Авторефераты по всем темам  >>  Авторефераты по техническим специальностям

На правах рукописи

Молдовян Дмитрий Николаевич

РАСШИРЕНИЕ ФУНКЦИОНАЛЬНОСТИ АЛГОРИТМОВ АУТЕНТИФИКАЦИИ И МЕХАНИЗМЫ ЗАЩИТЫ ИНФОРМАЦИИ НАД КОНЕЧНЫМИ ГРУППАМИ ВЕКТОРОВ

Специальность: 05.13.19 Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2012

Работа выполнена на кафедре автоматизированных систем обработки информации и управления Санкт-Петербургского государственного электротехнического университета ФЛЭТИФ им. В.И.Ульянова (Ленина)

Научный консультант: Академик Российской академии образования доктор технических наук, профессор Советов Борис Яковлевич

Официальные оппоненты: доктор технических наук, профессор Воробьев Владимир Иванович доктор технических наук, профессор Максимов Роман Викторович

Ведущая организация: Санкт-Петербургский государственный университет водных коммуникаций

Защита диссертации состоится У___Ф июня 2012 г. в на заседании совета по защите докторских и кандидатских диссертаций Д 002.199.01 Санкт-Петербургского института информатики и автоматизации РАН по адресу: 199178, Россия, Санкт-Петербург, 14 линия, дом 39.

С диссертацией можно ознакомиться в библиотеке СПИИРАН Автореферат разослан У___Ф мая 2012 г.

Ученый секретарь диссертационного совета Д 002.199.01 Нестерук Ф. Г.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации. В настоящее время информационные технологии (ИТ) широко используют компьютерную обработку, хранение и передачу информации в компьютерных сетях, построенных с использованием скоростных телекоммуникационных каналов. Широко применяются ИТ практически во всех областях общественной деятельности - управленческой, экономической, финансовой, производственной, дипломатической, военной. Во многих случаях обеспечение информационной безопасности имеет критическое значение, что обусловливает необходимость применения механизмов аутентификации, защиты и контроля целостности информации и непрерывного их совершенствования. Проблема защиты ИТ связана с задачами обеспечения доступности информационных ресурсов, аутентичности, целостности и конфиденциальности информации. Эта проблема решается на основе комплексного подхода и с применением различных средств и механизмов.

Алгоритмические средства защиты ИТ, базирующиеся на современной криптографии являются гибкими и эффективными, а также лежат в основе ИТ, связанных с обработкой юридически значимых документов и сообщений.

Основными требованиями к криптографическим алгоритмам и протоколам, используемым в качестве алгоритмических механизмов защиты информации являются их стойкость и безопасность, которые определяются лежащими в их основе вычислительно трудными задачами и уровнем развития теории, методов и алгоритмов решения задач данного типа. Наиболее широко применяемые криптографические схемы (алгоритмы и протоколы) имеют практическую стойкость и безопасность, т. е. их применение основано на экспертных оценках. Развитие алгоритмов решения трудных задач и вычислительной техники делает крайне актуальным выполнение периодических оценок стойкости и безопасности алгоритмических механизмов защиты информации с учетом новых достижений теории и нового уровня вычислительной техники. При этом к алгоритмическим механизмам предъявляются и технологические требования, состоящие в удобстве встраивания в программные и технические средства защиты информации, высокого быстродействия и достаточно низкой стоимости аппаратной реализации. Это обусловливает актуальность развития алгоритмических средств обеспечения информационной безопасности. Ожидание появления практически действующих квантовых компьютеров заставило разработчиков таких средств обратиться к поиску новых трудных задач в качестве криптографических примитивов, для которых не известны эффективные методы решения с использованием квантовых вычислителей. Значительное число исследований в этой области связано с использованием трудных задач, формулируемых над некоммутативными группами. Недавно был предложен подход к заданию конечных групп векторов и их применению при разработке криптографических схем. В основе этого подхода лежит идея использовать возможность эффективного распараллеливания групповой операции, за счет чего может быть обеспечено повышение производительности алгоритмов защиты информации. Однако для синтеза криптосхем на основе конечных групп векторов требуется найти подходы к построению конечных групп векторов различных типов, включая некоммутативные группы векторов, изучению их строения и особенностей их использования при разработке алгоритмов шифрования, электронной цифровой подписи (ЭЦП) и открытого распределения ключей.

Другим важным аспектом практического применения алгоритмов аутентификации является принципиальная возможность придания специальных свойств алгоритмам аутентификации информации, т.е. расширение функциональности последних. Это позволяет сократить время выполнения специальных процедур и уменьшить количество и суммарный объем вспомогательной информации при решении специальных практических задач, связанных с аутентификацией.

В связи с ранее сказанным, тема диссертационного исследования, связанная с расширением функциональности алгоритмов аутентификации информации и развитием алгоритмических механизмов защиты информации на основе применения конечных групп векторов и исследованием как самих групп векторов, так и криптосхем на их основе представляется актуальной и своевременной.

Цель диссертационного исследования состоит в повышении производительности, уровня безопасности и расширение функциональности механизмов алгоритмической защиты информации. Для достижения данной цели исследуются и применяются конечные группы векторов, а также разрабатываются механизмы аутентификации информации, взлом которых требует одновременного решения трудных задач факторизации и дискретного логарифмирования.

Задачами диссертационного исследования являются разработка способов задания конечных коммутативных и некоммутативных групп векторов с вычислительно эффективной групповой операцией, анализ их строения, оценка стойкости криптосхем, синтезируемых на их основе, и разработка алгоритмов аутентификации информации с расширенной функциональностью.

