Размещено на http://www.allbest.ru/

Математико-алгоритмические методы криптозащиты

1. Математическое описание системы криптозащиты RSA и DES

1.1 Алгоритм DES (Data Encryption Standard)

Алгоритм DES представляет собой блочный шифр, предназначенный для шифрования данных 64-битовыми блоками. На вход алгоритма поступает 64-битовый блок открытого текста, на выход выдается 64-битовый блок шифртекста. Длина ключа равна 56 бит. (Ключ обычно представляется 64-битовым числом, но каждый восьмой бит используется для контроля по четности и игнорируется. Биты четности - наименьшие значащие биты в байтах ключа). Ключ, которым может служить любое 56-битовое число, можно изменить в любой момент времени. Секретность всецело определяется ключом. Ряд чисел полагаются слабыми ключами, но их можно легко избежать. На простейшем уровне алгоритм представляет комбинацию двух основных методов шифрования: рассеивания и перемешивания. Раундом DES является применение к тексту единичной комбинации этих методов (подстановка, а за ней - перестановка), зависящей от ключа. DES включает 16 раундов, одна и та же комбинация методов применяется к открытому тексту 16 раз. В алгоритме используется только стандартная арифметика и логические операции над 64-битовыми числами, поэтому он без труда реализовывался в аппаратуре второй половины семидесятых годов. Изобилие повторений в алгоритме делает его идеальным для реализации специализированными микросхемами. Первоначальные программные реализации были довольно медленны, но современные программы намного лучше.

DES оперирует 64-битовым блоком открытого текста. После первоначальной перестановки блок разбивается на правую и левую половины длиной по 32 бита. Затем выполняется 16 раундов одинаковых действий, называемых функцией f, в которых данные объединяются с ключом. После шестнадцатого раунда правая и левая половины объединяются, и алгоритм завершается заключительной перестановкой (обратной к первоначальной).

Рис. 1. Алгоритм DES

На каждом раунде (см. рис. 2) биты ключа сдвигаются, а затем из 56 битов ключа выбираются 48 битов. Правая половина данных увеличивается до 48 битов путем перестановки с расширением, складывается операцией XOR с 48 битами смещенного и переставленного ключа, проходит через 8 S-блоков, образуя 32 новых бита, и переставляется снова. Эти четыре операции и выполняются функцией f. Затем результат исполнения функции f складывается с левой половиной с помощью еще одной операции XOR. В итоге этих действий появляется новая правая половина, а старая правая половина становится новой левой. Эти действия повторяются 16 раз, образуя 16 раундов алгоритма DES.

Рис. 2. Один раунд DES

Если обозначить B_i результат i-ой итерации, L_i и R_i - левую и правую половины, B_i, К_i - 48-битовый ключ для раунда i, a f - функцию, выполняющую все подстановки, перестановки и операции XOR с ключом, то раунд можно представить так:

Начальная перестановка выполняется над входным блоком еще до раунда 1 и задается фиксированной таблицей перестановки.

Таблица 1. Начальная перестановка DES

Начальная перестановка и соответствующая заключительная перестановка не влияют на стойкость алгоритма DES. (Как нетрудно заметить, эта перестановка в основном служит для облегчения побайтовой загрузки данных открытого текста и шифртекста в микросхему DES). Так как программная реализация этой многобитовой перестановки трудна (в отличие от тривиальной аппаратной), во многих программных реализациях DES начальная и заключительные перестановки не используются. В принципе, такой алгоритм не менее стоек, чем DES, однако не соответствует стандарту DES, а поэтому не может называться DES.

Первоначально 64-битовый ключ DES сокращается до 56-битового ключа отбрасыванием каждого восьмого бита. Эти биты используются только для контроля четности, позволяя проверять отсутствие в ключе ошибок. После извлечения 56-битового ключа, для каждого из 16 раундов DES генерируется новый 48-битовый подключ. Эти подключи K_i определяются следующим образом: 56-битовый ключ делится на две 28-битовые половины, каждая из которых сдвигаются на 1 или 2 бита в зависимости от номера раунда.

