Методика выбора ключевой информации для алгоритма блочного шифрования
Покупка
Основная коллекция
Тематика:
Криптография
Издательство:
НИЦ ИНФРА-М
Автор:
Жданов Олег Николаевич
Год издания: 2021
Кол-во страниц: 88
Дополнительно
Вид издания:
Монография
Уровень образования:
Дополнительное профессиональное образование
ISBN: 978-5-16-006890-9
ISBN-онлайн: 978-5-16-102943-5
Артикул: 443750.06.01
Как известно, при использовании незащищенного канала актуальными являются задачи обеспечения конфиденциальности передаваемых данных и аутентификации источника сообщений. В настоящее время для решения этих задач используются итерированные симметричные алгоритмы блочного шифрования, такие как ГОСТ 28147—89, DES, IDEA, AES и т.п. Безопасность зашифрованных сведений обеспечивается не только алгебраической структурой алгоритма, но также и корректным выбором элементов ключевой информации (ключа и таблиц замен).
Автором на основе проведенного анализа существующих подходов к построению ключей и таблиц замен разработана методика генерации и тестирования ключевой информации для алгоритмов блочного шифрования. Автором совместно с Чалкиным В.А. эта методика программно реализована. Представлены алгоритм и исходные тексты программ, приведены результаты экспериментов.
Тематика:
ББК:
УДК:
- 004: Информационные технологии. Вычислительная техника...
- 519: Комбинатор. анализ. Теория графов. Теория вер. и мат. стат. Вычисл. мат., числ. анализ. Мат. кибер..
ОКСО:
- ВО - Бакалавриат
- 01.03.01: Математика
- 01.03.04: Прикладная математика
- 02.03.01: Математика и компьютерные науки
- ВО - Магистратура
- 01.04.01: Математика
- 01.04.02: Прикладная математика и информатика
- 01.04.04: Прикладная математика
- 02.04.01: Математика и компьютерные науки
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
МЕТОДИКА ВЫБОРА КЛЮЧЕВОЙ ИНФОРМАЦИИ ДЛЯ АЛГОРИТМА БЛОЧНОГО ШИФРОВАНИЯ О.Н. ЖДАНОВ МОНОГРАФИЯ Москва ИНФРА-М 2021
УДК 004.056.55(075.4) ББК 32.973-018.2 Ж42 Жданов О.Н. Ж42 Методика выбора ключевой информации для алгоритма блочного шифрования : монография / О.Н. Жданов. — Москва : ИНФРА-М, 2021. — 88 с. — (Научная мысль). ISBN 978-5-16-006890-9 (print) ISBN 978-5-16-102943-5 (online) Как известно, при использовании незащищенного канала актуальными являются задачи обеспечения конфиденциальности передаваемых данных и аутентификации источника сообщений. В настоящее время для решения этих задач используются итерированные симметричные алгоритмы блочного шифрования, такие как ГОСТ 28147–89, DES, IDEA, AES и т.п. Безопасность зашифрованных сведений обеспечивается не только алгебраической структурой алгоритма, но также и корректным выбором элементов ключевой информации (ключа и таблиц замен). Автором на основе проведенного анализа существующих подходов к построению ключей и таблиц замен разработана методика генерации и тестирования ключевой информации для алгоритмов блочного шифрования. Эта методика программно реализована автором совместно с В.А. Чалкиным. Представлены алгоритм и исходные тексты программ, приведены результаты экспериментов. УДК 004.056.55(075.4) ББК 32.973-018.2 Р е ц е н з е н т ы: Сафонов К.В., доктор физико-математических наук, заведующий кафедрой прикладной математики Сибирского государственного аэрокосмического университета (Красноярск); Мартынов Н.И., доктор физико-математических наук, главный научный сотрудник Института механики и машиноведения Министерства образования и науки Республики Казахстан (Алматы, Казахстан); Мазурков М.И., доктор технических наук, профессор, заведующий кафедрой информационной безопасности Одесского национального политехнического университета (Одесса, Украина) ISBN 978-5-16-006890-9 (print) ISBN 978-5-16-102943-5 (online) © Жданов О.