Властивості режиму гамування зі зворотним зв’язком за шифргамою (Output Feedback). Властивості гами, оцінка ймовірності появи гами певного періоду за умови відповідності властивостей блокового симетричного шифру певним властивостям випадкової підстановки.
Аннотация к работе
Досліджуються властивості режиму гамування зі зворотним звязком за шифргамою (англомовне позначення - Output Feedback). Із застосуванням математичного апарату теорії підстановок досліджуються періодичні властивості гами, зокрема проводиться оцінка ймовірності появи гами певного періоду за умови відповідності властивостей блокового симетричного шифру певним властивостям випадкової підстановки.Таким чином, режим OFB має кілька переваг: по-перше, шифргама може бути сформована заздалегідь, ще до появи повідомлення, внаслідок чого можна значно прискорити процес захисту інформації; по-друге, в цьому режимі, як і в режимі простої заміни (Electronic Codebook - ECB), помилки, що можуть виникнути при передачі шифротексту по каналах звязку, локалізуються в блоці, не поширюючись на сусідні, причому в режимі OFB помилковими будуть лише біти, які підлягали зміні (в режимі ECB зміниться весь блок); по-третє, криптографічні властивості шифргами не залежать від відкритого тексту, вони визначаються лише властивостями базового криптоперетворення, та, можливо, значенням блоку ініціалізації (синхропосилки), який і визначає конкретний вигляд та періодичність гами. 0 i i i i l - йоване секретним ключем K , як деяку підстановку s , що діє на множині відкритих текстів, тоді період послідовності блоків шифргами ? , ?1 , …, gn-1 відповідатиме одному із циклів s =(y,s (y),s2(y),...,s i 1(y)) підстановки s , де початкове значення циклу y дорівнює значенню синхропосилки S . Таким чином, дослідження періодичних властивостей послідовності блоків шифргами g ,i =0,1,..,n полягає у вивченні циклової структури підстановки s , а саме в оцінці розподілу довжин l циклів s для різних початкових значень y =S базового шифрувального перетворення T(K ) . Розглянемо окремі положення теорії підстановок та їх звязок із властивостями БСШ, зокрема, введемо основні поняття та визначення, які повязані з певними властивостями симетричних блокових криптоперетворень (розподіли кількості циклів, зростань та інверсій тощо). 4), із них три підстановки у цикловому розкладі містять цикли (y ) (yi 1), три підстановки містять цикли (y ) (yi 2), три підстановки містять цикли (y ) (yi 3) і три підстановки містять цикли (y ) (yi 4).Алгоритм симетричного блокового перетворення” передбачено 10 режимів криптоперетворення: проста заміна (базове перетворення), гамування, гамування зі зворотним звязком за шифртекстом, вироблення імітовставки, зчеплення шифрблоків, гамування зі зворотним звязком за шифргамою, вибіркове гамування із прискореним виробленням імітовставки, вироблення імітовставки і гамування, індексованої заміни, захисту ключових даних. Якщо прийняти припущення про відповідність властивостей шифру певним властивостям випадкової підстановки, тоді періодичність гами визначатиметься наявністю циклів у випадково обраній підстановці із симетричної групи, причому обрання підстановки задається значенням секретного ключа. Дослідження властивостей випадково обраної підстановки s з симетричної групи S показали, що ймовірність виникнення циклу s =(y ,s (y ),s2(y ),...,sli-1(y )) будь-якої довжини L =l для довільного фіксованого елементу y з множини Y ={y ,y ,...,y } не залежить ані від цього елементу y , ані від довжини циклу L =l . Наприклад, для 128-розрядного шифру «Калина» при обмеженні довжини гами до 2m у режимі OFB ймовірність того, що блоки гами жодного разу не співпадають, дорівнює 1-2m-l =1-2-68 , тобто значно більше за 1-2-64 . Зворотна величина l,m , тобто ймовірність того, що на довжині не більше 2 Дійсно, якщо досліджуваний криптопримітив у режимі OFB з рівною ймовірністю формує гами будь-якого періоду і ця ймовірність визначається зворотною до степеня підстановки, тоді за циклічними властивостями досліджуваний криптопримітив відповідає ймовірнісним властивостям випадкової підстановки і за цим критерієм може бути прийнятий до застосування.
Вывод
На підставі отриманих результатів можна зробити такі важливі у практичному значенні висновки.
