Научная статья на тему 'Уточнённая математическая модель случайной подстановки'

Уточнённая математическая модель случайной подстановки Текст научной статьи по специальности «Математика»

CC BY
245
74
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по математике, автор научной работы — Лисицкий Константин Евгеньевич, Мельничук Евгений Дмитриевич

Осуждаются подходы к отбору случайных подстановок, основанные на применении системы критериев, построенных с использованием оценок близости законов распределения XOR таблиц и смещений таблиц линейных аппроксимаций подстановок теоретическим законам. Отмечается их неконструктивность. Излагается сущность методики определения законов распределения максимумов для больших по объёму выборок независимых одинаково распределённых случайных величин. Методика применяется для определения распределений максимумов XOR таблиц и смещений таблиц линейных аппроксимаций выборки из байтовых подстановок. На основе полученных результатов предлагается уточнённое определение случайной подстановки, строящееся на свойствах выборки случайных подстановок.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Refined mathematical model of a random permutation

Condemned approaches to the selection of random permutations based on the use of criteria constructed using estimates of proximity distribution laws XOR tables and tables of linear approximations of the displacement of substitutions theoretical laws. Celebrated their non-constructive. Sets out the methodology for determining the nature of the laws of distribution of maxima for large-volume samples of independent and identically distributed random variables. Methods used to determine the distributions of maxima XOR tables and tables of linear approximations of the displacement of the sample byte substitutions. Based on these results it is proposed refined definition of a random permutation, under construction on the properties of the sample of random permutations

Текст научной работы на тему «Уточнённая математическая модель случайной подстановки»

УДК 681.3.06

К.Е. ЛИСИЦКИЙ, Е.Д. МЕЛЬНИЧУК

УТОЧНЁННАЯ МАТЕМАТИЧЕСКАЯ МОДЕЛЬ СЛУЧАЙНОЙ ПОДСТАНОВКИ

Осуждаются подходы к отбору случайных подстановок, основанные на применении системы критериев, построенных с использованием оценок близости законов распределения XOR таблиц и смещений таблиц линейных аппроксимаций подстановок теоретическим законам. Отмечается их неконструктивность. Излагается сущность методики определения законов распределения максимумов для больших по объёму выборок независимых одинаково распределённых случайных величин. Методика применяется для определения распределений максимумов XOR таблиц и смещений таблиц линейных аппроксимаций выборки из байтовых подстановок. На основе полученных результатов предлагается уточнённое определение случайной подстановки, строящееся на свойствах выборки случайных подстановок.

1. Введение

Самые современные традиционные ключевые криптосистемы базируются на идее произведения (product) шифров, которые представляют класс криптосистем, многократно повторяющих сложную операцию, отображающую плайнтекст в шифртекст. Каждое такое повторение (итерация) известно как цикл шифра. Сложная (составная) операция, выполняющаяся в каждом цикле, является обычно комбинацией из набора примитивных операций, таких как сдвиг, линейное преобразование, модульное сложение и подстановка. В частности, комбинация перестановочных и подстановочных операций может привести к криптографически сильному нелинейному преобразованию, если оно применяется достаточное количество раз. Подстановочные операции во многих шифрах выступают при этом как основной нелинейный элемент циклового преобразования (нелинейный элемент замены). Поэтому значительные усилия исследователей направлены на изучение подходов к построению подстановок с высокими криптографическими показателями.

Сегодня наиболее разработанным и наиболее популярным математическим аппаратом оценки криптографических свойств нелинейных элементов замены (S-блоков) стал аппарат линейной алгебры и в частности аппарат булевых функций. Его развитию и применению посвящено много публикаций. Предложено и используется множество критериев и показателей оценки свойств как самих булевых (компонентных) функций S-блоков, так и критериев и показателей криптографических свойств S-блоков в целом. В их числе такие как: сбалансированность булевой функции, нелинейность N f , корреляционный иммунитет, критерий распространения (строгий лавинный критерий) KP(k), алгебраическая степень булевой функции deg(f) , а также соответствующие характеристики S-блоков: критерий битовой независимости (BIC), критерий нелинейности, максимальный порядок строгого лавинного критерия (MOSAC), максимальное значение линейной аппроксимационной таблицы-LAT, 5 -гладкость (равномерность) XOR-таблицы S-блока и многие другие.

