Методы по алгебре Липницкий, БГУИР (Мет пособие) / Пособ_ЗИ

Министерство образования Республики Беларусь

БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАТИКИ И РАДИОЭЛЕКТРОНИКИ

Кафедра радиотехнических систем

С.Б. Саломатин

ЗАЩИТА ИНФОРМАЦИИ

В

РАДИОЭЛЕКТРОННЫХ СИСТЕМАХ

УЧЕБНОЕ ПОСОБИЕ

по курсу

ЗАЩИТА ИНФОРМАЦИИ

для студентов специальности 39 01 01 «Радиотехника» и 39 01 02 «Радиоэлектронные системы»

Минск 2002

1

УДК 681.327 (075.8) ББК 32.811 я 7

С 165

Саломатин С.Б.

С 165 Защита информации в радиоэлектронных системах. Учебное пособие по курсу «Защита информации» для студентов специальности 39 01 01 «Радиотехника» и 39 01 02 «Радиоэлектронные системы».- Мн.: БГУИР, 2002.- 72 с.: ил.

ISBN 985 – 444 – 279-9

В учебном пособии рассмотрены методы криптографической защиты информации и основы криптоанализа. Дано описание основных криптографических алгоритмов защиты информации, включая процедуры симметричного и асимметричного шифрования, электронной подписи, управления ключами.

УДК 681.327 (075/8) ББК 32/811 я 7

© С.Б. Саломатин, 2002

ISBN 985 – 444 – 279-9

2

3

Основные понятия и определения

4

Введение

Защита информации в радиоэлектронных системах является сложной задачей, которая включает в себя: выработку политики безопасности, защиту данных и каналов связи, механизмы аутентификации и управления доступом. Потенциальные нарушения безопасности можно классифицировать следующим образом: несанкционированное раскрытие содержания информации (пассивный перехват), изменение данных и отрицание использования ресурса (активный перехват). Наиболее эффективные системы поддержки политики безопасности базируются на применении криптографических механизмов защиты, которые позволяют обеспечить:

1)конфиденциальность;

2)целостность и подлинность данных;

3)защиту от несанкционированного доступа и навязывания ложных сообщений;

4)аутентификацию (удостоверение личности) пользователя;

5)подтверждение авторства (защиту от отказа факта приема/передачи информации)

Можно выделить следующие подходы к разработке криптосистем.

1. Подход теории информации. При теоретико-информационном подходе подразумевается, что существует криптоаналитик (нарушитель), который проводит криптоанализ и обладает неограниченными временем и вычислительными ресурсами. Криптоанализ осуществляется при наличии только криптограммы и априорных вероятностей для различных ключей и сообщений. Стойкость системы считается взломанной, если имеется контрастное решение для криптограммы: одно сообщение дешифрируется с вероятностью, близкой к единице, для всех остальных - вероятность практически нулевая. При этом стойкость шифра не зависит от сложности метода шифрования или расшифрования. Шифросистема называется совершенно стойкой, если открытый текст и шифрованный текст статистически независимы. Криптоаналитик не получает новых сведений после того, как он увидел криптограмму. Шифросистема относится к классу идеально стойких, если криптоаналитик не может найти единственное, контрастное решение для открытого текста, независимо от того, какое количество шифротекста он сможет получить для анализа.

2. Подход теории систем. В основе теоретико-системного подхода лежит уверенность, что каждая новая криптосистема порождает сложную и прежде не известную проблему для криптоаналитика. Цель разработчика - показать, что ни один из фундаментальных криптоаналитических принципов (таких как, например, "разделяй и вскрывай", статистический анализ и т.п.) неприменим к новой системе. В качестве общих конструктивных критериев, используются такие показатели, как линейная сложность и нелинейность преобразования, корреляционная иммунность и, обратимость алгоритмов шифрования, периодичность смены и длина ключа.

5

3.Подход теории сложности. При этом подходе все вычисления соотносятся с параметром стойкости - обычно это длина ключа, и проводится асимптотический анализ. Вычислительно приемлемыми считаются только те алгоритмы, чье время работы может быть выражено в виде многочлена от размера входа. Цель разработчика - построить свою систему шифрования на основе некоторой проблемы, разрешение которой вычислительно недостижимо (неосуществимо), либо ей эквивалентной.

