптосистема Стройка-Тилбурга обладает принципиальными ограничениями -большой объем секретного ключа и отсутствие возможности одновременно бороться с помехами в канале. Первое ограничение связно с тем, что необходимо хранить предопределенную синдромную таблицу T , размер которой составляет (2n - k)- j Fjn-k элементов поля F. Векторы ошибок z из T должны обладать тем свойством, что их вес Хэмминга над полем F должен быть не менее половины длины кодового слова. Наибольшая стойкость обеспечивается в случае, когда вес вектора ошибки удовлетворяет ограничению (1). Это ограничение не позволяет осуществить за приемлемое время атаку методом статистического криптоанализа на секретный ключ по выбранному открытому тексту [6]. Так как декодеры для кода C в Хэмминговой метрике не могут однозначно исправлять ошибки,

обладающие свойством (1), то такие ошибки необходимо хранить. Второе ограничение криптосистемы Стройка-Тилбурга - невозможность одновременно бороться с искажениями в канале - связано с тем, что для повышения стойкости криптосистемы введена нелинейная функция ^ . В случае, если в криптосистеме Стройка-Тилбурга не использовать нелинейную функцию ^, то, как показано в [6], можно за 0(кп(п - к)22(п-к)) операций в поле Б осуществить успешную атаку на секретный ключ по выбранному открытому шифртексту.

В настоящей работе с целью построения симметричной кодовой криптосистемы предлагается использовать линейные коды в ранговой метрике -коды Габидулина [7]. Как показано в [2], ранговая метрика является Ф -метрикой. Опишем предлагаемую криптосистему. Пусть Гкхп - порождающая матрица кода Габидулина С с порождающим вектором ^ над полем Б N (q - степень простого

числа) и ранговым расстоянием d = n - к + 1, п < N; пусть к = и +1, и,1 є N; Б 5

- быстрый алгоритм декодирования кода Габидулина, исправляющий до і = 1_^ -1) / 2] ранговых ошибок; Бихи - случайная невырожденная матрица; Рпхп

- случайная перестановочная матрица. Пусть К = (Бихи,Гкхп,Рпхп) - секретный ключ модифицированной криптосистемы. Пусть т є Бик - информационное

сообщение, V є - вектор, выбранный случайным образом, г є Бпк - вектор

ошибок, выбранный случайным образом так, что ранг этого вектора над полем Е равен і1 (< і), и выполняется условие (1), тогда шифрование сообщения т(є Бик) выполняется по правилу:

с = (т• 8ихи |IV)-Гкхп • Рпхп + г.

Пусть криптограмма с передается по зашумленному каналу, в котором к криптограмме добавляется случайный вектор е ранга не более і - і1. Для

расшифрования вектора с' = с + е выполняется декодирование Ь = (с' х Р1-х1п);

далее вектор Ь представляется в виде Ь = Ьі||Ь2, где Ьі є , Ь2 є , и

вычисляется сообщение т = Ь1 • Б-іи. Принятый вектор с' имеет вид:

с (т • Бихи | |'^) • Гкхп • Рпхп + г + е.

Так как ранг вектора из Бпк над полем Е является метрикой [7], то

г(г + е | q) < г(г | q) + г(е | q) < і і + і - і і = і. Следовательно, алгоритм декодирования корректно исправляет вектор г + е.

В настоящей работе построен алгоритм генерации зашумляющих векторов г , ранг которых не превосходит і1, но при этом выполняется условие (1), достаточное для противодействия атаке методом статистического криптоанализа. Вход: ^ - ранговый вес вектора г є Бпк , d(> ^) - вес Хэмминга вектора г .

Выход: вектор ошибок г .

Шаг 1. Сгенерировать случайным образом 11 линейно независимых векторов аь-.Д^ е длиной 1л над полем Гд и d -й ненулевых векторов

а ^ +1 ’..’ а d е Ц} .

Шаг 2. Записать векторы а1,..^ по столбцам в виде (11 хd)-матрицы над полем р : Мчхd=(a1T)d=l.