Для достижения поставленной цели в ходе выполнения диссертационных исследований решались следующие частные задачи:

1) разработка способов задания коммутативных конечных групп векторов различной размерности;

2) разработка способов задания некоммутативных конечных групп векторов различной размерности;

3) исследование строения конечных групп векторов различной размерности и связи строения со способом их задания;

4) синтез криптосхем на основе конечных групп векторов;

5) оценка стойкости синтезируемых криптосхем;

6) разработка схемы коллективной электронной цифровой подписи (ЭЦП) с восстановлением сообщения;

7) разработка схемы слепой ЭЦП с восстановлением сообщения, основанной на сложности задачи дискретного логарифмирования;

8) разработка схемы слепой ЭЦП, взлом которой требует одновременного решения задачи факторизации и дискретного логарифмирования.

Методы исследования. При выполнении диссертационного исследования использованы аппарат и методы теории вероятности, алгебры, теории чисел, теории сложности и криптографии.

Объектом исследования являются системы и средства защиты и аутентификации информации в информационно-коммуникационных технологиях.

Предметом исследования являются механизмы, примитивы, алгоритмы и протоколы криптографической защиты и аутентификации информации в средствах и системах информационной безопасности.

Основные положения, выносимые на защиту:

1. Схема слепой электронной цифровой подписи (ЭЦП), основанная на вычислительно трудных задачах факторизации и дискретного логарифмирования.

2. Схема открытого распределения ключей на основе трудности задачи дискретного логарифмирования в скрытой подгруппе.

3. Алгоритм коммутативного шифрования.

4. Протокол коллективной ЭЦП с восстановлением сообщения.

Научная новизна:

1. Схема слепой электронной цифровой подписи (ЭЦП), основанная на вычислительно трудных задачах факторизации и дискретного логарифмирования, отличающаяся тем, что для ее взлома требуется одновременно решить обе указанные задачи, благодаря чему повышается уровень безопасности схемы.

2. Схема открытого распределения ключей над задачей скрытого дискретного логарифмирования в конечных некоммутативных группах, отличающаяся использованием групп векторов и заданием коммутативной подгруппы как множества степеней элемента достаточно большого простого порядка, благодаря чему уменьшается время формирования общего секретного ключа двух удаленных абонентов.

3. Алгоритм коммутативного шифрования, отличающийся использованием конечных полей, заданных в явной векторной форме, благодаря чему обеспечивается эффективное распараллеливание операции умножения и повышение быстродействия алгоритма.

4. Протокол коллективной ЭЦП с восстановлением сообщения, отличающийся использованием задачи дискретного логарифмирования на эллиптической кривой, благодаря чему обеспечивается уменьшение размера ЭЦП и повышение быстродействия протокола.

Обоснованность и достоверность научных положений обеспечены математическими доказательствами сформулированных утверждений и корректности предложенных схем аутентификации, результатами вычислительных экспериментов, апробацией основных теоретических результатов в печатных трудах и докладах конференций, а также анализом состояния исследований в данной области на сегодняшний день.

Практическая ценность работы. Протоколы электронной цифровой подписи и алгоритм коммутативного шифрования, разработанные в данной диссертационной работе, обеспечивают повышение быстродействия и безопасности механизмов аутентификации информации.

Реализация результатов. Результаты диссертационной работы внедрены в учебный процесс СПбГЭТУ при преподавании дисциплин Теоретические основы криптографии, Криптографические методы защиты информации и Криптографические протоколы на кафедре Автоматизированных систем обработки информации и управления.

Апробация результатов работы. Основные положения и результаты диссертационной работы представлялись на V международной конференции Mathematical Methods, Models, and Architectures for Computer Network Security, MMM-ANCS 2010 (Санкт-Петербург, 8-11 сентября 2010 г.); всеармейской научно-практической конференции Инновационная деятельность в Вооруженных силах Российской Федерации (Санкт-Петербург, 25-26 ноября 2010; 24-25 ноября 2011); VI Санкт-Петербургская межрегиональная конференция Информационная безопасность регионов России (ИБРР-2009) (Санкт-Петербург, 28-30 октября).

Публикации. Основные результаты диссертации изложен в публикациях, в том числе, в 12 статьях, из которых 11 опубликованы в ведущих рецензируемых журналах, входящих в перечень ВАК, в 1 докладе на международной конференции и 3 докладах на российских конференциях. По результатам исследования получен 1 патент.

Структура и объем работы. Диссертационная работа изложена на 1машинописных страницах, включает введение, 4 главы, заключение и список литературы (52 наименования).

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована своевременность и актуальность темы диссертации, сформулированы цели исследования и решаемые задачи, определена научная новизна и приведено краткое содержание работы по главам.

В первой главе диссертации рассмотрены алгоритмы и протоколы криптографии с открытым ключом, обеспечивающие возможность аутентификации электронной информации и ее источника. Рассмотрены известные трудные задачи, используемые для построения алгоритмов и протоколов электронной цифровой подписи (ЭЦП). Отмечается интерес к построению криптографических алгоритмов и протоколов с использованием некоммутативных конечных групп и трудных задач, связанных с такими группами. Одной из проблем использования некоммутативных групп для синтеза криптосхем является поиск таких групп, в котрых групповая операция имела бы достаточную вычислительную эффективность. Перспективными представляются конечные мультипликативные группы векторов, задаваемые над конечными полями. Группы такого типа изучены для малых значений размерности векторов и для коммутативного случая. Представлены известные результаты по заданию конечных коммутативных групп двухмерных и трехмерных векторов и формулируются задачи диссертационного исследования.