4.Рандомизированные алгоритмы. Вместо попыток гарантировать, что криптоаналитический процесс потребует недостижимых трудозатрат, разработчик может попытаться доказать, что криптоаналитическая задача имеет необозримые размеры. Это можно сделать с помощью большого, открытого для всех случайного массива чисел, используемого при шифровании

ирасшифровании, т.е. применить рандомизацию алгоритма шифрования. Стойкость системы рандомизированного шифрования может быть оценена (снизу) с помощью среднего числа бит, которые должен проанализировать криптоаналитик до того, как его шансы в определении ключа или открытого текста станут лучше, чем при чисто случайном предположении .

Криптографические системы можно разделить на четыре основных класса: - симметричные (одно-ключевые), которые в свою очередь подразделяются

на блочные и поточные; - асимметричные, двух ключевые с открытым и секретным ключами;

- электронной цифровой подписи; - распределения, хранения и управления ключами; - протоколы обмена информацией.

Прежде чем перейти к описанию и анализу конкретных криптосистем, рассмотрим основные понятия процесса шифрования и расшифрования на примерах моделей криптологии.

6

1.КЛАССИЧЕСКИЕ МОДЕЛИ КРИПТОЛОГИИ

1.1.Модель криптосистемы Шеннона

В1949 году статья К. Шеннона "Теория связи в секретных системах" положила начало научной криптологии. Им был разработан базовый теоретикоинформационный подход к системам засекреченной связи.

Структурная схема модели криптосистемы изображена на рис.1

Рис.1

Отправитель формирует открытый текст X = (x0,…,xn-1). Источник ключей генерирует m знаков ключа K. Режим зашифрования преобразует открытый текст в шифротекст

Модель содержит защищенный канал для передачи секретного ключа

K = (k0, …, km-1).

Противник может пытаться реализовать угрозы, связанные с нарушением секретности, целостности или подлинности. передаваемой информации.

7

Задача криптографа состоит в обеспечении требуемого уровня секретности (криптостойкости) и аутентичности (имитостойкости) системы.

Задачей криптоаналитика - противника является получение открытого текста и секретного ключа на основе анализа шифротекста. При этом апостериорные знания криптоаналитика состоят из апостериорных вероятностей различных сообщений и ключей, которые могли быть извлечены путем наблюдения шифротекста. Подразумевается, что криптоаналитик обладает неограниченными временем и вычислительными ресурсами. Он ограничен условиями атаки на шифротекст, но известный сегмент открытого текста может браться в расчет как добавочная избыточность. Различают следующие уровни атак:

1)атака на основе только шифротекста, зашифрованного на одном ключе;

2)атака на основе известного (невыбранного) открытого текста и соответствующего ему шифротекста, использующего один и тот же ключ;

3)атака (простая или адаптивная) на основе выбранного открытого текста, при которой имеется возможность выбрать необходимое количество открытых текстов и соответствующих им шифротекстов;

4)атака на основе выбранного шифротекста;

5)атака на основе выбранного текста, когда противник может атаковать криптосистему с обеих сторон, выбирая шифровки и дешифруя их, а также выбирая открытые тексты и шифруя их

Система считается «вскрытой», когда имеется контрастное решение для криптограмм: шифротексту соответствует одно вскрытое сообщение с вероятностью, близкой к 1, в то время как все остальные вероятности – нулевые.

Методы криптоанализа. Как правило, базируются на использовании общих или частных математических результатов, полученных для конкретных криптоалгоритмов. Можно выделить:

1)переборные методы, когда полным перебором всех возможных значений ключевого параметра находится решение системы уравнений вида (2), составленной криптоаналитиком на основе имеющихся криптограмм;

2)статистические методы (максимального правдоподобия, частотного криптоанализа и т.п.) решающие задачу вычисления оценки параметра (ключа) по априорным и апостериорным статистическим характеристикам открытого и зашифрованного текстов в рамках принятых моделей и гипотез;

3)вероятностно-комбинаторные методы, использующие представление криптопреобразований в виде комбинаторных конструкций булевых функций, связывающих вход и выход криптомодуля в различных режимах работы, с последующим анализом вероятностных, корреляционных характеристик. В качестве таких конструкций могут использоваться логические дифференциалы

иразности элементов текстов (дифференциальный или разностный криптоанализ) или линейные аппроксимационные уравнения (линейный криптоанализ).