Шаг 3. Приписать справа к матрице М^х(d) нулевую матрицу размерностью 11 х (п -d): М ^хп = М^ | О^п^), и далее снизу к М ^хп приписать N -11 строк, являющихся линейными комбинациями строк М1Х хп. В результате получим А ^п;

Шаг 4. Искомая матрица А(Т) вычисляется как произведение матриц над полем : А(Т) = Р^^ шп'РПхп, где PNхN и РПхп - перестановочные матрицы. Матрица А(Т) - это представление вектора Т е в виде матрицы над полем .

Конец алгоритма.

Для полей характеристики 2 получена оценка числа возможных зашумляющих векторов, прямо влияющая на стойкость криптосистемы.

Теорема. Пусть Ъ - множество всех зашумляющих векторов, получаемых с помощью алгоритма генерирования векторов ранга 11 и веса Хэмминга п(| | -1)/ | | над полем , К(1ь2) - число невырожденных квадратных

матриц размерностью 11 х 11 над полем Б2, Ь = . Тогда

| Ъ | = К(11Ld-1l (Ь + 1)п-11.

Доказательство. Как следует из условия теоремы, на первом шаге алгоритма невырожденную матрицу можно выбрать одним из К(1ь2) способов.

Сгенерировать на d -11 ненулевых векторов длиной 11 можно С^^Ь1*-^

способами, а число линейных комбинаций 1] векторов определяется выражением

Ь = ^С1 . Тогда на третьем шаге имеется (Ь + 1)п-11 способов приписать

линейные комбинации 11 векторов. Таким образом,

| Ъ| = К(11 Ж^1 Ь‘1-11 (Ь +1) п-11. □

На практике для защиты от помех хорошими корректирующими свойствами обладают коды Габидулина над полями р1б и рз2. Для этих кодов получены оценки стойкости усовершенствованной криптосистемы Стройка-Тилбурга. Стойкость оценивалась по мощности множества зашумляющих векторов. Результаты оценки приведены в табл. 1 и 2. В первой строке каждой таблицы указан ранг искусственно добавляемой ошибки при шифровании (ранг вектора Т), а в первом столбце указан ранг естественной ошибки, которая может одновременно исправляться при расшифровании. Часть ячеек в таблицах не заполнены, что означает невозможность применения к модифицированной криптосистеме Стройка-Тилбурга соответсвующих соотношений ранга добавляемой искусственно ошибки и ранга естественной ошибки.