Н., 2013 ООО «Научно-издательский центр ИНФРА-М» 127214, Москва, ул. Полярная, д. 31В, стр. 1 Тел.: (495) 280-15-96, 280-33-86. Факс: (495) 280-36-29 E-mail: books@infra-m.ru http://www.infra-m.ru Подписано в печать 27.04.2021. Формат 6090/16. Бумага офсетная. Гарнитура Petersburg. Печать цифровая. Усл. печ. л. 5,5. ППТ12. Заказ № 00000 ТК 443750-1514896-250313 Отпечатано в типографии ООО «Научно-издательский центр ИНФРА-М» 127214, Москва, ул. Полярная, д. 31В, стр. 1 Тел.: (495) 280-15-96, 280-33-86. Факс: (495) 280-36-29 ФЗ № 436-ФЗ Издание не подлежит маркировке в соответствии с п. 1 ч. 2 ст. 1
ВСТУПИТЕЛЬНАЯ СТАТЬЯ Современный этап развития и применения информационных техноло гий предполагает интенсивное развитие методов и средств защиты информации от несанкционированного доступа, а также аутентификации источника сообщения. В настоящее время для обеспечения конфиденциальности информации используются различные алгоритмы блочного шифрования, которые помогают и в решении задачи аутентификации. В России действует Стандарт шифрования данных ГОСТ 28147-89. При использовании алгоритма ГОСТ 28147-89 секретным является не только ключ, но и таблица замен – специальная таблица чисел, предназначенная для дополнительного преобразования данных в блоке шифрования в ходе каждого раунда. Эти таблицы могут различаться для различных криптосистем. Безопасность зашифрованных сведений обеспечивается как алгебраической структурой алгоритма, так и правильным выбором элементов ключевой информации (ключа и таблиц замен). Однако в стандарте ГОСТ 28147-89 не определены ни требования к качеству ключей и таблиц замен, ни методы их генерации. Для субъекта, осуществляющего шифрование сведений, составляющих государственную тайну, этот порядок определен: ключевая информация поставляется ему организацией, уполномоченной государством. При создании криптографических систем, предназначенных для защиты несекретных сведений ограниченного доступа, перед разработчиком встает задача выбора ключевой информации, обеспечивающей криптографическую стойкость зашифрованных данных. В монографии О.Н.Жданова представлена обоснованная методика по строения ключей и таблиц замен алгоритма ГОСТ 28147-89, позволяющих обеспечить безопасность зашифрованных с их использованием сведений ограниченного доступа, не являющихся государственной тайной. Автор проанализировал существующие подходы к построению таблиц замен и генерации ключей для итерированных алгоритмов блочного шифрования. На основе проведенного анализа им разработаны алгоритмы построения и тестирования ключей и таблиц замен, обеспечивающие безопасное шифрование по алгоритму ГОСТ 28147-89. Эти алгоритмы автором совместно с его учеником В.А. Чалкиным реализованы в виде программного комплекса. На программный комплекс получено авторское свидетельство. Заметим, что полученная методика легко распространяется и на другие итерированные алгоритмы блочного шифрования. Представленные результаты и программный комплекс дают возмож ность эффективного применения алгоритма блочного шифрования (как ГОСТ 28147-89, так и любого другого) для решения задач защиты информации от несанкционированного доступа и аутентификации пользователя. При этом пользователь имеет возможность самостоятельно и при малых затратах времени убедиться в достаточной надежности ключевой информации. Как известно, на современном этапе развития космонавтики возрас тает значение малых космических аппаратов (МКА), работающих в автоматическом режиме. Проектирование новых МКА с заданными тех