1.2 Алгоритм Generalized DES

Обобщенный алгоритм DES (Generalized DES - GDES) спроектирован для ускорения исполнения DES и повышения устойчивости алгоритма. Общий размер блока увеличился, а объем вычислений остался неизменным.

На рис. 3 показана блочная схема алгоритма GDES. Алгоритм GDES работает с блоками открытого текста переменной длины. Блоки шифрования делятся на q 32-битовых подблоков, точное число которых зависит от полного размера блока (который, по идее, может меняться, но фиксирован для конкретной реализации). В общем случае q равно размеру блока, деленному на 32.

Функция f рассчитывается один раз для каждого раунда для крайнего правого блока. Результат с помощью операции XOR объединяется со всеми остальными частями, которые затем циклически смещаются направо. Алгоритм GDES использует переменное число раундов n. В последний раунд внесено незначительное изменение, с тем, чтобы процессы зашифрования и расшифрования отличались только порядком применения подключей (точно так же, как в DES). При q = 2 и n = 16, описанный алгоритм превращается в DES.

Рис. 3. Блочная схема алгоритма GDES

Однако дифференциальный криптоанализ вскрывает GDES с q = 8 и n = 16 с помощью всего 6 подобранных открытых текстов. При использовании независимых подключей требуются 16 подобранных открытых текстов. Поэтому, несмотря на повышение скорости, проявилось катастрофическое снижение стойкости алгоритма.

1.3 Алгоритм NewDES

Алгоритм NewDES («новый DES») спроектирован в 1985 году Робертом Скоттом как возможная замена DES. Этот алгоритм - не модификация DES, как может показаться из названия. Он оперирует 64-битовыми блоками текста, но использует 120-битовый ключ. NewDES проще DES, в нем нет начальной и заключительной перестановок. Все операции выполняются над целыми байтами. Блок открытого текста разделяется на восемь 1-байтовых подблоков: В0, В1.., В6, B7. Затем подблоки проходят через 17 раундов. Каждый раунд состоит из восьми этапов. На каждом этапе один из подблоков подвергается операции XOR с частью ключа (за одним исключением), заменяется другим байтом с помощью функции f, подвергается операции XOR с другим подблоком, который и заменяется результатом. 120-битовый ключ делится на 15 подблоков ключа. К0, К1,..., К13, К14. Алгоритм шифрования NewDES показан на рис. 4.

Рис. 4. Схема NewDES

Уже после седьмого раунда каждый бит блока открытого текста влияет на каждый бит шифртекста. Но в целом NewDES гораздо слабее DES.

1.4 Алогритм RSA

Алгоритм RSA предполагает, что посланное закодированное сообщение может быть прочитано адресатом и только им. В этом алгоритме используется два ключа открытый и секретный. Данный алгоритм привлекателен также в случае, когда большое число субъектов (N) должно общаться по схеме все-со-всеми. В случае симметричной схемы шифрования каждый из субъектов каким-то образом должен доставить свои ключи всем остальным участникам обмена, при этом суммарное число используемых ключей будет достаточно велико при большом значении N. Применение асимметричного алгоритма требует лишь рассылки открытых ключей всеми участниками, суммарное число ключей равно N.

Сообщение представляется в виде числа M. Шифрование осуществляется с помощью общедоступной функции f(M), и только адресату известно, как выполнить операцию f^-1. Адресат выбирает два больших простых (prime) числа p и q, которые делает секретными. Он объявляет n=pq и число d, c (d,p-1)=(d,q-1)=1 (один из возможных способов выполнить это условие, выбрать d больше чем p/2 и q/2). Шифрование производится по формуле:

f(M) ? M^d mod n,

где M и f(M) оба ? n-1, как было показано, может быть вычислено за разумное время, даже если M, d и n содержит весьма большое число знаков. Адресат вычисляет M на основе M^d, используя свое знание p и q. Если dc ?_(p-1)1, то (M^d)^e? _p1.

Исходный текст M получается адресатом из зашифрованного F(M) путем преобразования: M = (F(M))^e (mod pq). Здесь как исходный текст, так и зашифрованный рассматриваются как длинные двоичные числа.

