Содержание к диссертации
Введение
Глава 1. Обзор современных способов защиты информации от технической утечки 12
1.1. Способы противодействия технической утечке информации в информационно-телекоммуникационных сетях 12
1.2. Применение линейных кодов для защиты информации от технической утечки 16
1.3. Базовые сведения из теории линейных кодов 18
1.4. Выводы по главе 23
Глава 2. Защита информации от технической утечки на основе кодового зашумления 24
2.1. Защита информации от технической утечки в .7И^Тс(е)-канале . 26
2.1.1. Математическая модель EWTC(бг)-канала 26
2.1.2. Моделирование EWT{e)-каналов с защитными линейными кодами, построенными по методу Озарова-Вайнера 33
2.1.3. Условия на защитный код 35
2.1.4. Об уровне понимания при защите методом шифрования по известном ключу 38
2.2. Защита информации от утечки в WTc(e, Т)-канале 41
2.2.1. Математическая модель WT{e, Т)-канала 41
2.2.3. Верхняя оценка зависимости уровня понимания от уровня перехвата в WTc(e, Т)-канале 43
2.2.4. Защитные МДР-коды, построенные на базовых МДР-кодах . 46
2.2.5. Особенности построения защитных кодов для WTc(s, Т)-канала . 48
2.2.6. О стойкости системы кодового зашумления к атакам на шифр-текст по выбранному открытому тексту 49
2.3. Оценка (Л, )-защитности произвольных линейных кодов 54
2.3.1. Оценка иерархии весов кода линейного кода CL по известной оценке иерархии весов кода С 54
2.3.2. Иерархия весов регулярных слабоплотных кодов специального вида 58
2.3.3. Способ построения факторных защитных кодов на основе кодов из LDPC(z, х1-1) 67
2.3.4. Экспериментальная оценка (Л, )-защитности кода 68
2.3.5. Сравнение метода кодового зашумления с методом шифрования по известному ключу на основе алгоритмов ГОСТ 28147-89 и AES 73
2.4. Применение метода кодового зашумления 88
2.5. Выводы по главе 96
Глава 3. Защита информации от технической утечки на основе кодовых криптосистем 98
3.1. Кодовые криптосистемы на ранговых кодах 98
3.1.1. Криптосистема Стройка-Тилбурга на линейных ранговых кодах 98
3.1.2. Усовершенствование криптосистемы Стройка-Тилбурга на основе кодов Габидулина 103
3.1.3. Сравнение характеристик кодовой криптосистемы Стройка-Тилбурга и ее модификации 108
3.1.4. Кодовая криптосистема Габидулина с открытым ключом 113
3.2. Сравнение модифицированной кодовой криптосистемы Стройка-Тилбурга с криптосистемами ГОСТ 28147-89 и AES 115
3.3. Программная реализация кодовых криптосистем на ранговых кодах 122
3.4. Способ комбинированной защиты информации от технической утечки на основе кодового зашумления и кодовых криптосистем 125
3.5. Выводы по главе 128
Глава 4. Модель криптоанализа кодовой криптосистемы на основе обобщенных кодов Рида-Соломона 130
4.1. Криптосистема Мак-Элиса на ОРС-кодах 130
4.2. Криптоаналитический алгоритм Сидельникова-Шестакова и его модификации 131
4.3. Обобщенный алгоритм анализа криптосистемы МЭРС 139
4.4. Обоснование корректности обобщенного алгоритма криптоанализа криптосистемы МЭРС 142
4.5. Компьютерная модель криптоанализа криптосистемы Мак-Элиса при п = q — 1,<7,q+ 1 144
4.6. Выводы по главе 150
Заключение 152
- Способы противодействия технической утечке информации в информационно-телекоммуникационных сетях
- Верхняя оценка зависимости уровня понимания от уровня перехвата в WTc(e, Т)-канале
- Сравнение характеристик кодовой криптосистемы Стройка-Тилбурга и ее модификации
- Компьютерная модель криптоанализа криптосистемы Мак-Элиса при п = q — 1,<7,q+ 1
Введение к работе
Актуальность темы исследования. Традиционно задача защиты информации от технической утечки (как частичной, так и полной) в зашум-ленных каналах передачи данных решается последовательным применением двух принципиально различных преобразований: криптографического преобразования информации и последующего линейного кодирования. В настоящее время линейные коды активно применяются не только для защиты от помех, но и как базис для построения стойких и простых в реализации систем защиты информации. В последние годы вопросами защиты информации на кодах активно занимались такие ученые, как Коржик В.И., Яковлев В.А., Габидулин Э.М., Сидельников В.М., Крук Е.А., Дж. Ван Тилбург и др.
Для борьбы с частичной технической утечкой информации А.Д. Вайнером в 1977 г. был предложен метод, основанный на случайном линейном кодировании информации специальными факторными линейными кодами. Его метод в дальнейшем был глубоко проанализирован российскими учеными Коржиком В.И. и Яковлевым В.А. для ряда частных случаев модели перехвата. Ими, в частности, была рассмотрена модель частичной технической утечки, когда перехватчик получает данные по симметричному каналу. В этом случае позиции безошибочных и искаженных данных перехватчику неизвестны. Эта модель получила название "канала с перехватом первого типа". Для такого канала Коржиком В.И. и Яковлевым В.А. разработан метод кодового зашум-ления и установлена зависимость между эффективностью кодового зашум-ления и весовым спектром смежных классов базового кода. Метод Коржика-Яковлева позволяет одновременно бороться с частичной технической утечкой и с помехами в главном канале.