ническими характеристиками является перспективным направлением. В связи с этим актуальными являются задачи обеспечения защиты информации в системе «Земля-борт», повышение надежности системы управления МКА и снижение информационных рисков. Одним из важных применений представленной в монографии методики стало создание О.Н. Ждановым и В.А. Чалкиным двухуровневой системы управления ключевой информацией для обеспечения криптографической стойкости передачи данных по каналу «Земля-борт». Эта двухуровневая система была аппаратно реализована О.Н. Ждановым, Ф.А. Лукиным, В.Х. Хановым и В.А. Чалкиным. Кроме того, О.Н. Ждановым и В.Х. Хановым разработана методика выбора структурной схемы надежности бортового комплекса управления малым космическим аппаратом, а О.Н. Ждановым, В.В. Золотаревым и К.В. Мушовцом предложены меры по минимизации информационных рисков в системе управления МКА. Таким образом, можно говорить о комплексном подходе к решению проблемы обеспечения защищенности и надежности работы МКА. Надо заметить, что многие вопросы, возникающие в деле защиты информации, еще далеки от окончательного решения. Так, в частности, важным является изучение нелинейности булевых функций многих переменных. Отметим также актуальность продолжения проработки таких аспектов аппаратной реализации изложенной автором методики, как отказоустойчивость и скорость работы. Думаю, что в ходе дальнейших исследований эти вопросы также найдут свое разрешение. Высокая квалификация автора, а также безусловная поддержка коллектива преподавателей и студентов Сибирского государственного аэрокосмического университета, в котором он работает, позволяют надеяться на то, что исследования в области защиты информации будут продолжены и автор еще не раз порадует нас своими глубокими и оригинальными результатами. Директор Института информатики и телекоммуникаций Сибирского государственного аэрокосмического университета имени академика М.Ф. Решетнева, доктор физикоматематических наук, профессор А.М. Попов.
ПРЕДИСЛОВИЕ Предлагаемая вниманию читателя монография явилась итогом ис следований, проводившихся на кафедре безопасности информационных технологий (БИТ) Сибирского государственного аэрокосмического университета в 2008–2012 годах. Как известно, в настоящее время для обеспечения конфиденциаль ности и для аутентификации используются итерированные блочные алгоритмы шифрования. В связи с этим актуальной является задача выбора ключевой информации для таких алгоритмов. Задача заинтересовала автора и его учеников – дипломников и аспирантов. Представленные в книге результаты многократно обсуждались на действующем при кафедре БИТ научном семинаре, руководимом автором, и докладывались на всероссийских и международных научных конференциях. Глава 1 является вводной, подготовительной. При ее написании нами использовались хорошо известные источники. Глава 2 также по большей части является обзорной, нами лишь сделаны нужные нам для дальнейшего изложения дополнения и приведены примеры. Изложение основных результатов монографии начинается в главе 3. Глава 4 содержит описание полученых экспериментальных результатов. Автор выражает глубокую признательность Вениамину (Тимуру)1 Александровичу Чалкину за многочисленные полезные обсуждения, способствовавшие улучшению книги. Автор также благодарит участников научного семинара А.В. Вашкевича, В.В. Золотарева, В.Ю. Золотухина, А.А. Кириллова, А.С. Климину, Ф.А. Лукина, Т.Е. Медведеву, Д.А. Никитина, А.М. Попова, В.Х. Ханова за большое внимание к работе. Автор считает приятным долгом выразить благодарность Н.В. Кожевиной за помощь в оформлении рукописи. 1 Аспирант СибГАУ Вениамин Александрович Чалкин до 2012 года носил имя Тимур. Инициалы в библиографическом списке и имя в авторском свидетельстве на программный комплекс приведены имевшие место на момент создания соответствующих работ.