Таблица 1

Стойкость модифицированной криптосистемы над р1б

1 2 3 4 5 6 7

0 4Е+5 3,59Е+16 1,66Е+25 5,89Е+32 3,24Е+39 3,63Е+45 9,20Е+50

1 4Е+5 3,59Е+16 1,66Е+25 5,89Е+32 3,24Е+39 3,63Е+45 -

2 4Е+5 3,59Е+16 1,66Е+25 5,89Е+32 3,24Е+39 - -

3 4Е+5 3,59Е+16 1,66Е+25 5,89Е+32 - - -

4 4Е+5 3,59Е+16 1,66Е+25 - - - -

5 4Е+5 3,59Е+16 - - - - -

6 4Е+5 - - - - - -

Таблица 2

Стойкость модифицированной криптосистемы над полем Б232

2 4 6 8 10 12 14

0 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 9,77Е+184 1,66Е+207

1 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 9,77Е+184 1,66Е+207

2 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 9,77Е+184 1,66Е+207

3 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 9,77Е+184 -

4 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 9,77Е+184 -

5 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 - -

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

6 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 2,18Е+160 - -

7 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 - - -

8 1,42Е+34 1,66Е+71 4,60Е+103 1,80Е+133 - - -

9 1,42Е+34 1,66Е+71 4,60Е+103 - - - -

10 1,42Е+34 1,66Е+71 4,60Е+103 - - - -

11 1,42Е+34 1,66Е+71 - - - - -

12 1,42Е+34 1,66Е+71 - - - - -

13 1,42Е+34 - - - - - -

14 1,42Е+34 - - - - - -

Анализ стойкости модифицированной криптосистемы Стройка-Тилбурга по мощности множества зашумляющих векторов показывает, что, во-первых, стойкость системы растет как при увеличении ранга добавляемой ошибки, так и при увеличении мощности поля, над которым строятся ранговые коды, и, во-вторых, построенная криптосистема, обеспечивая высокую стойкость (начиная с ранга 3 добавляемой ошибки в случае поля р1б и ранга 2 в случае поля рз2), позволяет одновременно бороться с естественными помехами в канале. Эта особенность построенной кодовой криптосистемы дает возможность, например, строить комплексную защиту информации от полной технической утечки в зашумленных цифровых каналах связи с использованием элементной базы одного помехоустойчивого кодека.

Криптосистема в Ф -метрике Вандермонда. Рассмотрим специальную Ф -метрику, ассоциированную с матрицей Вандермонда. Для нее построен код с максимальным Ф -расстоянием и предложен быстрый алгоритм декодирования в [2], который сводится к задаче декодирования некоторого обобщенного кода Рида-Соломона. Кодовая криптосистема на основе кодов в Ф -метрике Вандермонда строится аналогично криптосистеме в ранговой Ф -метрике. Однако в отличие от последней, где декодер ранговых кодов не требует модификации, для криптосистемы в метрике Вандермонда не применим оригинальный декодер из [2]. Адаптируем декодер из [2] для построения симметричной криптосистемы на Ф -метрике Вандермонда.

Для изложения адаптированного алгоритма приведем определедение проективной Ф -метрики Вандермонда в соответствии с [2]. Рассмотрим обобщенную матрицу Вандермонда

Б =

иі

И2

иіхі

и2Х2

ик икХк

иіхі

-і л

и2Х2-і

икхК і

где п <К, иі є^}\{0},хі єФ - различные, і = і...К[. Возьмем в качестве элементов Ц,12,, задающих проективную Ф -метрику Вандермонда строки матрицы Б. Пусть линейный (п, к) -код X задается с помощью порождающей матрицы

^Уі Уіуі _ УіуП ^

вкхп =

У2 У 2У 2

Ук Укук

У2У2-і

УкУк-і

где уі єФ}\{0}, а уі єФ - различные, і = і____к. Кроме того, выберем уі таким

образом, чтобы они не совпадали ни с одним из ХJ. В этом случае объединение матриц Б и Окхп также является обобщенной матрицей Вандермонда. Отметим, что размерность кода к должна удовлетворять соотношению к + N < q, поскольку максимально возможное число линейно независимых строк обобщенной матрицы Вандермонда над полем Ф равно q. В [2] доказано, что код X, задаваемый матрицей Окхп , является кодом с максимальным Ф -расстоянием ^ (X) = п - к +1. То есть код может исправлять вплоть до ґФ = |_п - к] /2 Ф -ошибок.

Пусть с = аО + е = % + е, где а - информационный вектор, % - кодовый, а е - вектор Ф -ошибок. Причем Ф -вес вектора ошибки е не превосходит ґ ф .

Тогда е можно представить в следующем виде: Є = тіі?і + шгГг +------+ тк& так,

что вес Хэмминга вектора Ш = (ші, ш2, _, шк) равен (Ш) ґ ф . Покажем, что в этом случае существует быстрый алгоритм декодирования. Рассмотрим конкатенацию матриц Б, Окхп следующего вида:

Окхп

Б

Уі У 2

Ук

иі

и2

Уіуі

У2У2

Укук

иіхі

и2Х2

V

ик икХк

Уіуп-і ^ У2у"-і

Укук-і

иіХп-і и2Х2-і

икХК і

(2)

Выделим первые п строк в матрицу V. По построению матрица V является невырожденной, поэтому можно найти обратную V -1. Умножим матрицу (2) на V-1:

"Ек О Л

V-1= О Еп-к , (3)

Я1 Я2 ,

Скхп

Б

где Ер - единичная матрица порядка р . Матрица (Яі Я2) является обобщенной матрицей Коши размером (К - п + к) х п с элементами вида щ /(^ -Vj),

которые можно получить явно из леммы П.1 в [2]. Умножим вектор о = ! + е на V і справа:

(§ + ё)V-1 = (Юкхп + тБ^У-1 = ~ + тБ = ~ + е.