Во второй главе рассматриваются способы задания коммутативных и некоммутативных конечных групп многомерных векторов с операцией умножения векторов как групповой операцией. Для задания операции умножения векторы (a1, a2, Е, am), в которых координатами являются элементы конечного поля GF(p), представляются в виде суммы одномерных векторов (компонентов): a1e + a2i + Е + amw, где e, i, Е, w - формальные базисные векторы. Операция умножения векторов определяется по правилу покомпонентного перемножения. Это сводит определение результата умножения векторов a1e + a2i + Е + amw и b1e + b2i + Е + bmw к определению результата умножения однокомпонентных векторов вида aivi и bjvj, где vi,vj {e, i, Е, w}. Таким образом следует определить результат произведения aivi bjvj. По определению принимаем aivi bjvj = aibj(vi vj), где произведение в последней скобке берется из специально определяемой таблицы умножения базисных векторов (ТУБВ). Пусть из ТУБВ имеем vi vj = vk, тогда aivi bjvj = aibj(vi vj) = aibj( vk) = (aibj )vk. С помощью ТУБВ можно определить результат умножения любых двух однокомпонентных векторов, например, a1e + a2i + Е + amw и b1e + b2i + Е + bmw:

(a1e + a2i + Е + amw) (b1e + b2i + Е + bmw) = = a1b1(e e) + a1b2(e i) + Е+ a1bm(e w) + a2b1(i e) + a2b2(i i) + Е + a2bm(i j) + Е + amb1(w e) + amb2(w i) + Е + ambm(w w), где произведения всех возможных пар базисных векторов заменяются по ТУБВ на однокомпонентные векторы. Суммирование всех однокомпонентных векторов дает некоторый m-компонентный вектор, являющийся результатом умножения. Ассоциативность операции умножения достигается выбором ТУБВ, для которой имеет место (vi vj) vk = vi(vj vk) для всех возможных троек базисных векторов vi, vj и vk. Таблица 1, где,, GF(p) - структурные коэффициенты ( 0), представляет собой ТУБВ, задающую ассоциативное и коммутативное умножение векторов произвольной конечной размерности.

Таблица 1. Общий тип ТУБВ ( 0).

$e i j k u v Е Е z $e e i j k u v Е Е z i i j k u v Е Е z e j j k u v Е Е z e i k k u v Е Е z e i j u u v Е Е z e i j k v v Е Е z e i j k u Е Е Е z e i j k u v Е Е z e i j k u v Е z z e i j k u v Е Е Множество обратимых векторов образуют конечную мультипликативную группу с единичным элементом E = (, 0, 0, Е, 0) - векторную конечную группу (ВКГ). Существуют различные распределения структурных коэффициентов в ТУБВ, за счет чего может быть уменьшено число операций умножения в поле GF(p) при выполнении операции умножения векторов. Этот способ уменьшения сложности векторного умножения состоит в применении двух взаимно обратных значений растягивающих коэффициентов, которые имеют близкие распределения в том смысле, что эти два коэффициента попадают одновременно в одни и те же клетки ТУБВ достаточно большое число раз.

Для различных значений и распределений структурных коэффициентов было исследовано экспериментально строение групп векторов (под строением понимается таблица, показывающая число векторов для каждого возможного значения их порядка). Для интерпретации экспериментальных результатов по изучению строения ВКГ была выведена формула, описывающая строение коммутативных примарных подгрупп в общем случае, когда базис примарной i подгруппы включает элементов Zij (j = 1, 2, Е, ) порядка p, i i i = 1, 2, Е, t. Порядок такой примарной подгруппы выражается формулой вида 12 t 12 t p p... p.

Без потери общности рассмотрения можно считать, что Е Е.

1 2 i t Очевидно, что элементы примарной подгруппы могут иметь значения порядков p, где. Для случая = для числа элементов порядка p легко 1 t tt ( 1) 1 ii i 1 i N p p 1.

выводится формула p Пусть <. Элементы рассматриваемой примарной подгруппы, порядок i 1 i которых равен или меньше p, образуют некоторую подгруппу порядка 1 i 1 i i 1 t 1 i p... p p p... p i 1 t k k k k 1 k i p.

Элементы рассматриваемой примарной подгруппы, порядок которых равен или меньше p, образуют некоторую подгруппу порядка 1 i 1 i i 1 t 1 1 1 i p... p p p... p i 1 t ( 1) k k k k 1 k i p.

Число элементов порядка = p найдем как разность значений ( ) и ( ), что дает следующую формулу:

i 1 t t ( 1) k k k k k 1 k i k i N p p 1.

p Строение коммутативных групп векторов в общем случае является нециклическим - их базис включает от 1 до m векторов в зависимости от вида ТУБВ и выбранных значений структурных коэффициентов при заданной ТУБВ.

В частных случаях мультипликативная ВКГ имеет циклическое строение - это случай формирования расширенных конечных полей, заданных в явной векторной форме (операцией сложения в таком поле является стандартная операция сложения векторов, определяемая как сложение одноименных координат). Другой важный случай представлен ВКГ, обладающими многомерной цикличностью, относящейся к случаю групп, порождаемых базисом, все элементы которого обладают одним и тем же значение порядка.

Над ВКГ с многомерной цикличностью задача дискретного логарифмирования формулируется следующим образом. Пусть векторы G1, G2, Е, Gr образуют базис группы. Тогда любой вектор Y может быть представлен как произведение некоторых степеней элементов, входящих в рассматриваемую систему образующих. Нахождение этих степеней, т. е. решение уравнения x x xr Y G11 G22... Gr относительно набора неизвестных x1, x2, Е, xr составляет содержание задачи дискретного логарифмирования при заданном Gi, i 1,2,...,r, базисе (G1, G2, Е, Gr). Если порядок элементов содержит q q 160 r большой простой делитель размером бит, то нахождение многомерного логарифма является вычислительно трудной задачей. Для нахождения многомерного дискретного логарифма может быть применен адаптированный метод больших и малых шагов, имеющий трудоемкость q W O qr, где - максимальный простой делитель порядка группы с многомерным циклическим строением. Анализ экспериментальных результатов позволил получить следующее правило для случая использования ТУБВ, заданной табл. 1, которое позволяет при синтезе алгоритмов ЭЦП задавать требуемую структуру групп векторов.