Практический интерес представляет исследование модели перехвата, в которой перехватчику известны позиции безошибочно перехваченных данных. Л.Ю. Озаровым и А.Д.Вайнером была рассмотрена модель частичной технической утечки информации в случае, когда перехватчик имеет возможность безошибочно считывать часть данных из незашумленного капала. Эта модель утечки получила название "канала с перехватом второго типа". Для этого канала В.К. Веем, а также Д.Ю. Ногиным найдена зависимость между эффективностью кодового зашумления в канале и весовой иерархией базового кода. Частным случаем канала с перехватом второго типа является случай полной технической утечки. При полной технической утечке метод кодового зашумления неприменим, поэтому для решения задачи защиты информации могут быть использованы кодовые асимметичные и симметричные криптосистемы типа Мак-Элиса такие, как криптосистемы Э.М. Габидулина, Е.А. Крука, В.М. Сидельникова, Р. Стройка и Дж. Ван Тилбурга и др.
Стойкость систем защиты от технической утечки информации на основе кодового зашумления и кодовых криптосистем зависит от структуры применяемого кода. Системы защиты информации на основе кодового зашумления подвержены только атакам на криптограмму, а эффективность таких атак во многом определяется тем, что известна весовая иерархия базового кода. Заметим, что вычисление весовой иерархии кода является трудной задачей: эта характеристика вычислена только для БЧХ-кодов, кодов Хэмминга, кодов Рида-Маллера, кодов Голлея и найдена верхняя и нижняя оценки для сверточных кодов. Система защиты типа Мак-Элиса на кодах Гоппы является стойкой к атакам на секретный ключ, в то лее время, как показали В.М. Сидельников и СО. Шестаков в случае PC-кодов длины п = д+1 эта криптосистема, как и кодовая криптосистема Нидеррайтера, могут быть взломаны за полиномиальное время. Дж. Гибсоном для частного случая криптосистемы Габидулина найден алгоритм взлома секретного ключа, а Р. Овербеком была обобщена атака Гибсона на ряд последующих модификаций асимметричных криптосистем на классических кодах Габидулина. В настоящее время Габи-дулиным и другими рассматриваются кодовые криптосистемы для неклассических метрик. Кроме атак на ключ ведутся работы и в области анализа стойкости кодовых криптосистем к атакам на криптограмму. Существенные результаты в этом направлении в последние годы получены Т. Берсоном, Дж. Леоном, Дж. Штерном, А. Кантеутом, Ф. Чабодом, Д. Бернштейном, Т. Ланге, К. Петерсом, А.Х. Аль-Джабри, Дж. Ван Тилбургом.
Одновременное применение одного линейного кодека как для борьбы с технической утечкой, так и для борьбы с помехами либо невозможно (в случае метода кодового зашу мления Озарова-Вайнера), либо же ослабляет стойкость защиты от технической утечки (в случае симметричных и асимметричных кодовых криптосистем). На практике же обычно каналы содержат помехи. В то же время в условиях широкого внедрения информационно-телекоммуникационных систем предъявляются повышенные требования к защите информации от технической утечки и к скорости обработки информации. Поэтому актуальной является научная проблема построения способа стойкой защиты информации от технической утечки на основе применения методов кодового зашумления и кодовых криптосистем для различных классов кодов, обеспечивающего высокую скорость обработки информации.
Актуальность работы подтверждается поддержкой государственного контракта 02.740.11.0208 в рамках федеральной целевой программы "Научные и научно-педагогические кадры инновационной России "па 2009-2013 годы научно-исследо-вательские работы по лоту "Проведение научных исследований коллективами научно-образовательных центров в области информати-ки"шифр "2009-1.1-113-050"по теме: "Диалоговый высокоуровневый оптимизирующий распараллеливатель программ и его приложения"(шифр заявки "2009-1.1-113-050-043"), х/д Рост-НИЧ 748.
Теоретический аспект сформулированной проблемы состоит в усовершенствовании существующих методов защиты информации от утечки в информа-ционно-телекоммуникационных системах, построении новых эффективных схем применения линейных кодов в целях защиты информации от утечки и анализе стойкости и скорости схем защиты для конкретных кодов.
Практический аспект состоит в экспериментальной оценке стойкости новых схем применения линейных кодов при защите информации от утечки для конкретных классов кодов.
Областью исследования является развитие общей теории защиты информации техническими и математическими методами для создания перспективных средств защиты информации от утечки; синтез интегрированных систем обеспечения безопасности информационно-телекоммуникационных систем; исследование и разработка методов и алгоритмов защиты информации от утечки; исследование и построение моделей каналов технической утечки информации, разработка соответствующих средств и алгоритмов противодействия.
Объектом исследования является информационный обмен в информационно-телекоммуникационных системах связи.
Предмет исследования - каналы технической утечки информации в инфор-мационно-телекоммуникационных системах связи.
Целью диссертационной работы является усовершенствование существующих методов защиты информации от технической утечки путем обеспечения высокой стойкости схем защиты и высокой скорости обработки информации.