Ввиду (3), последние п - к компонент кодового вектора ~ нулевые. Это позволяет определить п - к компонент вектора e=mFV-1. Покажем что этого достаточно для восстановления всего вектора т. Для этого необходимо решить систему уравнений тБ = е или эквивалентную систему Бттт = ет:

ґ * \

О

Еп-к

Яі

Я 2

ґ ті ^ т2

еК-п+к+1

еы

(4)

Рассмотрим последние п - к строк системы (4):

(1 0 • 0 Г1,1 Г1,К-п+к ^ ^ т1 ^ ^ е 1 '

0 1 • 0 Г2,1 Г2Л-п+к

т2 = е 2

0 0 • • 1 Гп-к,1 • Гп-к,Ы-п+к

V тк у М - п О

V у

где е1 =ек-п+к+1,е 2 =ек-п+к+2, ...,е п-к = ек. Матрица Н = (Еп-к | Я2) представляет собой конкатенацию единичной матрицы порядка п - к и обобщенной матрицы Коши Я2. С помощью леммы П.2 из [2] умножением слева на подходящую квадратную невырожденную матрицу Ф порядка п - к матрица Н может быть преобразована к виду обобщенной матрицы Вандермонда Н' = (ф | ФЯ2). Таким образом, система преобразуется к следующему виду:

Н 'т = Ф

V е п-к у

где правая часть и матрица H' известны. Поиск решения данной системы является задачей декодирования некоторого ОРС-кода C' с проверочной матрицей H'. Задача имеет единственное решение, если вес Хэмминга вектора m не превышает корректирующей способности кода t0 . Известны быстрые алгоритмы декодирования для ОРС-кодов [1]. Для определения вектора m и последующего вычисления векторов e и g достаточно применить один из известных быстрых алгоритмов декодирования обобщенных кодов Рида-Соломона.

Выводы. Повышение криптостойкости кодовых криптосистем возможно не только путем увеличения параметров кодеков и скремблирующих матриц, но и посредством перехода от метрики Хэмминга к другим метрикам, в частности к Ф -метрикам, для которых выполняется условие (1). Частным случаем Ф -метрик, для которых выполняется условие (1), являются ранговая Ф -метрика и Ф -метрика Вандермонда. Для этих метрик в настоящей работе построены симметричные кодовые криптосистемы. В частности, анализ показал, что при стандартных параметрах кодеков (например, для (16,8)- и (32,16)-кодов Габидулина) криптосистема в ранговой метрике обладает высокой стойкостью к статистическому криптоанализу. Кроме того, эта криптосистема может использоваться на практике для одновременной (за одну операцию) защиты как от несанкционированного чтения передаваемой информации, так и от «ранговых» помех, имеющих место, например, в системах многоканальной радиосвязи. Для криптосистемы в метрике Вандермонда адаптирован алгоритм быстрого декодирования из [2]. Вопрос о применении криптосистемы в Ф -метрике Вандермонда для одновременной борьбы с помехами и технической утечкой, а также уточнение стойкости этой криптосистемы к атаке методом статистического криптоанализа представляет интерес для дальнейшего исследования.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. СидельниковВ.М. Теория кодирования. - М.: Физматлит, 2008. - 324 с.

2. Габидулин Э.М., Обернихин В.А. Коды в Ф -метрике Вандермонда и их применение // Проблемы передачи информации. - 2003. - Т. 39, № 2. - C. 3-14.

3. Яковлев В.А. Защита информации на основе кодового зашумления / Под ред. В.И. Коржика. - СПб., 1993.

4. Косолапое Ю.В. Способ защиты информации от технической утечки, основанный на применении кодового зашумления и кодовых криптосистем: Автореф. дис. ... канд. техн. наук. - Ростов-на-Дону. 2009. - 24 с.