Правило задания строения группы векторов: при условии m p 1, m = r, НОД(, r) = 1, = = 1 и значении, таком, что уравнение xd = не имеет решение в поле GF(p) для всех делителей d m, где 1 < d , но имеет решение для d = r, группа является циклической при r = 1 или обладает rмерной циклической структурой при r 2, причем порядок группы равен r p.

Максимальный порядок циклических подгрупп в таких группах равен u p 1 qi i. Группы векторов с многомерным циклическим i строением представляют интерес для построения схем ЭЦП с открытым x i 1,2,...,r G1,G2,...,Gr ключом Y G1x1 G22... Grxr, где ; векторы имеют простой порядок q достаточно большого размера и составляют базис qr x1, x2,..., xr подгруппы порядка. Секретным ключом является набор чисел, q каждое из которых не превышает значение. При этом открытым ключом пользователя является набор векторов Yi, i 1,2,...,r :

x x xri Yi G11i G22i... Gr, а секретным ключом - r наборов чисел:

x1i, x2i,..., xri, i 1,2,...,r. Проверочное уравнение имеет вид s1 r R Y1 e1 Y2 e2 ... Yr e2 G1s G2 ... Grs, r где наборы чисел e1, e2, Е, er и s1, s2, Е, sr являются элементами ЭЦП. При = 2 генерация ЭЦП к сообщению M выполняется следующим образом.

t t 1. Выбрать случайные числа t1 и t2 и вычислить вектор R (r1,r2) G11 G22.

2. Используя хэш-функцию FH, вычислить значение e, представляемое в виде e e1 || e2 FH (M || r1 || r2) конкатенации чисел e1 и e2:.

3. Вычислить значения s1 и s2 по формулам s1 t1 x1e1 x1x2e2 modq и 2 s2 t2 x2e1 (x1 x2 )e2 modq.

e1 e2 s1 sПодписью является четверка чисел,, и. Процедура проверки ЭЦП по открытому ключу (Y1,Y2) состоит в выполнении следующих шагов:

s s 1. Вычислить вектор R (r1 || r2) Y1 e1 Y2 e2 G11 G22.

e e1 || e2 FH (M || r1 || r2) 2. Вычислить значение.

e1 || e2 e1 || e3. Сравнить значения e и e. Если, то подпись к сообщению M признается подлинной. В противном случае подпись отвергается.

Для четных значений размерности векторов m 6 предложен общий способ построения ТУБВ, задающих ассоциативную некоммутативную операцию умножения. В первой строке слева направо записываются базисные векторы в некоторой исходной последовательности. В первом столбце сверху вниз записывается та же последовательность базисных векторов. В каждой четной (нечетной) строке базисные векторы записываются, начиная с элемента, указанного в первом столбце, в обратной (прямой) последовательности (относительно исходной последовательности). В построенную таким образом ТУБВ вносится структурный коэффициент в каждую клетку, находящуюся на пересечении четной строки и четного столбца. Такое распределение обеспечивает свойство ассоциативности умножения при произвольном значении GF(p). Для значений m = 4 некоммутативные группы задавались с помощью ТУБВ, представленных в виде табл. 2.

Таблица 2. Правила умножения базисных векторов для случая m = 4.

e i j k e e i j k i i e k j j j i k e k k j i e Доказаны следующие утверждения о порядке таких групп.

Утверждение 1. Для простого числа p вида p = 4k + 1 при любом 0 и для простого p вида p = 4k + 3 при, являющемся квадратичным невычетом порядок некоммутативной группы четырехмерных векторов, групповая операция которой задана по таблице 2, равен = p(p 1)(p2 1).

Утверждение 2. При = 0 порядок некоммутативной группы четырехмерных векторов равен = p2(p2 1), если простое число p представляется в виде p = 4k + 3, и равен = p2(p 1)2, если простое число p представляется в виде p = 4k + 1.

В третьей главе рассматриваются трудные задачи и криптосхемы над конечными некоммутативными группами. Утверждения 1 и 2 определяют возможные значения простых порядков векторов и позволяют найти векторы требуемого порядка для синтеза протоколов открытого распределения ключей с использованием трудности задачи, предложенной в 2007 г. (Sakalauskas E. И др.), которую можно назвать задачей дискретного логарифмирования в скрытой циклической подгруппе конечной некоммутативной группы или скрытой задачей дискретного логарифмирования, формулируемой следующим образом.

Пусть задан некоторый элемент G. Из некоторой коммутативной подгруппы, элементы которой неперестановочны с G, выбирается элемент X. Также Z выбирается произвольное число x и вычисляется элемент Y = X (Gx) X. По заданным Y и G требуется вычислить сопрягающий элемент X и число x.

Пусть пара (X1, x1) является секретным ключом первого абонента и пара (X2, x2) является секретным ключом второго абонента. Воспользуемся формулой Y = X Gx X для вычисления открытого ключа. Тогда открытым ключом первого (второго абонента) является элемент группы, равный x1 x2 Y1 X1 G X1 1 (Y2 X G X ). В силу выбора элементов X1 и X2 из 2 коммутативной подгруппы и взаимной коммутативности операций вычисления сопряженного элемента и возведения в степень первый и второй абоненты могут сформировать общий секретный ключ K12, используя только свой личный секретный ключ и открытый ключ другого абонента. Первый абонент выполняет следующее вычисление:

xx2 1 x2x1 K12 X1 Y2x1 X1 1 X1 X G X X1 1 X1 X G X X1, 2 2 2 Второй абонент выполняет следующее вычисление:

x2 1 x1 x2x1 K12 X Y1x2 X X X1 G X1 1 X X X1 G X1 1 X.