1. Властивості сучасних симетричних криптоперетворень залежать не лише від характеристик БСШ, але й від режимів його застосування. Тому у проекті національного стандарту ДСТУ “Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення” передбачено 10 режимів криптоперетворення: проста заміна (базове перетворення), гамування, гамування зі зворотним звязком за шифртекстом, вироблення імітовставки, зчеплення шифрблоків, гамування зі зворотним звязком за шифргамою, вибіркове гамування із прискореним виробленням імітовставки, вироблення імітовставки і гамування, індексованої заміни, захисту ключових даних.
2. У режимі OFB, який застосовується для забезпечення послуги конфіденційності, вихідне повідомлення захищається шляхом додавання шифргами, яка формується багаторазовим шифруванням одного і того ж несекретного блоку ініціалізації (синхропосилки). Якщо прийняти припущення про відповідність властивостей шифру певним властивостям випадкової підстановки, тоді періодичність гами визначатиметься наявністю циклів у випадково обраній підстановці із симетричної групи, причому обрання підстановки задається значенням секретного ключа.
249
МЕТОДЫ СИНТЕЗА И АНАЛИЗА СИММЕТРИЧНЫХ ШИФРОВ n
3. Дослідження властивостей випадково обраної підстановки s з симетричної групи S показали, що ймовірність виникнення циклу s =(y ,s (y ),s2(y ),...,sli ?1(y )) будь-якої довжини L =l для довільного фіксованого елементу y з множини Y ={y ,y ,...,y } не залежить ані від цього елементу y , ані від довжини циклу L =l . Ця ймовірність залежить лише від порядку n підстановок симетричної групи S і визначається як i i i i i i i i i i
1 2 n i i n зворотна величина, тобто дорівнює 1/n.
4. Таким чином, періодичні властивості гами у режимі гамування зі зворотним звязком за шифргамою визначаються за розподілом ймовірностей кількості циклів випадкової підстановки. Обрання секретного ключа, який параметризує шифрувальну функцію, відповідає обранню конкретної підстановки із симетричної групи, обрання значення синхропосилки відповідає обранню елемента y з множини елементів Y ={y ,y ,...,y } , над якими здійснюється підстановка. Але ані власне значення синхропосилки, ані довжина періоду гами не впливають на ймовірність отримання гами певного періоду. Ця ймовірність визначається лише степенем під- i
1 2 n становки n =2l , тобто за розрядністю l базового шифрувального перетворення.
5. З точки зору практичного застосування симетричних криптоперетворень до шифргами висуваються вимоги неповорності на довжині, що не перевищує встановленої межі. Ймовірність такої події визначається як 1-2m-l , де 2m - обмеження довжини шифргами. Наприклад, для 128-розрядного шифру «Калина» при обмеженні довжини гами до 2m у режимі OFB ймовірність того, що блоки гами жодного разу не співпадають, дорівнює 1?2m?l =1?2?68 , тобто значно більше за 1-2-64 . Зворотна величина l,m , тобто ймовірність того, що на довжині не більше 2
P m блоки шифргами в режимі OFB співпадають бо-дай один раз, дорівнюватиме P,m =2m?l . Ця залежність може використовуватися для обґрун- l тування обмежень на довжину шифргами, коли встановлена верхня межа ймовірності P . l,m
6. Специфікацією БСШ «Калина» [1, 2] рекомендовано певні обмеження на сумарну довжину повідомлень, що захищаються з використанням одного ключа. Стосовно режиму гамування зі зворотним звязком за шифргамою такі обмеження слід розглядати як вимоги до максимальної довжини гами, яка з певною ймовірністю не повторюватиметься. Наведені рекомендації носять принциповий характер, бо саме виникнення повторення гами є найбільш небезпечним випадком в ході застосування режиму OFB, адже в цьому разі зловмисник майже напевно порушить встановлений режим конфіденційності повідомлень. Наприклад, якщо допустима ймовірність повторення блоків гами складає 2-64 , тоді довжина гами для l =128 бітного БСШ «Калина» не
250
має перевищувати 264 блоків (у проекті стандарту це обмеження більш жорсткіше і складає 260 ).
7. Отримані оцінки ймовірності формування гами певного періоду можна розглядати і як критерій обрання криптографічних примітивів, або критерій статистичного тестування. Дійсно, якщо досліджуваний криптопримітив у режимі OFB з рівною ймовірністю формує гами будь-якого періоду і ця ймовірність визначається зворотною до степеня підстановки, тоді за циклічними властивостями досліджуваний криптопримітив відповідає ймовірнісним властивостям випадкової підстановки і за цим критерієм може бути прийнятий до застосування. Власне проведення таких досліджень, зокрема, на нелінійних вузлах замін або на зменшених моделях БСШ є перспективним напрямком подальших робіт. Перспективним також є поширення отриманих результатів на інші режими гамування, зокрема, на режими гамування зі зворотним звязком за шифртекстом, вибіркового гамування із прискореним виробленням імітовставки, вироблення імітовставки і гамування тощо. література
[1] ДСТУ. Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення [Текст]. - Проект стандарту друга (остаточна) редакція. - Київ: Держспоживстан-дарт України, 2014. - 238 с.