Аналогично (M^d)^e ? _qM, если dc ? _(q-1)1. e удовлетворяет этим двум условиям, если cd ? _{(p-1) (q-1)}1. Теорема 1 гласит, что мы можем позволить e=x, когда x является решением уравнения dx + (p-1)(q-1)y = 1.

Так как (M^d)^e делимо на p и q, оно делимо и на pq, следовательно, мы можем определить M, зная M^d, вычислив его значение в степени e и определив остаток от деления на pq. Для соблюдения секретности важно, чтобы, зная n, было нельзя вычислить p и q. Если n содержит 100 цифр, подбор шифра связан с перебором ~10⁵⁰ комбинаций. Данная проблема изучается уже около 100 лет. RSA-алгоритм запатентован (20 сентября 1983, действует до 2000 года).

Теоретически можно предположить, что возможно выполнение операции f^-1, не вычисляя p и q. Но в любом случае задача эта не проста и разработчики считают ее трудно факторизуемой.

Предположим, что мы имеем зашифрованный текст f(M) и исходный текст M, и мы хотим найти значения p и q. Нетрудно показать, что таких исходных данных для решения задачи недостаточно адо знать все возможные значения M_i.

Проясним использование алгоритма RSA на конкретном примере. Выбираем два простые числа p=7; q=17 (на практике эти числа во много раз длиннее). В этом случае n = p*q будет равно 119. Теперь необходимо выбрать e, выбираем e=5. Следующий шаг связан с формированием числа d так, чтобы d*e=1 mod [(p-1)(q-1)]. d=77 (использован расширенный алгоритм Эвклида). d екретный ключ, а e и n характеризуют открытый ключ. Пусть текст, который нам нужно зашифровать представляется M=19. С = M^emod n. Получаем зашифрованный текст C=66. Этот екстожет быть послан соответствующему адресату. Получатель дешифрует полученное сообщение, используя М= C^dmod n и C=66. В результате получатся M=19.

На практике общедоступные ключи могут помещаться в специальную базу данных. При необходимости послать партнеру зашифрованное сообщение можно сделать сначала запрос его открытого ключа. Получив его, можно запустить программу шифрации, а результат ее работы послать адресату. На использовании общедоступных ключей базируется и так называемая электронная подпись, которая позволяет однозначно идентифицировать отправителя. Сходные средства могут применяться для предотвращения внесения каких-либо корректив в сообщение на пути от отправителя к получателю. Быстродействующие аппаратные 512-битовые модули могут обеспечить скорость шифрования на уровне 64 кбит в сек. Готовятся ИС, способные выполнять такие операции со скоростью 1 Мбайт/сек. Разумный выбор параметра e позволяет заметно ускорить реализацию алгоритма.

2. Исследование алгоритмов криптозащиты

1. Анализ на основе только шифртекста - аналитик знает механизм шифрования и ему доступен только шифртекст размером n, что соответствует модели внешнего нарушителя, который имеет физический доступ к линии связи;

2. Анализ на основе заданного открытого текста - криптоаналитику известен шифртекст и та или иная доля исходной информации, а в частных случаях и соответствие между шифртекстом и исходным текстом, т.е. аналитик располагает зашифрованным сообщением размером n и соответствующим ему открытым текстом. Такая атака возможна при шифровании стандартных документов, подготавливаемых по стандартным формам, когда определенные блоки данных повторяются и известны;

3. Анализ на основе произвольно выбранного открытого текста - криптоаналитик может ввести специально подобранный им текст в шифрующее устройство и получить криптограмму, образованную под управлением секретного ключа, т.е. в распоряжении аналитика есть возможность получить результат зашифрования для произвольно выбранного им массива открытых данных размером n, что соответствует модели внутреннего нарушителя, когда в атаку на шифр вовлекаются лица, которые не знают секретного ключа, но в соответствии со своими служебными полномочиями имеют доступ к устройству шифрования;

4. Анализ на основе произвольно выбранного шифртекста- противник имеет возможность подставлять для дешифрования фиктивные шифртексты, которые выбираются специальным образом, чтобы по полученным на выходе дешифратора текстам он мог с минимальной трудоемкостью вычислить ключ шифрования, т.е. в распоряжении аналитика есть возможность получить результат расшифрования для произвольно выбранного им зашифрованного сообщения размером n, что соответствует доступу к устройству дешифрования;

5. Атака на основе адаптивных текстов - атакующий многократно подставляет тексты для шифрования (или дешифрования), причем каждую новую порцию данных выбирают в зависимости от полученного результата преобразования предыдущей порции.