Следует отметить также предложенный в свое время подход к отбору подстановок [13], строящийся на основе оценки показателей их случайности (значений числа циклов, возрастаний и инверсий), дополненных ограничениями на максимально допустимые значения таблиц дифференциальных разностей и линейных аппроксимаций.

Этот подход нашел продолжение в работах [4,5], выполненных, в том числе, и с участием авторов данной работы. Основное внимание в этих публикациях сосредоточилось на разработке дополнительных критериев отбора случайных подстановок, построенных на использовании законов распределения переходов XOR таблиц и смещений таблиц линейных аппроксимаций случайных подстановок. Было предложено два дополнительных (к комбинаторным) критерия отбора, основанных на оценке близости дифференциальных и линейных законов распределения вероятностей подстановок к теоретически полученным законам [5]. Напомним здесь кратко их сущность.

22

Критерий 1. Подстановка удовлетворяет критерию случайности 4, если закон распределения однотипных переходов Рг(Лп (AX, AY) = 2к), к = 0,1,..., к * её таблицы XOR разностей для входов, приписываемых к ненулевым характеристикам, соответствует по критерию согласия Колмогорова теоретическому закону распределения переходов случайной подстановки, т.е. наибольшее значение модуля разности теоретического и эмпирического законов распределения вероятностей удовлетворяет условию FТ(хк)- F(xk) S < b.

Здесь граничный параметр b подлежит уточнению по результатам экспериментов.

Критерий 2. Подстановка удовлетворяет критерию случайности 5, если закон

распределения однотипных переходов Рг(Я * (а, Р) = 2к), к = 0,1,..., к* её таблицы линейных аппроксимаций соответствует по критерию согласия Колмогорова теоретическому закону распределения переходов случайной подстановки, т.е. наибольшее значение модуля разности теоретического и эмпирического законов распределения вероятностей удовлетворяет условию F^x^- F^^S < c.

Здесь параметр c также подлежит уточнению по результатам экспериментов.

В работе [6] были рассмотрены вопросы установления границ при использовании критерия Колмогорова для оценки близости законов распределения переходов дифференциальных и линейных таблиц подстановок теоретическим (мы их назвали 1эталонными1), на основе результатов которых принимается решение - можно ли отнести проверяемую подстановку к случайной или нет.

Ожидалось, что подстановки, отобранные по предлагаемой системе критериев, окажутся более предпочтительными, чем известные конструкции. Однако, с одной стороны, формируемые в этом случае подстановки, как показал анализ, не имеют заметных преимуществ по сравнению с известными, а с другой - применение представленных выше критериев для практического отбора случайных подстановок встретило определённые затруднения, так как не ясной стала сама стратегия применения этих критериев. Вроде бы мы порождаем случайные подстановки, а потом начинаем их фильтровать. Не ясно, какие же показатели отбора являются предпочтительными.

В этой работе мы хотим изменить позицию к определению показателей случайности. Мы хотим ответить на вопросы, а какими свойствами будет обладать выборка случайно порождаемых подстановок? С какими подстановками в этом случае реально мы имеем дело? Как они соотносятся с приведенными критериями отбора?

Здесь будут изучаться показатели последовательности случайных подстановок, порождаемых случайным генератором. Итогом их изучения станет усовершенствованная модель случайной подстановки, отличающаяся от известных использованием свойств выборки случайных подстановок, что позволило существенно упростить правила отбора случайных подстановок (а практически использовать подстановки, порождаемые генератором случайных подстановок без каких-либо ограничений).

Задача практически сводится к определению законов распределения выборки, составленной из максимумов таблиц XOR разностей и максимумов смещений таблиц линейных аппроксимаций случайных подстановок.

