Иванов Криптографические методы засчиты информации в компютерных 2012

памяти, выделяемой динамически.

2.Учитывая, что значение длины последовательности теперь не влияет на объем затрачиваемой памяти, все существующие оценочные тесты можно будет применять не к части последовательности фиксированной длины (ограниченной в существующих системах несколькими мегабайтами), а в случае необходимости ко всему периоду.

3.Механизм работы модифицированных тестов предполагает досрочное завершение процесса исследования в том случае, если исследуемая статистика вышла за границы доверительного интервала, что существенно сокращает время тестирования.

4.Уменьшение объемов требуемой памяти позволит более свободно варьировать параметры тестирования, увеличивая диапазон используемых значений, что сущеественно повысит функциональность тестов и качество тестирования.

10.4.Комплекс программных средств оценки качества генераторов ПСЧ

Анализ недостатков существующих систем для тестирования генераторов ПСЧ позволяет перечислить свойства, которые должна иметь полнофункциональная система для исследования статистических свойств ПСП.

1.Полнота тестов. Каждый отдельно взятый (даже очень сильный) оценочный тест можно «обмануть», т.е. сформировать заведомо плохую последовательность, не удовлетворяющую совокупности сформулированных требований, но успешно проходящую рассматриваемый тест. Учитывая, что задача определения минимально допустимой совокупности тестов вряд ли имеет решение, должны быть реализованы все тесты, рекомендуемые для исследования генераторов, к качеству выходных последовательностей которых предъявляются наиболее жесткие требования. При этом система должна содержать как оценочные, так и графические тесты. Ни одна из сущест-

301

вующих систем не удовлетворяет этому требованию.

2.Оценка периода. Система должна содержать средства выявления периодичности в анализируемых последовательностях. При этом пользователь должен иметь возможность выбирать, проверять ли ему всю последовательность, фрагмент длиной в период и др. В существующих системах отсутствует возможность определения периода. Более того, зачастую длина анализируемой последовательности жестко задана.

3.Оценка корреляции. В качественных ПСП должна отсутствовать корреляция между отдельными выборками. Кроме того, в ряде случаев нелинейные преобразования, осуществляемые функцией обратной связи или функцией выхода генератора, состоят из нескольких шагов (раундов, уровней и пр.). Система должна содержать средства для анализа изменений, вносимых каждым шагом преобразования.

4.Настройка параметров тестирования. Пользователь должен иметь возможность настраивать параметры тестирования (например, задавать границы для количественных характеристик тестов, длины подпоследовательностей и т.д.). В существующих системах большинство параметров, как правило, фиксировано.

5.Интерпретация результатов. Результатом выполнения оценочного теста является численная характеристика. Зачастую для того, чтобы трактовать полученное значение, необходимо знать структуру теста. Поэтому система должна представлять результат в виде, понятном даже

неподготовленному пользователю. В существующих системах такая возможность отсутствует.

Структура комплекса. На рис. 10.1 показана структура программного комплекса, отвечающего всем вышеперечисленным требованиям. В его состав входят следующие блоки.

Блок работы с файлами. Предназначен для считывания последовательностей из файлов и передачи их для обработки в тестовый блок.

Блок тестирования. Предназначен для исследования статистических свойств ПСП. В его состав входят три модуля:

302

оценки качества (набор из 7 графических и 16 оценочных тестов), оценки периода и оценки корреляции между фай-

лами.

Блок настроек. Предназначен для определения имен тестируемых файлов или директорий, а также параметров тестов (границ для P-value, размеров серий и т.д.) и параметров тестирования (размера области тестирования, набора тестов и т.д.).

Блок отчета. Предназначен для просмотра, записи и печати результатов тестирования.

Блок управления. Обеспечивает согласованную работу всех блоков комплекса и взаимодействие с пользователем.

Рис. 10.1. Структура комплекса программных средств для исследования статистических свойств ПСП

Контрольные вопросы

1.Чем псевдослучайная последовательность отличается от истинно случайной?

2.Что такое графические статистические тесты?

3.Что такое оценочные статистические тесты?

4.Приведите пример графического статистического теста.

303

5.Приведите пример оценочного статистического теста.

6.Опишите последовательность статистического тестирования генераторов ПСЧ по методике НИСТ.

7.Сформулируйте требования к полнофункциональному комплексу оценки качества генераторов ПСЧ.

304

ЧАСТЬ 3. ЭЛЛИПТИЧЕСКАЯ КРИПТОГРАФИЯ

ГЛАВА 11. ЭЛЛИПТИЧЕСКИЕ КРИВЫЕ

ИКРИПТОГРАФИЯ

11.1.Основные понятия и определения

Эллиптической криптографией называют всё множество криптографических алгоритмов и протоколов, использующих свойства эллиптических кривых над конечными полями

Наиболее общее определение эллиптической кривой дает уравнение Вейерштрасса:

Для конечного поля Галуа GF(p), где p > 3 и является простым числом, уравнение Вейерштрасса имеет вид

где а и b – элементы поля GF(p), такие, что справедливо выражение

4a3 27b2 ζ 0 mod p .

Для расширенного поля GF(2m) уравнение Вeйерштрасса принимает вид

где a1, a2, a3, a4, a6, а, b и c – элементы поля GF(2m), т.е. полиномы степени m – 1 над полем GF(2). В уравнении (11.3) b ζ 0, а в

уравнении (11.4) c ζ 0 .

Уравнение (11.4) описывает суперсингулярную кривую. Для нее проблема дискретного логарифма эффективно решается. Поэтому суперсингулярные кривые неприменимы для целей криптографической защиты. Уравнение (11.3) описывает несуперсингулярную кривую.