Задачами диссертации являются: разработка математической модели канала перехвата второго типа; построение на основе метода кодового зашумления способа защиты в канале с перехватом и оценка эффективности кодового зашумления; исследование возможности применения методов линейного кодирования в защите информации от полного перехвата (полной утечки) и, в частности, возможности практического использования асимметричных криптосистем Мак-Элиса на классических обобщенных PC-кодах; разработка и реализация способа защиты от полного перехвата на ранговых кодах.
При выполнении работы использовались методы дискретной математики, алгебры, теории графов, математической статистики, теории информации, компьютерного эксперимента.
На защиту выносятся
Универсальный способ защиты информации на основе построенной математической модели технической утечки и на основе синтеза разработанных новых схем защиты информации от технической утечки.
Математическая модель защиты информации в бесшумном канале с перехватом и теорема о достаточных условиях (А, )-защитности линейных кодов; математическая модель защиты информации в зашумленном канале с перехватом; верхняя оценка уровня понимания злоумышленником перехваченных данных для произвольных линейных кодов; уточненные оценки уровня понимания для произвольных кодов из класса МДР-кодов.
В рамках построенной схемы защиты от перехвата доказанная и экс- периментально оцененная теоретическая оценка иерархии весов регулярных слабоплотных кодов класса LDPC(2,r).
4. Усовершенствованный для кодов Габидулина протокол Стройка- Тилбурга с секретным ключом и новая разработанная схема защиты инфор мации от перехвата на основе этого протокола.
5. Модель криптоанализа криптосистемы Мак-Элиса на основе обобщен ных кодов Рида-Соломона длины п = q — 1, g, q + 1 над полем Fq и экспери ментальная оценка стойкости этой криптосистемы.
Научная новизна работы. Построен новый комбинированный способ защиты информации от технической утечки, позволяющий в зависимости от уровня перехвата данных адаптироваться к линейному канальному кодеку и противодействовать либо полному, либо частичному перехвату данных в зашумленном и незашумленном канале передачи данных. Впервые разработаны согласованные математические модели передачи данных и передачи информации в бесшумном и зашумленном каналах с частичным перехватом; введено понятие (А, <5)-защитности и доказана новая теорема о достаточных условиях (А, <5)-защитности кодов; доказаны новые теоремы о верхней оценке уровня понимания злоумышленником перехваченных данных для произвольных линейных кодов и об уточненных оценках уровня понимания для МДР-кодов. Впервые получена теоретическая оценка иерархии весов регулярных слабоплотных кодов класса LDPC{2, г) и экспериментально оценены иерархии весов случайных слабоплотных кодов, что позволяет оценить эффективность кодового зашумления на основе этих кодов. Разработаны новые схемы защиты информации от полного перехвата на основе кодов Габидулина, усовершенствован протокол Стройка-Тилбурга на этих кодах. Впервые построена компьютерная модель криптоанализа криптосистемы Мак-Элиса на основе кодов Рида-Соломона длины п = q — 1, g,q+ 1 над полем Fq.
Практическая ценность полученных в работе результатов состоит в том, что использование разработанного способа защиты информации от технической утечки позволяет повысить эффективность подсистем защиты информации от утечки за счет выбора адекватных модели утечки стойких схем защиты и увеличения скорости производимых операций.
Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований всех выдвинутых положений и результатами экспериментов.
Апробация и реализация результатов диссертационной работы. Основные результаты диссертации представлялись на международной научно-прак-тической конференции "Информационная безопасность"(г. Таганрог, 2008 г.), на международной научно-практической конференции "Теория, методы проектирования, программнотехническая платформа корпоративных информационных систем "(г. Новочеркасск, 2003 г.), на международной научной конференции "Математические методы в технике и технологиях" (г. Казань, 2005 г.), на международной школе-семинаре по геометрии и анализу памяти Н.В. Ефимова (п. Абрау-Дюрсо, 2004, 2008 гг.), на школе-семинаре "Математическое моделирование, вычислительная механика и геофизика (г. Ростов-на-Дону, 2007 г.), на ежегодных научно-практических конференциях профессорско-преподавательс-кого состава ДГТУ (2004, 2005 гг.), на семинаре "Математические методы защиты информации "на факультете математики, механики и компьютерных наук ЮФУ (2007, 2009 гг.), на международном Российско-Абхазском симпозиуме "Уравнения смешанного типа и родственные проблемы анализа и информатики"(Нальчик, 2009 г.), на научном семинаре кафедры "Математики"Высшего военного училища им. СМ. Штеменко (рук. проф. д.т.н. Хисамов Ф.Г., 2009 г.), на научном семинаре кафедры БИТ ТТИ ЮФУ (рук. проф. д.т.н. Макаревич О.Б., 2009 г.).
Результаты диссертационной работы внедрены в деятельность ЗАО "Кордон" при проведении работ по защите информации от технической утечки, в деятельность ОАО НКБ ВС при разработке средств защищенной связи и в учебный процесс Южного федерального университета при разработке учебных программ профильных дисциплин.