Математические аспекты этой задачи рассмотрены в приложении работы [7]. В ней изучаются случаи, когда все значения выборки имеют одно и то же распределение и их плотности уменьшаются с ростом переменной х экспоненциально. Но это как раз и есть наши случаи.

2. Сущность методики определения законов распределения максимумов для

больших по объёму выборок независимых одинаково распределённых

случайных величин

Нас интересуют два случая.

1-й случай, когда выборка состоит из случайных значений переходов XOR таблицы случайной подстановки. Как известно [8], в этом случае закон распределения вероятностей переходов подчиняется Пуассоновскому закону:

Pr((AX, AY) = 2к) = е~хп —к^-. (1)

2к • к! w

23

Здесь Pr(Л ((AX, AY) = 2k) - вероятность, что значение дифференциальной таблицы

случайно взятой подстановки р порядка 2n для перехода входной разности AX в соответствующую выходную разность AY будет равно 2k.

2-й случай, когда выборка состоит из случайных значений, являющихся смещениями таблиц линейных аппроксимаций случайных подстановок, подчиняющихся нормальному закону распределения. Как показано в [7], в этом случае справедливо.

Утверждение. Для случайной п-битовой подстановки, с n > 5 дисбаланс Imb(v,u) аппроксимации является случайным значением с распределением, которое может быть аппроксимировано в виде

Pr(Imb(v, u) = z) * 2Z

2(n - 2)/2

(2)

для z четного и ноль для z нечетного.

В наших обозначениях дисбаланс Imb(v, u) = z при z = 2k как раз соответствует значению смещения таблицы линейных аппроксимаций.

В работе [7] отмечается, что распределение максимумов больших по объёму выборок независимых одинаково распределённых случайных величин хорошо изучено в теории вероятностей и описывается распределением экстремальных значений Фишера-Типпета или log-Вейбула в виде:

a-X

D

max

(X) * е е

b

Это распределение имеет математическое ожидание ^(X) = a + by с у* 0,58 и сред-

П

неквадратическое отклонение —j=

V6

b

1,36. Параметр а является решением уравнения

ln(2)Y = f(x), (3)

а b - единицей, делённой на производную функции f(x) в точке а (здесь используется линейная аппроксимация функции f(x) в точке а).

В работе [7] также показано, что решение уравнения (3) для выборки из 2Y случайных значений, распределённых по Пуассоновскому закону, имеет вид

і =

ln(2)y - —ln(2ni) - X

‘-'і1-1

(4)

Это уравнение может быть решено итеративно. Производная f(/) вычисляется по формуле:

ln' - | + — XI 2і

(5)

Определяя а и используя условие а >> X , имеем: b = —

ln

Для нормального распределения (2) параметр, as (подстрочный индекс 5 для стандарта) является решением уравнения

as =д/2 ln(2)y - ln(2n) - 2 ln(as) , (6)

которое может быть найдено итеративным путём, не обращая внимания на правый член в первой итерации. Производная f(x) определяется по формуле:

24

1

x + — x

(7)

и, следовательно,

bs = -^

s - 2

aQ +1 as

(8)

Грубо говоря, максимум имеет распределение со средним значением 1,17^/у и стандартным отклонением 1.11/ д/y . Авторы работы [7] отмечают, что можно найти значения a и b для любого нормального распределения со средним значением ц(Х) и стандартным

X -|а(Х)

отклонением а , заменив х на

•. Это дает:

а

a = aas + |j,(X), b = abs.

(9)

1

3. Распределение максимумов XOR таблиц и смещений таблиц линейных аппроксимаций выборки из байтовых подстановок

Будем рассматривать выборку размера 2n, n = 8. Для n = 8 из (4) имеем (табл.1).

Таблица 1

i ln(2)-16 - ^ln(2ni) _ 2 ln(2i)_ 1

5 6,8

5,5 6,3

5,9 5,98

6 5.9

7 5,3

И, следовательно, решением уравнения (4) является значение i = a, близкое к числу 6.