2 2 2 2 2 Поскольку X1 X2 = X2 X1, то K12 = K = Z. Последнее значение использовано в качестве общего секрета. Для построения вычислительно эффективной схемы открытого согласования общего секретного ключа предлагается использовать конечные некоммутативные группы четырехмерных векторов и аналитический способ выбора векторов X1 и X2 из одной и той же коммутативной подгруппы, который состоит в генерации случайных чисел w1 и w2 и вычисления векторов X1 Qw1 и X2 Qw2, где Q - вектор, порядок которого делится на достаточно большое простое число, причем такой, что имеет место Q G G Q. Доказано следующее утверждение, условиям которого должны удовлетворять параметры G и Q предлагаемого протокола открытого распределения ключей.

Утверждение 3. Пусть G и Q элементы некоммутативной группы, имеющие простые порядки g и q, соответственно, такие что Q G G Q и Z G G Z, 1 j j где Z Q G Q. Тогда все элементы Zij Q Gi Q, где i = 1, 2,Е, g и j = 1, 2,Е, q, попарно различны.

В соответствии с этим утверждением число различных неединичных элементов Zij составляет (g 1)q и они образуют вместе с единичным элементом N = q различных подгрупп порядка g, причем каждый неединичный элемент принадлежит только одной из этих подгрупп.

Предложенная схема открытого согласования общего секретного ключа может быть использована для построения следующего алгоритма открытого шифрования, в котором используется некоторая функция симметричного шифрования EK, где секретный ключ K представляет собой 4х-мерный вектор:

1. Отправитель генерирует пару случайных чисел (u, z), вычисляет u z u u z u элементы R = Q G Q и K = Q Y Q некоммутативной группы, где Y - открытый ключ получателя. Элементы R и K играют роль разового открытого ключа и разового общего секрета. Они будут использованы для шифрования только одного сообщения (или текущего блока длинного сообщения, которое разбивается на блоки приемлемого размера). Для шифрования следующего сообщения (блока сообщения) будут сгенерированы новые значения разового открытого ключа и разового общего секрета.

2. Используя значение K в качестве ключа шифрования, отправитель зашифровывает сообщение M: C = EK (M).

3. Отправитель направляет получателю, которому принадлежит открытый w ключ Y = Qw Gx Q, криптограмму C и значение разового открытого ключа R.

w 4. Получатель вычисляет значение K = Qw Rx Q = K, где (w, x) - личный секретный ключ получателя, и расшифровывает криптограмму C: M = DK (C), где DK - функция расшифрования, обратная к EK.

Оценка стойкости. В описанных схемах открытого согласования ключа и открытого шифрования используется открытый ключ Y, вычисляемый по w личному секретному ключу (w, x) по формуле Y = Qw Gx Q, где Q и G - известные элементы некоммутативной группы достаточно большого простого порядка q и g, соответственно. Сложность вычисления секретного ключа по открытому задает верхнюю границу стойкости предложенных криптосхем.

Рассмотрим вычисление секретного ключа в случае q = g:

1. Для всех значений w = 1, 2,Е, q вычислить таблицу значений w T(w) = Q Y Qw. (Трудоемкость этого шага равна 2q групповых операций.) 2. Упорядочить таблицу, вычисленную на шаге 1. (Трудоемкость этого шага составляет qlog2q операций сравнения элементов группы.) 3. Установить счетчик i = 1 и значение вектора V = E, где E - единичный элемент некоммутативной группы.

4. Вычислить вектор V = V G.

5. По отсортированной таблице проверить имеется ли в ней значение V.

Если в таблице имеется значение T(w ) = V, то вывести значение секретного ключа (w, x) = (w, i) и СТОП, в противном случае перейти к шагу 6.

6. Если i g, то прирастить значение счетчика i i + 1 и перейти к шагу 4, в противном случае СТОП и вывести сообщение лусловия некорректны.

Трудоемкость шагов 5 и 6 составляет не более q групповых операций и qlog2q операций сравнения. Трудоемкость алгоритма S составляет 3q операций умножения плюс 2qlog2q операций сравнения, т.е. S = O(q), где O(q) обозначение порядка. При q 280 верхняя граница стойкости соответствует 80битовой стойкости.

Дано обоснование дополнительным требованиям к выбираемым параметрам криптосхем, основанных на задаче дискретного логарифмирования в скрытой подгруппе некоммутативной групп векторов. Векторное пространство над конечным, в котором определена ассоциативная операция умножения векторов, образует конечное кольцо R. Доказано утверждение 4 о существовании гомоморфизма мультипликативной группы векторов R* в мультипликативную группу конечного поля GF( p), над которым задаются векторы. Этот гомоморфизм можно обозначить как R* F*, где F* мультипликативная группа поля GF( p).

Утверждение 4. Главный определитель системы линейных уравнений, записанной для вычисления обратного вектора A-1 к заданному вектору A определяет гомоморфизм R* F*.

Установленный гомоморфизм, который далее будем обозначать как (A), может быть положен в основу следующей атаки на схемы A открытого шифрования и открытого распределения ключей, основанных на задаче дискретного логарифмирования в скрытой коммутативной подгруппе, заданной над некоммутативными группами векторов. В таких схемах x w используется открытый ключ вида Y QwG Q, где пара чисел x и w составляет секретный ключ. Применение гомоморфизма R* F* к уравнению вычисления открытого ключа дает следующее соотношение:

w x w x w w x x, Y Q G Q G Q Q G G которое представляет собой уравнение над полем GF(p). Нахождение значения x из последнего уравнения представляет собой задачу дискретного логарифмирования в поле GF(p), решение которой позволит найти значение x xmod q, где q порядок элемента GF( p). Если значение q G достаточно велико, то решение задачи дискретного логарифмирования в поле GF(p) позволит определить значительную часть секретного ключа.