Публикации. По теме диссертации опубликовано 19 наименований, в том числе: 4 статьи в периодических научных изданиях, рекомендованных ВАК для публикации научных работ, отражающих основное научное содержание диссертации, 6 работ в периодических научных изданиях, 8 работ в материалах региональных, всероссийских и международных конфе- ренций и 1 депонированная рукопись. В работах, опубликованных в соавторстве, автору принадлежат следующие результаты: разработка программной модели криптоанализа криптосистемы Мак-Элиса на основе алгоритма Сидельникова-Шестакова [40]; построение компьютерной схемы анализа, экспериментальная оценка стойкости криптосистемы Мак-Элиса на основе обобщенных кодов Рида-Соломона [52]; разработка алгоритма локальной атаки посредством затравки ARP-кэша, программная реализация модуля, реализующего локальную атаку, и анализ существующих решений по защите от подобных атак в операционной системе Linux [74]; изложены особенности компьютерной схемы анализа стойкости криптосистемы Мак-Элиса на основе обобщенных кодов Рида-Соломона [43]; разработка модели обобщенной атаки на криптосистему Мак-Элиса на основе обобщенных кодов Рида-Соломона длины п = q — l,g,q+1 [42]; построение структуры программного обеспечения и разработка схемы проведения экспериментов [53]; в работе [44] научному руководителю В.М. Деундяку принадлежат обсуждения формулировок и доказательств основных результатов; в [51] автору принадлежит разработка структуры программного обеспечения и построение протокола применения программного модуля для защиты информации от утечки; в [41] автору принадлежит построенная общая модель криптоанализа криптосистемы Мак-Элиса на обобщенных кодах Рида-Соломона с длиной ключа п = q — 1, n = qnn = q + l, обоснование корректности модели, построение компьютерной реализации обобщенного криптоаналитического алгоритма и проведение экспериментов; в [63] автору принадлежит разработка схемы реализации модифицированного алгоритма Стройка-Тилбурга и ее реализация на кодах Габидулина.
Структура работы и объем диссертации. Работа состоит из введения, четырех глав, заключения и библиографического списка.
Способы противодействия технической утечке информации в информационно-телекоммуникационных сетях
Способы защиты информации от перехвата в канале передачи данных можно разделить на две группы: способы, основанные на ограничении физического доступа к передаваемому сообщению и способы, основанные на преобразовании сообщений к форме, исключающей (затрудняющей) для злоумышленника восприятие содержания передачи. Способы ограничения физического доступа к сообщению включают способы ограничения доступа к линии передачи, способы обнаружения подключения к линии передачи и способы противодействия утечке побочных излучений путем установки шумового барьера. Конкретная реализация защитных мер этой группы зависит от применяемой технологии передачи данных.
Способы второй группы защиты информации от перехвата в канале передачи направлены на обратимое изменение формы представления передаваемой информации. К обратимым преобразованиям относятся шифрование и скремблирование. Современные средства защиты информации от перехвата строятся на основе криптографических методов. Эффективность применения криптографических методов защиты информации обусловливается относительно низкой стоимостью реализации, возможностью интеграции со стандартными средствами передачи и хранения информации, возможностью создания систем с определенным уровнем безопасности. Современные криптографические методы реализуются двумя классами криптографических алгоритмов: симметричными и асимметричными.
Рассмотрим общую схему защиты информации в системах передачи данных. Эта схема показана на рис. 1.1. Как правило, защита информации от искажений в системах передачи данных реализуется на аппаратном уровне, а защита от перехвата - на уровне приложений. В ряде случаев, защита перехвата реализуется также на аппаратном уровне. На уровне приложений реализуются, как правило алгоритмы, необходимые конкретному приложению. Здесь могут быть реализованы как алгоритмы симметричного шифрования (такие как ГОСТ 28147-89, 3DES, AES), так и алгоритмы асимметричного шифрования (такие как ГОСТ, RSA, алгоритм Эль-Гамаля). На аппаратном уровне обычно реализуются алгоритмы защиты, которые необходимы для защиты всей передаваемой и получаемой информации. Аппаратная реализация алгоритмов существенно быстрее реализации на программном уровне. А так как алгоритмы симметричного шифрования применяются для защиты основной доли передаваемого трафика, то естественна их аппаратная реализация. Как показано на рис. 1.1, эта защита реализуется отдельным блоком, предшествующим в цепи прохождения информации блоку линейного кодирования. Алгоритмы асимметричного шифрования на аппаратном уровне реализуются редко. Примером аппаратной реализации алгоритмов симметричного шифрования является их реализация в устройствах беспроводных сенсорных сетей (Wireless Sensor Network) [27].
При разработке защищенных систем передачи данных особое внимание уделяется вопросу экономии энергии, потребляемой ими, и скорости работы средств защиты. К примеру, применение алгоритма RSA в режиме шифрования увеличивает потребляемую энергию агентов WSN-сети на 30% [27]. Поэтому с целью снижения потребляемой энергии и увеличения скорости обработки информации средствами защиты ведутся исследования новых алгоритмов в области защиты данных от перехвата в канале передачи.
Кроме этого, в ряде случаев, применение существующих методов крипто графической защиты не всегда оправдано. К примеру, в системах платного телевидения или радиовещания, где ие передается секретная информация, а шифрование применяется с целью предоставления доступа только легитимным подписчикам, достаточно было бы применять средства защиты, которые затрудняют целостное восприятие содержимого, хотя допускается частичный перехват данных. Для перехватчика извлеченная из перехваченных данных информация не будет представлять ценности, так как его целью является получение всего передаваемого содержимого: фильма, телевизионной передачи, песни и т.п.