Эллиптичная кривая Е над конечным полем задается множеством точек на плоскости P = (xp, yp), где xp и yp – элементы поля. Элементы поля a и b называются коэффициентами эллиптической кривой Е.

305

Важным свойством эллиптической кривой является возможность представления множества точек кривой в виде группы.

11.2. Группа точек эллиптической кривой

Рассмотрим эллиптическую кривую Е (рис. 11.1), определенную над множеством вещественных чисел и соответствующую

уравнению

y2 + y = x3 – x2.

На этой кривой лежат только четыре точки, координаты которых (рис. 11.1) целые числа. Это точки

А(0, 0), В(1, –1), С(1, 0) и D(0, –1).

Покажем, что эти четыре точки в совокупности с бесконечно удалённой точкой О образуют группу. Для этого введем для них операцию сложения. Для определения операции сложения на группе точек эллиптической кривой будем считать, что:

на плоскости существует бесконечно удаленная точка О E, в которой сходятся все вертикальные прямые; касательная к кривой пересекает точку касания Р два раза (это допущение становится понятным, если вспомнить, что касательная PR суть предельное положение секущей PM (рис. 11.2) при стремлении точки М к точке Р).

Теперь можно сформулировать правила сложения точек

P, Q E:

проведем прямую линию через точки P и Q, найдем третью точку S пересечения этой прямой с кривой Е;

проведем через точку S вертикальную прямую до пересечения с кривой E в точке T;

искомая сумма равна P + Q = T (рис. 11.3).

Применив это правило к группе точек G = {A, B, C, D, O}, получим

A + A = B, A + B = C, A + C = D, A + D = O,

т.е. определенная нами операция сложения удовлетворяет условию замкнутости. Кроме того,

2А = В, 3А = С, 4А = D, 5А = О, 6А = А (рис. 11.4),

иначе говоря, группа является циклической. Аналогично можно проверить и остальные свойства группы. Для любых точек P, Q G справедливо P + Q = Q + P. Для любой точки P G

306

справедливо P + O = P, иными словами, точка О суть нейтральный (аддитивный единичный) элемент группы G.

O

E

y

D B

Рис. 11.1. Группа из пяти точек эллиптической кривой Е, соответствующей уравнению y2 + y = x3 – x2, О – бесконечно удаленная точка

P

R

M

Рис. 11.2. Касательная к эллиптической кривой

307

y

T

x

P

Q

S

Рис. 11.3. Сложение точек на эллиптической кривой. P + Q = T

O

A C

D B

Рис. 11.4. Аддитивная абелева группа {A, B, C, D, O} на эллиптической кривой

308

11.3. Сложение точек эллиптической кривой

В реальных криптосистемах часто используется уравнение y2 = x3 + ax + b,

где a, b GF(p), 4a3 + 27b2 ζ 0 (mod p), p > 3 – простое. Группа

E(GF(p)) состоит из всех точек (x, y), где x, y GF(p), удовлетворяющих уравнению, и бесконечно удаленной точки O. Определенная над точками из E(GF(p)) операция сложения алгебраически может быть описана следующим образом.

Пусть P = (x1, y1) и Q = (x2, y2). Тогда P + Q = (x3, y3), где

x3 = λ2 – x1 – x2,

y3 = λ(x1 – x3) – y1,

а

Число λ суть угловой коэффициент секущей, проведенной че-

рез точки P = (x1, y1) и Q = (x2, y2). При P = Q секущая превращается в касательную, чем и объясняется наличие двух формул

для вычисления λ.

Для любой точки P E(GF(p)) справедливо

P + O = O + P = = P.

Если P = (x, y) E(GF(p)), то (x, y) + (x, –y) = O. Точка

(x, –y) E(GF(p)) является обратным элементом по отношению к P и обозначается –P.

Иначе говоря, вышеприведенные уравнения справедливы, кроме двух тривиальных случаев:

если одно из слагаемых совпадает с бесконечно удаленной точкой: Q = O, тогда P + Q = O;

если P = (x, y), Q = (x, –y), тогда P + Q = 2.

309

11.4. Скалярное умножение точек эллиптической кривой

Скалярное умножение определяется для каждой точки на Е(GF(p)) или Е(GF(2m)). Если точка Р Е(GF(p)) или Е(GF(2m)), а k N – целое положительное, то

k υ P P P P P ,

kраз

где операция (+) есть операция сложения на эллиптической кривой.

Алгоритм умножения точек (left-to-right binary method)

Вход: эллиптическая кривая E, положительное целое число k

ставление числа k . Выход: Q = k υ P.

1)Пусть k = ( km - 1 , … , k1 , k0 )2.

2)Q ← O.

3)Для i от m – 1 до 0

Q ← 2Q.

Если ki = 1, то Q ← Q + P. 4) Возвращаем Q.

Пример

Вход: E : y2 x3 x 1 кривая над GF(5), k = 13, и P = (0, 1).

Q= O, k = (1101)2.

1)Вычисляем:

Q = O.

Так как k3 = 1, Q = Q + P = (0,1).

2) Вычисляем:

Q = 2Q = 2(0, 1) = (4, 2).

Так как k2 = 1, Q = Q + P = (4, 2) + (0,1) = (2, 1).

3) Вычисляем:

Q= 2Q = 2(2, 1) = (2, 4). Так как k1 = 0, Q = (2, 4).

4)Вычисляем:

Q= 2Q = 2(2, 4) = (2, 1).

Так как k0 = 1, Q = Q + P = (2, 1) + (0,1) = (3, 4).

310