Общим способом предотвращения такой атаки является использование в качестве параметра G вектора, имеющего порядок, не являющийся нетривиальным делителем числа p 1. В этом случае значения и равны Y G единичному элементу поля GF( p) и уравнение, получаемое с помощью гомоморфизма R* F* принимает вид 1 1x в силу следующего утверждения.

Утверждение 5. Если вектор G имеет порядок, такой что НОД G, ps 1 1, то (G) 1.

G Рассмотренная атака фактически состоит в обеспечении возможности вычисления секретного ключа по частям. Она применима к случаю использования задачи дискретного логарифмирования в скрытой подгруппе, заданной над конечной некоммутативной группой векторов произвольного вида. Однако, как правило, для любой группы векторов достаточно легко найти вектор G, удовлетворяющий условию утверждения 5, что предотвращает возможность выполнения этой атаки. По аналогии с атакой, основанной на гомоморфизме R* F*, можно предложить атаку на основе потенциально возможного гомоморфизма R* F *, где F * мультипликативная группа расширенного поля GF( pk ), где 1 < k m. Однако второй вид общей атаки связан с необходимостью установления возможных гомоморфизмов вида R* F *. Можно ожидать, что решение последней задачи будет иметь специфику для различных групп векторов и потребует выполнения самостоятельных исследований в случае различных значений размерности векторов и различных видов ТУБВ. При этом по значению порядка группы векторов, выраженному через характеристику конечного поля, над которым заданы векторы, можно уменьшить число вариантов возможных значений k > 1.

Наиболее простым случаем является случай некоммутативных групп четырехмерных векторов, для которых порядок равен = p(p 1)(p2 1). Из данной формулы легко видеть, что множитель (p 1) показывает на потенциальную возможность гомоморфизма R* F*, а множитель (p2 1) - на потенциальную возможность гомоморфизма R* F * при k = 2. Это единственно возможное значение k > 1. Если такой гомоморфизм будет найден, то это будет означать, что некоммутативные группы четырехмерных векторов не могут обеспечить достаточную стойкость криптосхем с открытым ключом x w вида Y Qw G Q при сравнительно малых значениях размера порядка поля GF( p), над которым задаются векторы. Рассмотренные атаки должны быть учтены при разработке криптосхем с использованием задачи дискретного логарифмирования в скрытой циклической подгруппе.

В четвертой главе приводятся разработанные протоколы ЭЦП с расширенной функциональностью и алгоритм коммутативного шифрования, использующий вычисления в конечной мультипликативной группе.

Протокол коллективной цифровой подписи с восстановлением сообщения.

Схемы ЭЦП с восстановлением сообщения и протоколы коллективной ЭЦП, основанные на трудности задачи дискретного логарифмирования (ЗДЛ) в конечном простом поле или ЗДЛ на эллиптической кривой (ЭК), используются для аутентификации информации при решении специальных задач информационных технологий. В ряде практических случаев возникает задача объединения указанных двух типов криптосхем в едином криптографическом протоколе, который можно назвать схемой коллективной ЭЦП с восстановлением сообщения. Использование коллективной ЭЦП в технологии защиты бумажных документов от подделки для подписи уникального цифрового образа бумаги, на которой изготовлен документ, значительно снижает вероятность подделки, выполняемой внутренними нарушителями, т.е.

ицами, вовлеченными в санкционированную процедуру изготовления документов. В то же время в данной технологии актуально сокращение размера машиночитаемой метки, наносимой на бумажный документ. Это делает актуальным восстановление эталонного цифрового образа бумаги по значению ЭЦП, что позволит существенно сократить размер машиночитаемой метки.

Системными параметрами протокола являются коэффициенты уравнения ЭК и некоторая точка G, порядок которой равен достаточно большому простому числу q. Открытым ключом - точка Qi diG, где di - личный секретный ключ i-го пользователя. Формирование коллективной подписи (r, s) к сообщению M < q, осуществляется по коллективному открытому ключу, являющемуся суммой открытых ключей всех подписывающих в соответствии со следующим алгоритмом:

1. Каждый пользователь генерирует случайное целое число ki (0 < k < q) и вычисляет точку Ci = kiG (i = 1, 2,Е, m). Значения Ci (i = 1, 2,Е, m) рассылаются всем пользователям.

2. Пользователи вычисляют коллективный открытый ключ Q Q1 Q2... Qm (xQ, yQ ), точку C C1 C2... Cm и значение r = MxQxC mod q, где xC - координата точки С.

3. Каждый i-ый пользователь вычисляет значение si = ki rdi mod q.

Значения si (i = 1, 2,Е, m) рассылаются всем пользователям.

4. Пользователи вычисляют значение s s1 s2... sm modq.

Проверка подлинности коллективной ЭЦП (r, s) осуществляется по коллективному открытому ключу Q Q1 Q2... Qm, равному сумме открытых ключей подписывающих по следующему алгоритму:

1. Вычисляется точка C* = rQ + sG и значение M* = r(xQxC*) mod q.

3. Если M* = M, то ЭЦП признается подлинной, иначе отвергается.

Протокол слепой ЭЦП с восстановлением сообщения. Протоколы слепой ЭЦП и схемы ЭЦП с восстановлением сообщения решают специальные задачи по аутентификации электронной информации в автоматизированных информационных системах. Информационные технологии, известные как системы электронных денег и тайного электронного голосования, используют криптографические механизмы, называемые протоколами слепой ЭЦП или просто слепой подписи. Они позволяют подписать электронный документ M таким образом, что подписывающий не может ознакомиться с сообщением в процессе генерации ЭЦП, а в будущем при получении значения M и ЭЦП он не может идентифицировать пользователя, который представлял для подписявания документ M.