[2] Розробка нового блокового симетричного шифру: звіт за перший етап НДР «Алгоритм» (проміжний) / АТ «ІІТ»; кер. І.Д. Горбенко - Харків, 2014. - Том 4. - 304 с.
[3] Сачков В.Н. Введение в комбинаторные методы дискретной математики. - М.: Наука. Гл. ред. физ.-мат. лит., 1982. - 384 с.
[4] Тронин С.Н. Введение в теорию групп. - Казань: Казанский государственный университет, 2006. - 100 с.
[5] Александров П.С. Введение в теорию групп. - М.: Наука, - 1980. - 145 с.
[6] Долгов В.И., Лисицкая И.В., Руженцев В.И. Анализ циклических свойств блочных шифров // Прикладная радиоэлектроника - 2007. - Т. 6, № 2. - С. 257-263.
[7] Кузнецов А.А., Лисицкая И.В., Исаев С.А. Линейные свойства блочных симметричных шифров, представленных на украинский конкурс // Прикладная радиоэлектроника. - 2011. - Т. 10, №2 - С. 135-140.
[8] Сорока Л.С., Кузнецов А.А., Московченко И.В., Исаев С.А. Исследование дифференциальных свойств блочно-симметричных шифров. // Системи обробки інформації. - Х: ХУПС. -2010 - Вип. 6(87). - С. 286-294.
[10] Кузнецов О. О. Аналіз колізійних властивостей режиму вироблення імітовставок із вибірко-
Прикладная радиоэлектроника, 2014, Том 13, № 3
Кузнецов О.О., Горбенко Ю.І., Колованова Є.П. Періодичні властивості шифргами у режимі output feedback вим гамуванням / О. О. Кузнецов, Д. В. Іваненко, Є.П. Колованова // Вісник Харківського національного університету ім. В. Н. Каразіна серія «Математичне моделювання. Інформаційні технології. Автоматизовані системи управління». - 2014. - № 1097, Т. 23. - С. 55-71.
Надійшла до редколегії 2.09.2014 кузнецов олександр олександрович, фото та відомості про автора див. на стор. 207.
Горбенко Юрій Іванович, кандидат технічних наук, технічний директор АТ “ІІТ”. Наукові інтереси: криптографічні системи та протоколи, проектування та розробка систем, комплексів та засобів криптографічного захисту інформації. колованова Євгенія Павлівна, фото та відомості про автора див. на стор. 207.
УДК 004.056.55
Периодические свойства шифргаммы в режиме output Feedback / А.А. Кузнецов, Ю.И. Горбенко, Е.П. Колованова // Прикладная радиоэлектроника: научн.-техн. журнал. — 2014. — Том 13. — № 3. — С. 239-251.
Исследуются свойства режима гаммирования с обратной связью по шифргамме (англоязычное обозначение - Output Feedback). С применением матема-
Прикладная радиоэлектроника, 2014, Том 13, № 3 тического аппарата теории подстановок исследуются периодические свойства гаммы, в частности проводится оценка вероятности появления гаммы определенного периода при условии соответствия свойств шифра определенным свойствам случайной подстановки. Разрабатываются практические рекомендации по применению режима гаммирования с обратной связью по шифргамме, обосновываются требования и ограничения, вытекающие из полученных оценок периодических свойств гаммы.
Ключевые слова: режим шифрования, периодичность гаммы, случайная подстановка, Output Feedback.
Табл.: 5. Ил.: 2. Библиогр.: 10 назв.
UDC 004.056.55
Periodic properties of the output Feedback mode / A.A. Kuznetsov, Yu.I. Gorbenko, E.P. Kolovanova // Applied Radio Electronics: Sci. Journ. — 2014. — Vol. 13. — № 3. — P. 239-251.
The properties of the Output Feedback mode are investigated in this paper. Periodic properties are investigated using the mathematical apparatus of permutations theory. In particular, estimating the probability of occurrence of a specified period gamma is performed, when the properties of the cipher meet certain properties of a random permutation. Practical recommendations for using the Output Feedback mode are developed. Requirements and restrictions arising from of the above estimates of the periodic gamma properties are justified.
Keywords: encryption mode, sequence period, random permutation, Output Feedback.