Соответственно b

1

ln(12)

0,4 . Но заметим, что формула (4), по которой мы определяли

значение a, работает с половинным значением перехода дифференциальной таблицы. Поэтому при подсчёте действительного среднего значения мы должны полученный результат удвоить.

И тогда |a(X) = 2• 6 + 2• 0,4• 0,58 = 12,4 .

Если ориентироваться на результаты реального эксперимента, то среднее значение максимума должно быть близким к 11,55. Поэтому скорректируем наше значение до a = 5.

Это значение хорошо согласуется с результатами расчётов и экспериментов, представленных в работе [9].

Выше отмечалось, что поскольку распределение максимумов дискретное, то малая

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

величина стандартного отклонения b

1

ln(12)

0,4 приводит к тому, что распределение

сосредоточено в двух целочисленных значениях вблизи ^(X) ~ 2a . В наших экспериментах с байтовыми подстановками это два значения: 10 и 12.

Далее расчёт предлагается вести по распределению

10-2-X

-е 0,87

Dmax(X) ~e , (10)

в котором использовано значение a = 5 (формула записана с учётом реального удвоения значений переходов XOR таблицы).

25

В табл. 2 приводим распределение значений максимумов для 256 битовых подстановок, рассчитанных по выражению (10), и результаты эксперимента.

Таблица 2

k* (X1, X2) Pr(k*) Расчётное значение Эксперимент

8 0,00004 0,01 0

10 (10,8) 0,368 - 0,00004 = 0,368 94 92

12 (12,10) 0,905 - 0,368 = 0,537 137 147

14 (14, 12) 0,9901 - 0,905 = 0,008 22 14

16 (16,14) 0,9967 - 0,9901 = 0,0066 1,71 3

18 (18,16) 0,9999- 0,9967 = 0,0032 0,819 0

В табл. 3 представлены результаты решения уравнения (5) способом подбора. Для ориентировочного выбора начальных значений, используемых в переборе, вполне можно опираться на результаты расчётов и экспериментов, приведенных в работе [9].

Таблица 3

as .y/ln(2)32 - ln(2n) - 2ln(as)

4 4,19

5 4.13

6 4,09

8 4

Мы и в этом случае сделали небольшую коррекцию результата, ориентируясь на данные экспериментов. В качестве значения as рассматривалось значение as = 4 и соответственно

bs =

а2 +1

і — = - = 0,25 as 4

(11)

(здесь уже учитываем результаты выполненных экспериментов, представленных в табл.

a

s

8-4

3). Для подстановок степени 28 имеем = 2 2 = 22 и тогда

а = aas + p,(X) = 4 • 4 + 0 = 16 и в соответствии с (9) b = 4 0,25 = 1. Приходим к интегральному закону распределения максимумов полных дифференциалов уменьшенной 16-битной модели шифра в виде:

16-X

Dmax(X) * е-е 1 , (12)

или с учётом реального удвоения результатов смещений таблицы линейных аппроксимаций

32-X

Dmax(X) * е-е 2 . (13)

В табл. 4 представлены результаты расчётов по определению распределения значений максимумов линейных корпусов на основе интегрального закона распределения вероятностей (13).

Заметим, что по результатам ранее выполненной теоретической и экспериментальной оценки значения максимума смещения линейной аппроксимационной таблицы случайной

подстановки степени 28 равно 32 (расчёт) и 34 (эксперимент) [10].

Видно, что и в этом случае результаты экспериментов практически повторяют результаты расчётов.

Самое интересное, как показали эксперименты, именно случайные подстановки, полученные без всяких ограничений, с очень большой вероятностью оказались подходящими с точки зрения криптографических приложений. Они позволили обеспечить динамические показатели выхода шифров с сильным линейным преобразованием к асимптотическим

26

показателям случайных подстановок, не уступающие считающимся лучшими (отобранными по специальным методикам) S-блокам практически всех современных шифров [11].