Схема слепой подписи Чаума, основанная на трудности задачи факторизации и построенная путем расширения функциональности криптосистемы RSA, соединяет в себе свойства двух указанных типов криптосхем. Однако размер подписи в схеме Чаума составляет 1024 бит, что в 3 4 раза превышает размер подписи в схемах ЭЦП, основанных на сложности задачи дискретного логарифмирования при обеспечении уровня 80-битовой стойкости. Практический интерес представляет задача разработки протоколов слепой ЭЦП с восстановлением сообщения, основанных на трудности ЗДЛ.

Следующий протокол предоставляет возможность решения этой задачи.

1. Подписывающий выбирает разовый случайный секретный ключ - число k, затем вычисляет D = gk mod p и предоставляет это значение пользователю А.

2. Пользователь А генерирует случайные значения параметров и, вычисляет R = (M Ц1Dy g mod p) mod q и = R mod q. Затем А направляет R значение подписывающему.

R 3. Подписывающий вычисляет второй элемент слепой ЭЦП S = (k + x R ) mod q и направляет S пользователю А.

4. Пользователь А вычисляет второй элемент подписи к сообщению M по формуле S = S + mod q.

R M y gS mod p R mod q.

Уравнение проверки ЭЦП имеет вид Протокол слепой подписи, основанный на трудности одновременного решения задач факторизации и дискретного логарифмирования использует простой модуль p со структурой p = 2n + 1 (n = qr, где q и r - сильные простые числа), два ослепляющих множителя вида y mod p и mod p, где и - случайные числа ( < n и < n). Секретным ключом является четверка чисел (q, r, x, d), где x - случайное значение (x < n); d - число, вычисляемое по формуле d = e mod (n) после предварительного выбора сравнительно малого значения e, взаимно простого с (n) = (q - 1)(r - 1). Открытым ключом является четверка чисел (p,, y, e), где - число порядка n = qr по модулю p; y - число, x вычисляемое по формуле y mod p. Пусть некоторый пользователь желает получить подпись владельца открытого ключа (p,, y, e) к сообщению M. Для этого выполняются следующие шаги:

R 1. Подписывающий вычисляет и отправляет пользователю значение k = mod p, где k - случайное число (k < n).

2. Пользователь вычисляет значения R = y mod p и E = FH (M ||R ), R e генерирует случайное число ( < n), вычисляет значение E = E mod n и направляет E подписывающему.

3. Подписывающий вычисляет значение D = Ed mod n и направляет D пользователю.

1 d 4. Пользователь вычисляет значения E = D = E mod n и E = E + mod n, после чего направляет E подписывающему. (Значение E является первым элементом слепой подписи, а E - первый элемент подписи к сообщению M.) 5. Подписывающий вычисляет значение S k xE modn и направляет S второй элемент слепой подписи пользователю. (Заметим, что имеют место k S xE S E соотношения k S xE modn R y mod p ).

и 6. Пользователь вычисляет второй элемент подписи (E, S) к сообщению M:

S S mod n.

Проверка подлинности подписи (E, S) осуществляется следующим образом:

~ ~ ~ E S R y mod p E FH M || R E* Ee mod n 1. Вычислить значения, и.

~ ~ 2. Сравнить значения E* и E. Если E* = E, то подпись признается подлинной. В противном случае подпись отвергается.

Разработанный алгоритм коммутативного шифрования использует операцию возведения в степень в конечных полях GF((ps)m), заданных в явной векторной форме, где GF(ps) - конечное поле над которым задано векторное пространство (s 1). Представление шифруемого сообщения в виде вектора M позволяет существенно повысить производительность процедур коммутативного шифрования за счет распараллеливания операции умножения.

В случае векторного поля GF(pm) в качестве ключа зашифрования выбирается достаточно большое число e, удовлетворяющее условию НОД(e, pm - 1) = (НОД - наибольший общий делитель), по которому вычисляется значение e d =eЦ1(mod pmЦ1). Зашифрование описывается формулой C M, где C - вектор, представляющий шифртекст, а расшифрование - формулой M Cd.

С некоторой вероятностью сообщение M будет соответствовать элементу поля, порядок которого является малым числом. В этом случае по M и C принципиально атакующий может вычислить некоторую информацию о секретном ключе, поэтому снижение вероятности появления таких сообщений является целесообразным. Для заданного значения m и размера характеристики поля |p| это достигается выбором такого числа p, что число q pm 1 pm 2... p 1 m является простым. В этом случае практически все возможные сообщения как элементы поля GF(pm) будут иметь порядок, содержащий в качестве своего делителя большое простое число q, имеющего размер |q| (m 1)|p|. Пренебрежимо малое число сообщений M будет иметь порядок (M) m(p 1). Вероятность случайного выбора сообщения, имеющего малый порядок Pr( m(p 1)) может быть вычислена, используя известное положение, что число элементов конечного поля ( ), имеющие порядок, равно функции Эйлера от, т. е. ( ) = ( ):

1 m( p 1) m Pr m( p 1) pm 1 di.

pm 1 pm 1 pm 2... p 1 q di |m( p 1) В заключении представлены основные результаты диссертационного исследования:

1. Предложен способ уменьшения количества умножений на структурные коэффициенты при задании параметризуемой ассоциативной операции умножения векторов в конечном векторном пространстве произвольной размерности, заданном над конечным полем. Способ позволяет снизить сложность групповой операции в мультипликативных группах векторов, за счет чего повышается производительность протоколов с открытым ключом, реализуемых над трудными задачами в конечных группах векторов.

2. Показано, что если размерность векторного пространства m делит нацело порядок мультипликативной группы базового конечного поля, над которым задано векторное пространство, то при соответствующем выборе значения структурных коэффициентов образуются векторные конечные поля, представляющие собой расширение поля, над которым задано векторное пространство.

3. Установлено строение нециклических мультипликативных групп векторов в случае делимости порядка мультипликативной группы базового поля на размерность векторов и дано его описание в терминах многомерной цикличности.