ВВЕДЕНИЕ Как известно, при использовании незащищенного канала актуаль ными являются задачи: -обеспечение конфиденциальности передаваемых данных, -аутентификация источника сообщений. В настоящее время для обеспечения конфиденциальности передава емых по незащищенным каналам сведений обычно используются итерированные симметричные алгоритмы блочного шифрования, такие как DES, IDEA, AES и т.п. Отечественный стандарт блочного алгоритма симметричного шифрования ГОСТ 28147-89 [7], согласно действующему законодательству, является обязательным к применению в РФ при криптографической защите секретных сведений [1], [2], [3],[4],[5] и рекомендуемым к применению при защите любых иных конфиденциальных сведений, доступ к которым ограничен в соответствии с законодательством РФ. Заметим, что и для аутентификации также можно использовать ал горитм ГОСТ 28147-89 или другой итерированный блочный алгоритм. В отличие от многих современных блочных шифров, при использо вании алгоритма ГОСТ 28147-89, секретным является не только ключ, но и таблица замен (аналог S-блоков алгоритма DES и других шифров, основанных на сети Файстеля) – специальная таблица чисел, предназначенная для дополнительного преобразования данных в блоке шифрования в ходе каждого раунда. Согласно стандарту (см.[6], [7], [8]), эти таблицы могут различаться для различных криптосистем. Очевидно, что безопасность зашифрованных сведений обеспечива ется не только алгебраической структурой алгоритма, но также и корректным выбором элементов ключевой информации (ключа и таблиц замен). Однако в стандарте ГОСТ 28147-89 не определены ни требования к качеству ключей и таблиц замен, ни методы их генерации. Указано только, что ключ и таблица замен «являются секретными элементами и поставляются в установленном порядке». Если для субъекта, осуществляющего шифрование сведений, составляющих государственную тайну, этот порядок определен: ключевая информация поставляется ему уполномоченной на то государством организацией, то при создании криптографических систем, предназначенных для защиты несекретных сведений ограниченного доступа, перед разработчиком встает задача выбора ключевой информации, обеспечивающей криптографическую стойкость зашифрованных данных. Цель данной работы – представить обоснованную методику постро ения ключей и таблиц замен алгоритма ГОСТ 28147-89, позволяющих обеспечить безопасность зашифрованных с их использованием сведений ограниченного доступа, не являющихся государственной тайной. Заметим, что полученная методика легко распространяется и на другие итерированные алгоритмы блочного шифрования. В процессе выполнения работы были выделены следующие задачи, которые необходимо решить для достижения поставленной цели:
1. Изучить современные методы криптоанализа блочных итерированных шифров и количественные характеристики преобразований данных, показывающие степень устойчивости шифрования к этим методам. 2. Проанализировать существующие подходы к построению и тестированию ключей и блоков замен, общие для всех итерированных блочных шифров, основанных на схеме Файстеля. 3. Оценить количественные характеристики показателей устойчивости к современным методам криптоанализа процедуры преобразования данных в ходе раунда шифрования по алгоритму ГОСТ 28147-89. 4. На основании выполненного анализа выбрать из числа существующих или (при необходимости) разработать собственные алгоритмы построения и тестирования ключей и таблиц замен, обеспечивающие безопасное шифрование по алгоритму ГОСТ 28147-89. 5. Программно реализовать разработанные процедуры построения и тестирования ключей и таблиц в виде программного комплекса шифрования данных по алгоритму ГОСТ 28147-89. 6. При помощи разработанных программных модулей изучить надежность с точки зрения криптостойкости и эффективность разработанных алгоритмов и сделать вывод об их пригодности к применению при шифровании информации ограниченного доступа. Эти задачи были успешно решены. Разработана методика генерации и тестирования ключевой информации для алгоритмов блочного шифрования. Методика программно реализована.