Стоит отметить, что встраивание аппаратного модуля шифрования как в системы связи так и в системы хранения информации, увеличивает стоимость этих систем и стоимость их обслуживания. Например, встраивание аппаратного шифрования во флеш-накопители увеличивает стоимость носителя в 2-4 раза, при этом скорость обмена информацией между носителем и компьютером по USB-интерфейсу примерно в 10 меньше максимально возможной в настоящее время скорости по этому порту. Установка модуля шифрования в маршрутизатор увеличивает его стоимость на 20-30%, при этом также максимальная скорость работы модуля шифрования в 10 раз меньше максимальной скорости передачи по меди. При этом энергопотребление устройств увеличивается на 15-30%.
Естественно в системах связи использовать алгоритмы защиты от перехвата, основанные на линейном кодировании. Одним из явных преимуществ этого способа защиты является то, что модули, использующие линейные кодеки, уже имеются во многих системах связи, где данные передают через зашумленную среду. Это позволяет использовать возможности одного модуля как в целях защиты от искажений, так и в целях защиты от перехвата, либо же использовать однотипные модули для решения этих задач, что снижает стоимость систем передачи данных и стоимость их обслуживания. Для примера приведем сравнение криптосистем Мак-Элиса и RSA. Количество бинарных операций шифрования/ расшифрования для оригинальной криптосистемы Мак-Элиса с параметрами (2048,1608, 81) равно 220-5 и 223 соответственно. В тоже время аналогичные операции для криптосистемы RSA-2048 требуют 233 бинарных операций каждая. При этом стойкость этих систем к известным атакам практически одинакова. В то же время размер ключа криптосистемы RSA-2048 меньше соответсвующего ключа криптосистемы Мак-Элиса в 804 раза.
Верхняя оценка зависимости уровня понимания от уровня перехвата в WTc(e, Т)-канале
Для оценки эффективности метода кодового зашумления по сравнению с методом шифрования по известному ключу, необходимо зафиксировать параметры кодов Габидулина и слабоплотных кодов такие, которые обычно применяются на практике. Так, для слабоплотных кодов характерна длина более 1000 бит и информационная скорость 0,5 [100]. Однако, например, в оригинальной схеме защиты Озарова-Вайнера, корректирующая способность кодов не используется, так как предполагается, что главный канал не содержит ошибок, поэтому в этой схеме можно использовать слабоплотные коды с меньшими параметрами. Для кодов Габидулина наиболее хорошими исправляющими способностями обладают коды над полем i ie и i7 . Поэтому для сравнения с ГОСТ 28147-89 в случае оригинальной схемы Озарова-Вайнера выбран слабоплотный код длины 160 и размерности 64, а для сравнения с AES выбран слабоплотный код с длиной кода 320 и размерностью 128. Для сравнения в модифицированной схеме Озарова-Вайнера выбран код с хорошей исправляющей способностью длины 12006 и информационной скоростью 0,667 (размерность кода - 8000). Для сравнения характеристик схемы Озарова-Вайнера, а также модифицированной схемы Озарова-Вайнера на кодах Габидулина выбраны код Габидулина над полями i ie и i7 .
Для построения проверочных матриц слабоплотных (160,64)- и (320,128)-кодов выбрана базовая проверочная матрица /г.о(4). Для построения проверочной матрицы (160,64)- кода строится блочно-диагональная матрица вида (2.65) из 16 блоков /го(4); проверочная матрица (320,128)-кода строится из 32 таких блоков.
Для построения проверочной матрицы слабоплотного кода выберем матрицу /г.о(3), так как код с такой матрицей обладает информационной скоростью 0,5. Матрица /г.о(3) имеет 3 строки и 6 столбцов, поэтому, чтобы построить код длины порядка 8000, необходимо составить диагональную матрицу вида (2.65) из 1334 блоков. Будем обозначать проверочную матрицу такого вида как h{3,1334).
Пусть Vin/ - информационная скорость, N ej.jX8G (N perx86) - число микроопераций, необходимых для кодирования/шифрования (декодирования/расшифрования) данных на 32-битном процессоре Intel с архитектурой х86, iV orm (Л 0Г7П) - число микрооперций, выполняемых для кодирования/шифрования (декодирования/расшифрования) одного бита данных. В качестве конкретных величин, оценивающих время выполнения операций на микропроцессоре с архитектурой х86 выберем число микроопераций, требуемое для выполнения одной инструкции процессора. При этом, в зависимости от того, где находятся операнды - в памяти или в регистрах - зависит и количество микроопераций. В работе выбраны алгоритмы AES и ГОСТ 28147-89. В таблице 2.3 показано количество микроопераций для каждой инструкции процессора, задействованной в алгоритмах шифрования AES и ГОСТ 28147-89. Отметим, что для в качестве первичного материала для анализа были выбраны реализация алгоритма AES из библиотеки OpenSSL 3.0 и реализация алгоритма ГОСТ 28147-89 из книги Б. Шнайера [99].
Таким образом, для зашифрования или расшифрования 64 бит алгоритмом ГОСТ 28147-89 требуется порядка 2148 микроопераций, а для зашифрования или расшифрования 128 бит алгоритмом AES требуется порядка 2856 микроопераций на процессоре с архитектурой х86. Следовательно, KiJAES) = 22,31, а ЛГ т(ГОСТ28147 - 89) = 33, 56.