Средний объем работы W(N), необходимый для определения ключа по криптограмме, состоящей из N букв, измеренный в элементарных операциях называется рабочей характеристикой шифра. Это значение берется как среднее по всем ключам и всем сообщениям с соответствующими им вероятностями [3, 4].

Нижние границы трудоемкости достигаются при некоторых конечных значениях параметра N, потому что при его неограниченном увеличении трудоемкость анализа будет стремиться к некоторому пределу, называемому достигнутой оценкой рабочей характеристики. Как отмечено в [4], для несовершенных шифров не существует способа получить точное значение трудоемкости анализа, все оценки базируются на проверках устойчивости шифров к известным на текущий момент видам криптоанализа, и нет гарантии, что в ближайшем или более отдаленном будущем не будут разработаны новые методы анализа, существенно ее снижающие. Поэтому стойкость несовершенных шифров обосновывается эмпирически как устойчивость к известным на сегодняшний день видам криптоанализа.

В настоящее время в криптоанализе выделяют следующие основные методы:

1. Полный перебор возможных ключей;

2. Частотный анализ;

3. Дифференциальный метод;

4. Линейный метод.

Полный перебор возможных ключей

При криптоанализе с известным исходным текстом, который является наиболее актуальным, единственным опубликованным применяемым методом остается полный перебор ключей. Основным недостатком данного метода является экспоненциальная зависимость времени криптоанализа от длины ключа, поэтому, из-за большой трудоемкости этот метод выбран в качестве верхней границы при оценке криптостойкости шифра - если задачу взлома шифра можно решить только методом полного перебора, реализация которого будет неприемлема по финансовым или временным соображением, то данный шифр считается стойким. Также этот метод используется для оценки эффективности других алгоритмов криптоанализа - все остальные методы должны обеспечивать значительно меньшую трудоемкость.

Существуют оптимизации этого метода, связанные с использованием словарных атак [1, 2]. Идея базируется на том, что отправитель сообщения предпочтет использовать легко запоминаемую ключевую последовательность в отличие от полностью случайной. Поэтому в первую очередь необходимо опробовать наиболее вероятные ключи (и их комбинации) из словаря, что может существенно сократить трудоемкость вскрытия шифра. Практические исследования показали высокую эффективность такого подхода.

Частотный анализ

Частотный анализ учитывает частотные характеристики текстов на реальных языках, обладающих большой избыточностью и наличием устойчивых частот сочетаний символов (k-грамм и словоформ языка). Принцип метода состоит в подсчете частот символов в криптограмме и сравнение с вычисленными частотами для модели открытого текста. Достоинством метода является возможность использования для шифров с различающимися алфавитами для открытого текста и криптограммы. Для построения математической модели открытого текста используется построение частотных характеристик открытых текстов, вычисленных с необходимой точностью при исследовании текстов достаточной длины.

Открытый текст рассматривается как реализация стационарного эргодического случайного процесса с дискретным временем и конечным числом состояний и модель представляет собой однородную цепь Маркова [3]. Более высокий порядок приближения соответствует более связному тексту, получаемому на выходе модели. Критерии распознавания строятся либо на основе стандартных методов различения статистических гипотез, либо на основе запретных k-грамм (некоторые редко встречающиеся k-граммы объявляются запретными и их присутствие в получаемом тексте означает получение "бессмысленной" последовательности знаков). При использовании специальных алфавитов (для нетекстовой информации) требуется построение новых формализованных критериев на открытый текст, учитывающих специфику формирования входной последовательности, что само по себе является сложной задачей, связанной с дополнительными исследованиями. Построение критериев для языка, характеризующегося отсутствием статистических зависимостей (равномерным распределением вероятностей появления символов), является практически неразрешимой задачей.