8

Концепция теоретической стойкости. Используются два допущения:

секретный ключ используется только один раз и криптоаналитику доступен лишь шифротекст.

Если H(X) обозначить неопределенность относительно вскрываемого текста и H(X/Y)- условную неопределенность наблюдения Y, тогда взаимная информация

I(X;Y) = H(X) – H(X/Y)

может быть принята в качестве базовой меры засекреченности сообщения. Возможны три случая для проведения криптоанализа:

1.I(X;Y) = 0 для всех n. Это означает, что X и Y статистически независимы. Шифросистема называется совершенно стойкой. Криптоаналитик не может улучшить апостериорное распределение вероятностей открытого текста, используя знание шифротекста независимо от того, какими временем и вычислительными ресурсами он располагает для анализа. Примером является шифр Вернама, одноразового блокнота.

2.0 < I(X;Y) < H(X) для больших n. В этом случае существует остаточная неопределенность открытого текста, которая не может быть сведена к нулю. Ключевая неопределенность H(K / Y) > 0. Криптографические системы с

конечными ключами, для которых H(K / Y) > 0 при n→∞, называются идеально стойкими. Криптоаналитик не может найти единственное решение для открытого текста, независимо от того, сколько он получил информации для анализа шифротекста.

3. I (X;Y) = H ( X ) для больших n. После определения количества бит шифротекста остается только одно решение для открытого текста. Этот случай характерен для большинства реальных шифросистем.

Для анализа несовершенных шифров Шеннон ввел функцию ненадежности ключа f(t) = H (K/y1,…,yt ), являющуюся мерой неопределенности ключа для криптоаналитика, анализирующего первые t знаков шифротекста, и определил показатель теоретической стойкости - расстояние единственности как наименьшее число tmin, для которого f(t) ≈ 0

tmin = min{ t : H(K / Y) ≈ 0 }.

Расстояние единственности определяет количество U символов шифротекста, по которому криптоаналитик может найти одно значение секретного ключа.

Для некоторого "случайного шифра" количество знаков шифротекста, получив которые криптоаналитик при неограниченных ресурсах может восстановить ключ (и раскрыть шифр) оценивается выражением,

U = H( K ) / (r log L y ),

r = 1 - H( X ) / (N log L y) ,

9

где H( K ) - энтропия ключа; r - избыточность шифротекста длиной N из алфавита объемом L. Если Lx = Ly и ключ выбирается случайным образом, то

U= m / r.

При избыточности обычного текста порядка 0,75 и использовании 56битового ключа (такого, как предполагает DES) достаточно 11 символов шифротекста для восстановления ключа при неограниченных ресурсах криптоаналитика.

Согласно постулата Шеннона, шифр имеет рабочую характеристику W(n), которую определил как среднее количество работы, требуемое для нахождения ключа при наличии n цифр шифротекста. Предел limW (n) можно

n→∞

рассматривать как оценку средней работы для вскрытия шифра. На сегодняшний день не существует удобных для практического применения шифров для которых была известна нижняя граница W(n). Реальные шифры обычно рассматривают в терминах так называемой "исторической рабочей характеристики" Wh(n), которую можно определить как среднее количество работы для нахождения ключа по n цифрам шифротекста, когда используется "наилучшая из известных атак". При системном подходе квалифицированного специалиста, Wh(∞) может быть достаточно надежной мерой реальной стойкости шифра. Но всегда существует опасность что действительная W(∞) << Wh(∞), поскольку криптоаналитик может изобрести новый и совершенно неожиданный способ атаки, которая катастрофически понизит Wh(∞).

В основе построения вычислительно стойких шифрах лежат два принципа: рассеивания и перемешивания.

Рассеиванием называется распространение влияния одного знака открытого текста на несколько символов шифротекста, что создает маскировку статистических свойств исходного текста.

Под перемешиванием понимают шифрующее преобразование (обеление), нарушающее взаимосвязи статистических характеристик входного и выходного текста.

1.2. Модель анализа нарушений аутентичности

Под аутентификацией понимается установление подлинности информации независимо от источника самой информации. Законный получатель информации должен установить факт, что полученная информация наиболее вероятно была передана законным отправителем и что она при этом не была заменена (на основе имитации - подделки или подмены шифротекста), и не искажена (контроль целостности).

В качестве модели, отражающей проблемы аутентификации, используется сходная с моделью Шеннона схема (рис.2).

10