Для оценки сложности алгоритмов кодирования и декодирования линейных кодов Габидулина и слабоплотных кодов будем полагать, что все операнды машинных инструкций находятся в памяти (таким образом, число микроопераций одной операции увеличивается). Также будем полагать, что операции сложения и умножения в конечном поле реализуются комбинированным представлением элементов поля [50]. При комбинированном представлении элементов поля операция умножения элементов поля сводится к арифметическому сложению целых чисел в памяти и записи результата в ячейку памяти; а сложение элементов поля сводится к побитовому сложению целых чисел в памяти и записи результата в ячейку памяти. Таким образом, на процессоре с архитектурой х86 операция умножения элементов поля реализуется как поледовательность команд: "записать содержимое ячейки памяти в регистр" (1 микрооперация) - "сложить значение регистра и значение в ячейки памяти "(2 микрооперации) - "записать содержимое регистра в ячейку памяти" (1 микрооперация). Соответственно, сложение элементов поля выполняется последовательностью команд: "записать значение ячейки памяти в регистр"(1 микрооперация) - "побитово сложить значение регистра и ячейки памяти" (2 микрооперации) - "записать значение регистра в память" (1 микрооперация). Таким образом, с\ = 5, С2 = 5. Так как в 32-х разрядном процессоре с архитектурой х86 операции выполняются с над 32-битными словами, то сз = сі/32 « 0,156, с\ ра 0,156.
Для оценки сложности алгоритма Озарова-Вайнера, основанного на слабоплотных кодах, необходимо оценить сложность простого умножения двоичного вектора длины к на двоичную матрицу размерности к X п на процессоре с архитектурой х86. Каждый столбец такой матрицы, а также умножаемый вектор может быть представлен "&/32]-мя ячейками памяти. Тогда умножение вектора на один столбец реализуется как последовательность команд, повторенная [&/32] раз: "записать содержимое ячейки памяти в регистр"(1 микрооперация) - "выполнить побитовое умножение значения в регистре и значения в ячейке памяти"(2 микрооперации) - "проверить на четность количество единиц в регистре" (5 микроопераций) - "побитово прибавить значение четности к значению ячейки памяти"(4 микрооперации). Таким образом умножение двоичного вектора длины к на двоичную матрицу размерности к X п требует микроопераций процессора порядка:
Оценим сложность операций кодирования/шифрования (декодирования/расшифрования) для оригинальной схемы Озарова-Вайнера. Заметим, что в схеме Озарова-Вайнера декодер для исправления ошибок не задействован, а для восстановления информации (снятия кодового зашумления) выполняется операция умножения ма проверочную матрицу базового кода. Тогда нормированные показатели N orm и N orm для схемы защиты Озарова-Вайнера на базовых слабоплотных кодах вычисляются по формулам:
Сравнение характеристик кодовой криптосистемы Стройка-Тилбурга и ее модификации
Перехватчик проверяет каждый блок yj = Cj + ej на наличие ошибок путем умножения вектора yj(E F1) на проверочную матрицу кода С\. Отметим, что восстановление вектора ошибок для злоумышленника затруднено тем, что в блоке зашумления добавляются случайные вектора веса, большего чем половина кодового расстояния кода Сг-. Если в результате очередной проверки выясняется, что вектор yj содержит ошибки, то злоумышленнику либо придется подбирать вектор ошибок (что достаточно трудоемкая задача), либо считать, что этот символ стертый. При применении последней стратегии _n0-ej позиций перехваченного вектора кода С0 будет стерто. А так как код С0 является (Л, 5, р)-защитным, то уровень понимания перехватчиком закодированной информации будет не более 5.
Применение метода кодового зашумления для защиты информации от утечки в системах связи с псевдослучайной перестройкой рабочей частоты В системах с псевдослучайной перестройкой рабочей частоты (ППРЧ) можно выделить три уровня осведомленности перехат-чика о передаваемых данных: I - перехватчик не знает о сигналах, используемых в многоканальной системе связи, имеет предположения о диапазоне частот К, времени начала tH и времени конца tK передачи. II - перехватчик имеет сведения об используемых в многоканальной системе связи сигналах, о диапазоне частот К, времени начала tH и времени конца tK передачи. Однако значения этих характеристик известны с ошибками. III - перехватчик имеет сведения об используемых в многоканальной системе связи сигналах, о диапазоне частот К, времени начала tH и времени конца tK передачи. Перехватчиком обеспечивается синхронизация с передаваемым сигналом по времени и частоте. Однако перехватчику не известна частотно-временная матрица (ЧВМ) сигнала, т.е. нет сведений о том, какую позицию будет занимать в ЧВМ сигнал при последующем скачке частоты. Заметим, что перехватчик с третьим уровнем осведомленности является наиболее опасным с точки задачи защиты информации от технической утечки. Для затруднения извлечения информации из перехваченных данных, злоумышленником с третьим уровнем осведомленности предлагается перед передачей данных в канал кодировать их по схеме Озарова-Вайиера или модифицированной схеме.