ГЛАВА 1 Структура, режимы работы и криптоанализ алгорит мов блочного шифрования В этой главе кратко описывается алгоритм ГОСТ 28147-89. Кроме того, что данный алгоритм представляет большой практический интерес, он еще и служит моделью для отработки методики, применимой к другим аналогичным алгоритмам. При решении многих прикладных, практических задач важным яв ляется правильный выбор режима работы алгоритма. Одной из таких задач является аутентификация источника сообщений в системе «Земляборт», подробнее об этом см. главу 4. Перед тем, как сформулировать требования к ключевой информации для алгоритмов блочного шифрования, необходимо сказать о наиболее распространенных в настоящее время методах криптоанализа таких алгоритмов. Краткий обзор методов криптоанализа является подготовкой к главе 2. 1.1. Описание алгоритма шифрования ГОСТ 28147-89 Алгоритм ГОСТ 28147-89 принадлежит к классу итерированных блочных шифров, построенных по схеме Файстеля, иными словами, преобразование данных в ходе процедуры зашифрования и расшифрования заключается в многократном последовательном прохождении блока данных через определенный набор операций, называемый раундом шифрования [7, 13, 15 ]. Различные раунды в процессе шифрования отличаются только используемыми в них элементами ключевой информации (в случае ГОСТ 28147-89 – подключами шифрования). Алгоритм ГОСТ 28147-89 оперирует блоками данных длиной 64 бита. Рассмотрим подробно отдельный раунд шифрования по стандарту ГОСТ 28147-89 (рис 1.1). Рис.1.1. Схема одного раунда алгоритма ГОСТ 28147-89
Как и во всех шифрах, построенных на основе сети Файстеля, на вход i -го по счету раунда шифрования поступают два блока данных длиной 32 бит – левая и правая половины полного 64-битового блока 1 iL − и 1 iR − соответственно, получившиеся в результате выполнения предыдущего раунда (или поступившие на вход процедуры шифрования в случае первого раунда). В ходе выполнения раунда сначала блок 1 iR − суммируется по мо дулю 32 2 с подключом раунда – отрезком битовой последовательно сти ключа длиной 32 бит. Затем выполняется преобразование полученного блока данных длиной 32 бит по таблице замен. Таблица замен представляет собой матрицу чисел размерности 8 16 × , содержащую в своих ячейках целые числа от 0 до 15. Строки таблицы замен называются узлами замен. Каждый узел замен содержит 16 различных чисел от 0 до 15 в произвольном порядке и определяет правило, по которому входному 4-битовому вектору сопоставляется выходной 4-битовый вектор. Выходное значение для узла замен определяется следующим образом: входной 4-битный вектор представляется в виде числа от 0 до 15, и из строки узла замен выбирается значение с порядковым номером, равным этому числу (нумерация элементов узла в данном случае ведется с нуля). Так как элементами узла замен являются числа от 0 до 15, то выходное значение узла в двоичном виде также будет иметь длину 4 бита. Для выполнения замены битов по таблице в ходе раунда шифро вания (рис.1.2) результат операции суммирования разбивается на 8 двоичных отрезков длиной 4 бита 0 R , 1R , …, 7 R , которые поступают на вход узлов замен 0 S , 1S , …, 7 S используемой таблицы замен. Ре зультаты замен всех восьми узлов объединяются в 32-битовый блок, являющийся выходным значением таблицы замен. Этот блок затем подвергается операции побитового циклического сдвига влево (в сторону старших битов) на 11 бит. Наконец, результат сдвига побитово суммируется по модулю 2 с левой половиной входного блока 1 iL − и передается на выход раунда шифрования в ка честве правой половины выходного блока iR . В качестве левой по ловины выходного блока iL на выход подается значение 1 iR − . При зашифровании блока данных длиной 64 бита выполняется последовательное прохождение открытого текста через 32 раунда шифрования. Рассмотрим теперь процесс вычисления подключей, используе мых в различных раундах. Стандартом ГОСТ 28147-89 определена длина ключа 256 бит. Эта последовательность бит разбивается на 8 отрезков длиной 0 K , 1 K , …, 7 K по 32 бита каждый, которые и вы
ступают в качестве подключей раундов. Процедура расшифрования данных аналогична процедуре зашифрования, за исключением того, что подключи раундов используются в обратном порядке. Рис.1.2. Схема замены битов по таблице в ходе раунда шифрования по ГОСТ 28147-89 1.2. Режимы работы блочных алгоритмов Стандарт ГОСТ 28147-89 определяет 4 режима криптографиче ского преобразования данных [7,15,24]:режим простой замены, режим гаммирования, режим гаммирования с обратной связью, режим выработки имитовставки. Режим простой замены заключается в поблочной замене 64 битовых блоков открытого текста соответствующими им блоками шифрованного текста, зашифрованными независимо друг от друга на одном ключе. Режим гаммирования заключается в побитовом сложении 64 битовых блоков открытого текста с 64-битовыми блоками гаммы шифра по модулю 2 (рис.1.3). Для инициализации процедуры выработки гаммы требуется зада ние произвольного 64-битового вектора, называемого синхропосылкой, или инициализирующим вектором шифрования. Данное значение является открытым и может быть передано получателю зашифрованного сообщения для инициализации процесса расшифрования в открытом виде. В начале процедуры генерации гаммы шифра синхропосылка од нократно шифруется на используемом для шифрования ключе стандартным образом (на схеме данная процедура обозначена как