Таблица 4

k* (X], X2) Pr(k*) Число значений Эксперимент

< 26 3.41 10-7 0 0

28 (28,26) 5,6 10-4- 3,4110-7 = 5,6 10-4 0,14 0

30 (30,28) 0,064 - 5,6 10-4 = 0,0638 16 10

32 (32,30) 0,368-0,064 = 0,304 78 86

34 (34,32) 0,692 - 0,304 = 0,388 99 98

36 (36,34) 0,874 - 0,692 = 0,181 46 46

38(38,36) 0,9518 - 0,874 = 0,078 19 10

40 (40,38) 0,9821 - 0,9518 = 0,03 8 6

42 (42,40) 0,9933 - 0,9821 = 0,011 3 0

44 (44,42) 0,9975 - 0,9973 = 0,00028 0,07 0

Подводя итог приведенным соображениям, можно теперь в соответствии с представленными результатами ввести и более практичное определение случайной подстановки.

В частности, байтовая подстановка является случайной, если:

1) значение максимума её XOR таблицы равняется 10,12;

2) значения максимумов смещений её таблицы линейных аппроксимаций находятся в диапазоне 32-38.

Этими определениями мы уточняем критерии 4 и 5, введенные ранее. Уточнение касается наложения (выполнение) ограничений лишь на максимальные значения переходов XOR таблиц и смещений таблиц линейных аппроксимаций.

Выводы

Результатом выполненных исследований является уточнённоё определение случайной подстановки (уточнённая математическая модель случайной подстановки), строящееся на свойствах выборки из случайных подстановок. Теперь появилось полное понимание того, с какими подстановками мы имеем дело при их случайном формировании. Как оказалось, с очень большой вероятностью мы будем получать подстановки, для которых значения максимумов дифференциальных таблиц и значения максимумов смещений таблиц линейных аппроксимаций принимают существенно ограниченное число возможных значений. Все они концентрируются вокруг теоретических значений максимумов случайных подстановок соответствующей степени.

Как показывают эксперименты [11], случайные подстановки, взятые с выхода генератора случайных подстановок без всяких ограничений, вполне могут конкурировать с лучшими известными конструкциями S-блоков, используемыми в современных шифрах.

Список литературы: 1. Лисицкая И.В. К вопросу построения долговременных ключей для алгоритма ГОСТ 28147-89 // Информационно-управляющие системы на железнодорожном транспорте. 1997. № 3. С. 54-57. 2. LysytskaI.V., KoriakA.S., GolovashichS.A., Oleshko O.I., OleinikR.V. The selection criteria of random substitution tables for symmetric enciphering algorithms // Abstracts of XXVIth General Assembly. Toronto, Ontario Canada, August 13-21, 1999. P. 204. 3. Горбенко И.Д., Лисицкая И.В. Критерии отбора случайных таблиц подстановок для алгоритма шифрования по ГОСТ 28147-89 // Радиотехника. 1997. Вып 103. С. 121-130. 4. Лисицкая И.В. Оценка числа случайных подстановок с заданным распределением парных разностей XOR таблиц и смещений таблиц линейных аппроксимаций. / И.В. Лисицкая, А.В. Широков, Е.Д. Мельничук, К.Е. Лисицкий // Прикладная радиоэлектроника. Харьков: ХНУРЭ. 2010. Т. 9, N° 3. С. 341-345. 5. Долгов В.И. Случайные подстановки в криптографии. / В.И. Долгов, И.В. Лисицкая, К.Е. Лисицкий // Радіоелектронні та комп’ютерні системи. 2010. № 5 (46). С. 79-85. 6. Лисицкая И.В. Экспериментальная проверка работоспособности новых критериев отбора случайных подстановок / И.В. Лисицкая, К.Е. Лисицкий, А.В. Широков, Е.Д. Мельничук // Радіоелектронні та комп’ютерні системи, 2010. № 6 (47). С. 87-93. 7. JoanDaemen, VincentRijmen. Probability distributions of Correlation and Differentials in Block Ciphers. / Joan Daemen, Vincent Rijmen // April 13, 2006. Р. 1-38. 8. Лисицкая И.В. Свойства законов распределения XOR таблиц и таблиц линейных аппроксимаций случайных подстано-