Рассмотрим схему многоканальной системы на примере стандарта сотовой связи CDMA. В стандарте CDMA с частотным разделением для передачи сообщений между абонентской станцией (мобильным телефоном) и базовой станцией используются 55 частот, при этом частота передачи очередного символа меняется по псевдослучайному закону, известному только абонентской станции и базовой станции (см. рис. 2.7). Злоумышленник, намеревающийся перехватить информацию, в каждый момент времени вынужден прослушивать все 55 частот, чтобы зафиксировать наличие сигнала на одной из них. Если перехватчик располагает только одним сканером, то ему потребуется значительный временной ресурс, чтобы просканировать весь спектр частот, используемый для связи CDMA. При этом время сканирования всех 55 частот может быть значительно больше времени передачи одного символа сообщения. В таких условиях не гарантируется, что перехватчик в момент передачи очередного символа сможет зафиксировать наличие сигнала. Таким образом, после передачи всего сообщения перехватчик будет иметь не всю передаваемую последовательность символов, а только часть ее.
Если заранее известны возможности перехватчика (скорость идентификации сканером сигнала на фиксированной частоте, количество сканеров частот, используемых перехватчиком для прослушивания), то для защиты передаваемой информации может быть построена адаптивная система защиты без использования ключей шифрования. В такой системе передаваемые конфиденциальные сообщения (например, сессионные ключи шифрования) предлагается кодировать по схеме Озарова-Вайнера или по модифицированной схеме с помощью такого защитного кода, который с допустимой вероятностью защищал бы данные от перехвата. Рассмотрим простой пример, когда злоумышленник пытается прослушать разговор абонента CDMA-сети с частотным разделением. Предполагается, что алгоритм смены частот при передаче сообщений перехватчику неизвестен. Например, этого можно добиться, регулярно меняя на абонентской и базовой станции ключевую последовательность, задающую алгоритм смены частот при передаче сообщений (например, один раз в час). Далее предполагается, что злоумышленник, в силу некоторых обстоятельств, например, дороговизны оборудования, в каждый момент передачи очередного символа, может прослушивать не больше трети частот (например, 15 частот). Отметим, что стратегии прослушивания у перехватчика могут быть различными: в каждый момент времени случайно выбирать 15 частот и их прослушивать, либо же постоянно прослушивать одни и те же 15 частот. В нашем примере будем полагать, что злоумышленником применяется вторая стратегия, как наиболее простая. При таких начальных условиях и при условии равномерности распределения передаваемых символов по 55 частотам уровень перехвата равен є = /55 0,273. При уровне перехвата 0, 273 защитный код можно построить, например, на основе регулярных слабоплотных кодов со структурой (х, Xі), так как при перехвате менее трети данных эти коды обеспечивают нулевой уровень понимания (см. таблицу 2.1).
Отметим, что стратегии прослушивания каналов связи в многоканальных системах связи могут отличаться от приведенных выше. При построении адаптивных систем необходимо подбирать параметры базового кода таким образом, чтобы обеспечивалась приемлемая защита данных от перехвата с минимальными временными затратами на передачу сообщений, при этом должны приниматься во внимание различные стратегии прослушивания каналов. Реализация модели защиты информации в канале с псевдослучайной перестройкой рабочей частоты описана в [53] и [55]. Применение метода кодового зашумления для защиты информации от утечки в системах широкополосной радиосвязи
Системы широкополосной радиосвязи при определенных параметрах обладают высокой степенью энергетической скрытности [92], [94], [91]. При заданной вероятности р ошибки приема сигнала всегда можно добиться требуемого уровня энергетической скрытности, либо за счет применения более широкого диапазона частот для передачи сигнала, либо за счет уменьшения скорости передачи сигнала. Отметим, что требования к энергетической скрытности широкополосной передаче, высокой достоверности передачи и высокой скорости передачи информации являются противоречивыми [92]. Отметим также, что помимо энергетической скрытности различают параметрическую скрытность и информационную скрытность. Параметрическая скрытность означает скрытность параметров сигнала и обеспечивает факта наличия информации в данном сигнале. Информационная скрытность означает сокрытие информации. Приведем известные результаты из области изучения энергетической скрытности сигналов.