5. Деундяк В.М., Косолапое Ю.В., Чекуное Е.С. О реализации и применении модификации Стройка-Тилбурга шифросистем типа Мак-Элиса // Материалы международного Российско-Абхазского симпозиума Уравнения смешанного типа и родственные проблемы анализа и информацтики. - Нальчик, 2009. - С. 75-77.

6. Val Tilburg J. Security-Analisys of a Class of Cryptosystems Based on Linear Error-Correcting Codes. Eindhoven: PTT Research, 1994. - 198 р.

7. Габидулин Э.М. Теория кодов с максимальным ранговым расстоянием // Проблемы передачи информации. - 1985. - Т. 21, № 1. - С. 1-12.

Косолапов Юрий Владимирович

Федеральное государственное образовательное учреждение высшего профессионального образования «Южный федеральный университет».

E-mail: [email protected].

344090, г. Ростов-на-Дону, ул. Мильчакова, 8а.

Тел.: +79061833020

Чекунов Евгений Сергеевич

E-mail: [email protected].

Тел.: +79054782547.

Kosolapov Yury Vladimirovich

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Federal State-Owned Educational Establishment of Higher Vocational Education «Southern Federal University».

E-mail: [email protected].

8a, Milchakova street, Rostov-on-Don, 344090, Russia.

Phone: +79061833020.

Chekunov Evgeny Sergeevich

E-mail: [email protected].

Phone: +79054782547.

УДК 004.056.5

В. В. Мкртичян

СХЕМА СПЕЦИАЛЬНОГО ШИРОКОВЕЩАТЕЛЬНОГО ШИФРОВАНИЯ, ОСНОВАННАЯ НА НЕКОТОРЫХ КОНКАТЕНИРОВАННЫХ КОДАХ,

И ИССЛЕДОВАНИЕ ГРАНИЦЫ ЕЕ ПРИМЕНЕНИЯ

Исследуется проблема защиты легально тиражируемой цифровой продукции от несанкционированного распространения. Строится математическая модель схемы специального широковещательного шифрования на основе обобщенных кодов Рида-Соломона конкатенированных с кодами Адамара и декодера Гурусвами-Судана. Разрабатывается программная реализация математической модели. Проводится исследование возможности ее применения в случае превышения допустимого числа членов коалиции злоумышленников.

Коды Рида-Соломона, конкатенированные коды; списочное декодирование; широковещательное шифрование; поиск злоумышленников.

V.V. Mkrtichan BROADCAST ENCRYPTION SCHEME BASED ON SOME CONCATENATED CODES, RESEARCH OF BOUND OF THE SCHEME APPLYING

The problem of protecting legally replicated digital products from unauthorized distribu-tion.AConstruct a mathematical model of Skye special broadcast encryption scheme based on generalized Reed-Solomon concatenated with Hadamard codes and deco-dera Guruswami-Sudan.ADeveloped software implementation of mathematical models. AWe study its possible use in case of exceeding the allowable number of members of the coalition attackers.

Reed-Solomon codes; concatenated codes; list decoding; broadcast encryption; tracing traitors.

1. Введение и постановка задачи. В работе [1] рассмотрен перспективный способ защиты легально тиражируемой цифровой продукции от несанкционированного распространения, называемый схемой специального широковещательного шифрования (ССТТТТТТ). Известно, что злоумышленники, являющиеся легальными пользователями ССТТТТТТ. могут объединяться в коалиции и пытаться атаковать ССТТТТТТ. В [1] доказано, что для эффективного поиска всей коалиции или, по крайней мере, ее непустого подмножества можно применять обобщенный код Рида-Соломона (ОРС-код), специальным образом конкатенированный с кодом Адамара (КОРСА-код). При этом в качестве алгоритма декодирования предлагается использовать эффективный алгоритм списочного декодирования Гурусвами-Судана [2]. В [3] представлена математическая модель и теоретическое исследование эффективной ССТТТТТТ для ОРС-кода, в [4], [5] проведено экспериментальное исследование этой схемы. В [6] построена компьютерная модель списочного декодера Гурусвами-Судана для КОРСА-кода, выступающая наиболее сложным элементом

i Надоели баннеры? Вы всегда можете отключить рекламу.