27

вок // Вісник Харківського національного університету ім. В.Н. Каразіна. 2011. №960. Вип.16. С. 196206. 9. Олейников Р.В. Дифференциальные свойства подстановок / Р.В. Олейников, О.И. Олешко, К.Е. Лисицкий, А.Д. Тевяшев. // Прикладная радиоэлектроника. 2010. Т.9, № 3. С. 326-333. 10. Долгов В.И. Свойства таблиц линейных аппроксимаций случайных подстановок. / В.И. Долгов, И.В. Лисицкая,

О.И. Олешко. // Прикладная радиоэлектроника. Харьков: ХНУРЭ. 2010. Т. 9, № 3. С. 334-340. 11. Долгов В.И. S-блоки для современных шифров. / В.И. Долгов, Е.В. Мельничук // Радиотехника. 2012. Вып.171. С. 121-133.

Поступила в редколлегю 16.01.2013

Лисицкий Константин Евгеньевич, студент группы БИКС-10-1 ХНУРЭ, Научные интересы: технологии блочного симметричного шифрования, методы криптоанализа. Адрес: Украина, 61000, Харьков, ул. Тобольская, 37, кв. 5, тел. 0633201270, e-mail: [email protected]

Мельничук Евгений Дмитриевич, аспирант кафедры БИТ ХНУРЕ. Научные интересы: технологии блочного симметричного шифрования, методы криптоанализа. Адрес: Украина, 61000, Харьков, ул. 23 Августа, 6, кв. 44, телефон. 0673005605. E-mail: [email protected].

УДК 519.713 А.Н. ЗИАРМАНД

ТЕОРЕТИЧЕСКАЯ СУТЬ ПРОЕКТА «SMART ROADS»

Идеей создания такого проекта послужило то, что в Украине, а также во многих других странах мира существующая система управления дорожным движением явно не соответствует темпу роста количества автомобилей и пешеходов. Анализируется ситуация, предлагаются возможные пути решения указанной проблемы. Применение современных IT-технологий и программно-аппаратных средств для улучшения и создания новой инфраструктуры дорожного движения ставится как приоритетная задача проекта.

1. Введение

Актуальность исследования. В настоящее время в мире насчитывается более 150-ти проектов по автоматизации дорожного движения. Основной недостаток их в том, что эти проекты имеют разрозненный характер. Существуют отдельные варианты реализаций с ограниченными возможностями. Отсутствует система, объединяющая несколько технологий и способная решать сразу несколько глобальных задач. Новая идея, заложенная в данном проекте, способна не только решать описанные выше существующие проблемы в системе управления движением, но и предоставит уникальные возможности для всех участников дорожного движения, открыв перспективу в разработке программно-аппаратных комплексов для развития инфраструктуры мегаполисов. Интерес представляет использование кардинально новых способов управления и внедрение инноваций в процесс контроля движения. Реализация решения рассматриваемой проблемы высоко востребована, так как наблюдается острая необходимость в изменении системы мониторинга и управления дорожным движением, а также есть растущий спрос на IT-технологии в бортовых устройствах машин. Уникальностью проекта есть сочетание современных IT-технологий, математических моделей и аппаратно-технических средств в единой целостной системе.

Цель исследования. Приоритетной задачей на этапе создания системы является поиск близкого к идеальному способу перенаправления трафика в целях оптимизации пропускной способности современных дорог. Ключевым аспектом становится развертка инфраструктуры интеллектуального взаимодействия всех узлов системы «Smart Roads». Стремления разработчиков системы направлены в первую очередь на улучшение загруженности дорог, повышение безопасности дорожного движения, а также предоставление дополнительных сервисов, которые облегчат и повысят удобство пользования автомобилем. Стимулом ставится возможность экономии затрат на ГСМ при внедрении системы, экономии на ресурсах по техническому обслуживанию транспортных средств, сокращение времени

28

i Надоели баннеры? Вы всегда можете отключить рекламу.