Компьютерная модель криптоанализа криптосистемы Мак-Элиса при п = q — 1,<7,q+ 1
В работе построена программная реализация кодека Габидулина и программно реализованы рассмотренные выше режимы работы системы защиты от перехвата в зашумленном канале на основе кодов Габидулина. Структурная схема модуля защиты показана на рис. 3.7. Входные и выходные данные этого модуля зависят от режимов его использования. Арифметический процессор над полями Галуа (АПГ) реализует все основные операции, производимые над элементами конечного поля Галуа: инициализация элемента, сложение двух элементов поля, вычитание одного элемента поля из другого, нахождение обратного элемента по сложению, умножение двух элементов поля, деление одного элемента на другой, нахождение обратного элемента по умножению, возведение в степень. Блок матричной и векторной арифметики (БМВА) реализует функции работы с векторами и матрицами над расширенным полем Галуа: инициализация матрицы, сложение двух матриц, вычитание из одной матрицы другой, нахождение обратной по сложению матрицы, умножение одной матрицы на другую, нахождение обратной матрицы, транспонирование матрицы, решение системы линейных уравнений для заданной матрицы, нахождение ранга матрицы над расширенным полем Галуа, нахождение ранга матрицы над базовым полем Галуа (количество линейно независимых столбцов), генерация проверочной матрицы рангового кода, нахождение порождающей матрицы кода по его проверочной матрице, сохранение матрицы в файл, загрузка матрицы из файла. Для выполнения операций над элементами поля данный блок использует функции арифметического процессора АПГ. Блок КДГ представляет собой кодек для кодов Габидулина. Этот блок на самом деле состоит из двух частей - кодера и декодера. Блок кодера выполняет одну функцию - по заданной порождающей матрице рангового кода преобразует последовательность информационных векторов в соответствующую последовательность кодовых слов. Декодер для ранговых кодов реализует функцию декодирования принятой последовательности кодовых слов. Блок кодека использует блоки АПГ и БМВА. Блок генерации и хранения ключей криптосистемы (БГХК) реализует функции генерации и харане-ния секретных ключей криптосистем на основе кодов Габидулина. При генерации ключей данный блок использует блок БМВА. Отметим, что на самом деле, генерация ключей осуществляется на отдельном устройстве с целью соблюдения принципа разделения секрета при использовании криптографических средств защиты информации. Блок шифрования/расшифрования БШР реализует функции зашифрования и расшифрования сообщения на секретном ключе. Алгоритм шифрования задается с помощью блока управления. Блок БШР использует функции блока БКГ для кодирования и декодирования сообщений, и функции из БМВА. Для взаимодействия с пользователем и координации работы вышеописанных блоков в различных режимах введен блок управления БУ.
Блоки, показанные на рис. 3.7, оформлены в виде самостоятельного программного средства - библиотеки. Блок управления выполнен в качестве отдельного программного средства, демонстрирующего возможности библиотеки и обеспечивающего пользовательский интерфейс. Для упрощения интерфейса пользователя (разделения функций линейного кодирования и декодирования, шифрования и расшифрования) созданы независимые программные средства для управления соответствующими блоками библиотеки.
Заметим, что к настоящему моменту известные модификации криптосистемы с открытым ключом на кодах Габидулина взломаны. Ранее предполагалось, что система Габидулина будет иметь достоточно высокий уровень стойкости (сравнимый со стойкостью оригинальной криптосистемы Мак-Элиса на кодах Гоппы) при объеме ключа 5 Кбит (k=12, n=N=20, t=3). Однако анализ криптосистемы Габидулина, про- веденный Гибсоном [14, 15], показал, что систему можно вскрыть по открытому ключу размера 10 — 20 Кбит. В дальнейшем криптосистема Габидулина была усовершенствована в работах [9, 8]. Однако модификации этой криптосистемы были взломаны в работах [24, 23, 25]. Таким образом, системы шифрования с открытым ключом на кодах Габидулина не обладают достаточной стойкостью, что ограничивает их применение на практике. В последней главе настоящей работы приведены результаты анализа криптосистем с открытым ключом на обобщенных кодах Рида-Соломона.
Комплексные системы защиты информации на основе линейного кодирования представляют интерес по следующим причинам: они не требуют больших вычислительных затрат и обладают, как правило, большой крип-тостойкостью. В настоящей работе разработан комбинированный способ защиты информации от технической утечки на основе линейных кодов (см. 3.8, 3.9). Под универсальностью здесь понимается возможность применения одного линейного кодека как для защиты от полной утечки информации, так и для защиты от частичной утечки.
Схема реализации 3.8 заключается в построении блока защиты от технической утечки (блок защиты от несанкционированного чтения информации) БЗ_НСЧ на основе блока линейного кодирования (блока защиты от помех) БЗ_ПОМ. Первый блок представляет собой расширяемый модуль, к которому можно добавлять дополнительные модули защиты. Этот блок осуществляет два вида защиты — шифрование на основе линейных кодов (блок БШ) и кодовое зашу мление (блок БЗ_ПЕР). В обоих блоках используются кодеки из базы линейных кодов БПК. Работа блока линейного кодирования БЗ_ПОМ основана на использовании базы схем линейного кодирования (СПК). Для это блока реализованы схемы линейного кодирования на ранговых кодах (кодах Габидулииа) и кодах в хэмминговой метрике (слабоплотных кодов, кодов Рида-Солом он а, кодов Рида-Маллсра и случайных двоичных кодов).
В качестве алгоритмов асимметричного шифрования в базе ААІІІ возможно использование криптосистем Мак-Элиса, Нидсррайтера, Габидулииа, Си-дельникова, в основе которых лежат линейные коды. В модели реализована криптосистема с открытым ключом на кодах Габидулииа. В блоке симметричного шифрования АСШ предусмотрено использование алгоритмов симметричного шифрования на линейный кодах. В модели реализованы схемы защиты по оригинальному алгоритму Строй ка-Ти л бурга на ранговых кодах, кодах Рида-Маллера и случайных двоичных кодах; модифицированный алгоритм Стройка-Тилбурга реализован для ранговых кодов. В блоке защиты от перехвата БЗ_ПЕР предусмотрено использование алгоритмов построения защитных кодов. Для данного блока реализованы схемы защиты по алгоритму Озарова-Вайнера и модифицированному алгоритму Озарова-Вайнера для ранговых кодов, кодов Рида-Соломона, кодов Рида-Маллера, слабоплотных кодов и случайных кодов.