Дифференциальный метод криптоанализа

Дифференциальный криптоанализ (ДКА) - это попытка вскрытия секретного ключа блочных шифров, которые основаны на повторном применении криптографически слабой цифровой операции шифрования (раундовой функции) r раз. При анализе предполагается, что на каждом цикле используется свой подключ шифрования. ДКА может использовать как выбранные, так и известные открытые тексты. Успех таких попыток вскрытия r-циклического шифра зависит от существования дифференциалов (r-1)-го цикла, которые имеют большую вероятность. Идея метода состоит в поиске дифференциалов для последнего цикла, на основании которых можно определить цикловой подключ, после чего процедура повторяется. Отличительной чертой дифференциального анализа является то, что он практически не использует алгебраические свойства шифра (линейность, аффинность, транзитивность, замкнутость и т.п.), а основан лишь на неравномерности распределения вероятности дифференциалов.

Линейный метод криптоанализа

Метод предполагает, что криптоаналитик знает открытые и соответствующие зашифрованные тексты. Обычно при шифровании используется сложение по модулю 2 текста с ключом и операции рассеивания и перемешивания. Метод основан на поиске наилучшей линейной аппроксимации (после всех циклов шифрования) для выражения, описывающего выход шифра, после чего для нахождения каждого бита собственно ключа необходимо решить систему линейных уравнений для известных линейных комбинаций этих бит, но эта процедура не представляет сложности, так как сложность решения системы линейных уравнений описывается полиномом не более третьей степени от длины ключа.

Автоматизация методов криптоанализа для перебора ключей при помощи ЭВМ требует создания адекватной математической модели открытого текста для оценки получаемых результатов. Во многом успех криптоанализа основывается на избыточности открытых текстов на реальных языках [1, 2, 4]. Поэтому перед шифрованием данные целесообразно подвергать преобразованию, уменьшающему избыточность, в качестве которого может выступать сжатие информации. Преимущества использования сжатия перед шифрованием, помимо уменьшения избыточности, позволяет ускорить процесс шифрования, занимающий много времени, за счет сокращения объема открытых данных.

Рис. 2.2. Зависимость быстродействия алгоритмов от числа тактов процессора, необходимых для выполнения операции пересылки t (m=13, r=3).

Рис. 2.3. Зависимость быстродействия алгоритмов от числа тактов процессора, необходимых для выполнения операции умножения m (для t=1, r=3).

Как при шифровании/дешифровании, так и при создании и проверке подписи алгоритм RSA по существу состоит из возведения в степень, которое выполняется как ряд умножений.

В практических приложениях для открытого ключа обычно выбирается относительно небольшой показатель, а зачастую группы пользователей используют один и тот же открытый показатель, но каждый с различным модулем. (Если открытый показатель неизменен, вводятся некоторые ограничения на главные делители (факторы) модуля.) При этом шифрование данных идет быстрее, чем расшифровка, а проверка подписи - быстрее, чем подписание. Если k - количество битов в модуле, то в обычно используемых для RSA алгоритмах количество шагов необходимых для выполнения операции с открытым ключом пропорционально второй степени k, количество шагов для операций частного ключа - третьей степени k, количество шагов для операции создания ключей - четвертой степени k.

Методы "быстрого умножения" - например, методы основанные на Быстром Преобразовании Фурье (FFT - Fast Fourier Transform) - выполняются меньшим количеством шагов; тем не менее они не получили широкого распространения из-за сложности программного обеспечения, а также потому, что с типичными размерами ключей они фактически работают медленнее. Однако производительность и эффективность приложений и оборудования, реализующих алгоритм RSA быстро увеличиваются.

Алгоритм RSA намного медленнее, чем DES и другие алгоритмы блокового шифрования. Программная реализация DES работает быстрее, по крайней мере, в 100 раз и от 1,000 до 10,000 - в аппаратной реализации (в зависимости от конкретного устройства). Благодаря ведущимся разработкам, работа алгоритма RSA, вероятно, ускорится, но аналогично ускорится и работа алгоритмов блочного шифрования.

3. Оценка эффективности алгоритмов криптозащиты с использованием программной реализации