4. Выведена формула, описывающая строение примарных подгрупп, позволяющая в общем случае получить аналитические соотношения, описывающие строение коммутативных конечных групп векторов при заданном базисе.

5. Предложены схемы построения алгоритмов ЭЦП на основе конечных групп с многомерной цикличностью и разработаны конкретные алгоритмы в рамках предложенной схемы.

6. Предложена схема открытого распределения ключей над задачей скрытого дискретного логарифмирования в конечных некоммутативных группах, отличающаяся способом генерации сопрягающего вектора и реализацией над конечными группами векторов.

7. Установлен общий гомоморфизм конечных коммутативных и некоммутативных групп векторов в базовое конечное поле, над которым заданы векторы. Показано влияние этого гомоморфизма на выбор безопасных параметров криптосхем, задаваемых над группами векторов.

8. Разработан алгоритм коммутативного шифрования с использованием конечного поля, заданного в явной векторной форме.

9. Построен протокол коллективной ЭЦП с восстановлением сообщения, перспективный для применения в технологии криптографической защиты бумажных документов.

10. Построен протокол слепой ЭЦП с восстановлением сообщения, основанный на трудности задачи дискретного логарифмирования, обеспечивающий существенное сокращение размера ЭЦП по сравнению с известным протоколом данного типа, который основан на трудности задачи факторизации.

11. Построен протокол слепой ЭЦП, взлом которой требует одновременного решения двух независимых трудных задач дискретного логарифмирования и факторизации целых чисел специального вида.

Публикации в журналах, входящих в перечень ВАК 1. Молдовян Д.Н. Конечные некоммутативные группы как примитив криптосистем с открытым ключом // Информатизация и связь. 2010. №1. С.

61-65.

2. Молдовян Д.Н. Примитивы схем цифровой подписи: строение мультипликативных конечных групп векторов // Вопросы защиты информации.

2009. № 4. С.18-24.

3. Молдовян Д.Н. Примитивы криптосистем с открытым ключом: конечные некоммутативные группы с четырехмерных векторов // Информационноуправляющие системы. 2010. № 5. С. 43-50.

4. Горячев А.А., Молдовян Д.Н., Куприянов И.А. Выбор параметров задачи скрытого дискретного логарифмирования для синтеза криптосхем // Вопросы защиты информации. 2011. № 1. С. 19-23.

5. Молдовян Д.Н., Молдовян Н.А. Особенности строения групп векторов и синтез криптографических схем на их основе // Вестник СПбГУ. Серия 10:

прикладная математика, информатика, процессы управления. 2011. Вып. 4. С.

84-93.

6. Молдовян Д.Н., Горячев А.А., Борков П.В. Варианты задания конечных некоммутативных групп четырехмерных векторов для синтеза криптосхем // Вопросы защиты информации. 2011. № 1. С. 23-28.

7. Молдовян Д.Н., Дернова Е.С., Сухов Д.К. Расширение функциональности стандартов электронной цифровой подписи // Информационно-управляющие системы. 2011. № 2. С. 63-67.

8. Молдовяну П.А., Молдовян Д.Н., Хо Нгок Зуй. Конечные группы с четырехмерной цикличностью как примитивы цифровой подписи // Информационно-управляющие системы. 2010. № 3. С. 61-68.

9. Галанов А.И., Захаров Д.В., Молдовян Д.Н., Синев В.Е. Протоколы слепой подписи на основе двух вычислительно трудных задач // Вопросы защиты информации. 2009. № 4. С.2-7.

10. Молдовян Д.Н., Молдовяну П.А.. Задание умножения в полях векторов большой размерности // Вопросы защиты информации. 2008. № 3(82). С. 12-17.

11. Молдовяну П.А., Молдовян Д.Н., Морозова Е.В., Пилькевич С.В.

Повышение производительности процедур коммутативного шифрования // Вопросы защиты информации. 2009. № 4. С.24-31.

Прочие публикации 12. Молдовян Д.Н. Способ формирования общего секретного ключа двух удаленных абонентов // Патент РФ № 2420892 по заявке № 2009139874/09(056586) от 28.10.2009. / Бюл. № 16 от 10.06.2011.

13. Moldovyan D.N., Moldovyan N.A. A New Hard Problem over NonCommutative Finite Groups for Cryptographic Protocols // Springer Verlag LNCS.

2010. Vol. 6258. P. 183-194 / 5th Int. Conference on Mathematical Methods, Models, and Architectures for Computer Network Security, MMM-ANCS 20Proceedings. St.Petersburg, September 8-11, 2010.

14. Moldovyan D.N. Non-Commutative Finite Groups as Primitive of Public-Key Cryptoschemes // Quasigroups and Related Systems. 2010. Vol. 18. P. 165-176.

15. Молдовян Д.Н. Выбор параметров криптосхем, основанных на сложности дискретного логарифмирования в скрытой подгруппе // Инновационная деятельность в Вооруженных силах Российской Федерации:

Труды всеармейской научно-практической конференции. 25-26 ноября 2010, г.

Санкт-Петербург. СПб.: ВАС, 2010. С. 326-330.

16. Галанов А.И., Молдовян Д.Н. Схема коллективной цифровой подписи с восстановлением сообщения // Инновационная деятельность в Вооруженных силах Российской Федерации: Труды всеармейской научно-практической конференции. 25-26 ноября 2011, г. Санкт-Петербург / СПб.: ВАС, 2011. С.

70-73.

17. Молдовян Д.Н., Дернова Е.С. Криптографические примитивы над конечными векторными пространствами // Труды VI Санкт-Петербургской межрегиональной конференции Информационная безопасность регионов России (ИБРР-2009). Санкт-Петербург, 28-30 октября. СПб.: СПОИСУ, 2010.

С. 191-197.

Авторефераты по всем темам  >>  Авторефераты по техническим специальностям