Покажем, что для полной компрометации всей системы достаточно
скомпрометировать L базовых наборов любых пользователей системы.
Пусть скомпрометировано L базовых наборов (Si1, Si2,…, SiL)=Icp. Рассмотрим какой-либо нескомпрометированный базовый набор Sil Icp . Тогда
S |
il |
TP . |
(1.9) |
|
il |
|
Выразим Pil через открытые адреса скомпрометированных пользователей
|
L |
|
|
Pil λr Pir . |
(1.10) |
||
|
r 1 |
|
|
Подставляя (1.10) в (1.9), находим
|
L |
|
L |
|
|
Sil T λr Pir |
λr Sir . |
(1.11) |
|||
|
r 1 |
|
r 1 |
|
|
Из выражения (1.11) видно, что базовый набор однозначно находится достаточно простым образом как линейная комбинация скомпрометированных базовых наборов, в которой коэффициенты находятся из уравнения (1.11).
Докажем теперь обратную теорему. Если скомпрометировано L – 1 и менее
базовых наборов каких-либо корреспондентов, то каждый из парных ключей, соответствующий нескомпрометированному корреспонденту, является равновероятным.
Пусть скомпрометированыL – 1 базовых наборов корреспондентов с номерами i1, i2,…, iL–1. Тогда можно по ним вычислить (L – 1)(М – 1) парных ключей, используя соотношение (1.6). Однако среди этого множества ключей, которое мы обозначим через
Ii1 ,i 2 ,...,iL 1 , будут содержаться как совпадающие, так и линейно зависимые ключи,
причем последние определяются как такие ключи Ksk, для которых справедливо равенство:
Ksk |
|
λr Kir jr , |
(1.12) |
(ir , jr ) Ii ,i |
,...,i |
|
|
|
1 2 |
L 1 |
|
где λr – некоторые постоянные из GF(2n).
Рассмотрим множество Iˆi1 ,i 2 ,...,iL 1 , состоящее из (L+2)(L – 1)/2 парных ключей,
отобранных из множества Ii1 ,i 2 ,...,iL 1 следующим образом. Сначала выбирается L
произвольных парных ключей корреспондента i1, затем любые L – 1парных ключей корреспондента с номером i2 и т.д., любые два ключа корреспондента с номером iL–1.
Легко проверить, что каждый парный ключ из множества Ii1 ,i 2 ,...,iL 1 может быть
представлен как линейная комбинация ключей из множества Iˆi1 ,i 2 ,...,iL 1 . Составим систему из (L+2)(L – 1)/2 уравнений следующего вида
L |
|
|
|
|
Kir jr tmm ir jr tsk sir kjr kir sjr . |
|
(1.13) |
||
m 1 |
s k |
|
|
|
Очевидно, что в системе уравнений (1.13) учтены все сведения о |
||||
скомпрометированных личных ключах корреспондентов i1, i2,…, iL–1. |
|
|||
Любой не скомпрометированный парный ключ Kij Ii |
,i |
,...,i |
может быть |
|
представлен как: |
1 |
2 |
L 1 |
|
|
|
|
|
|
L |
|
|
|
|
Kij tmm i j tsk si kj ki sj . |
|
|
(1.14) |
|
m 1 |
s k |
|
|
|
Выразим какой-либо из коэффициентов tskматрицы T через свободный член первого
уравнения системы (1.13) и подставим его во все остальные уравнения системы (1.13) и в (1.14). Затем какой-либо другой коэффициент матрицы T выразим через свободный член второго уравнения и подставим его во все оставшиеся уравнения (1.13) и в (1.14). Продолжая эту процедуру вплоть до использования последнего уравнения системы (1.13) и учитывая то обстоятельство, что число неизвестных в симметричной матрице T равно L(L+1)/2, т.е. на единицу меньше чем число уравнений (1.13), получим представление:
Kij Ats |
k B , |
(1.15) |
0 |
0 |
|
где ts0k0 – последний оставшийся не выраженный через другие коэффициент матрицы T;
A, B GF 2n и не зависят от элементов множества Iˆi1 ,i 2 ,...,iL 1 .
Из представления (1.15) видно, что при любых L – 1 скомпрометированных базовых наборах ключей Ii1 ,i 2 ,...,iL 1 , парный ключ Kij оказывается равновероятным, так как равновероятен элемент ts0k0 GF 2n . Если число скомпрометированных
ключей оказывается еще меньше, чем L – 1, то ясно, что равновероятность любого нескомпрометированного парного ключа тем более выполняется. Что и требовалось доказать.
Таким образом, при построении данной ключевой структуры особое
внимание стоит уделять выбору ее параметров. Наиболее важным является выбор открытых адресов, которые, как было показано выше, должны быть линейно независимыми в любой совокупности из L векторов.
Это условие можно выполнить, если формировать открытые адреса следующим образом:
i |
|
i |
, |
2i |
,..., |
Li |
|
, |
i 2 |
n0 |
1, |
(1.16) |
P |
|
|
|
|
||||||||
где α – примитивный элемент поля GF(2n).
Составим матрицу из L адресов, выбранных таким образом
|
i1 |
i2 |
iL |
|
||
|
2i |
|
2i |
|
2i |
|
A 1 |
2 |
L |
|
|||
|
Li1 |
Li2 |
|
|
||
|
LiL |
|||||
|
|
|
|
|
|
|
и покажем, что определитель этой матрицы не равен нулю. Это будет означать, что L адресов-векторов линейно независимы
Представим матрицуА в виде
|
|
1 |
|
1 |
|
|
... |
|
|
1 |
|
i1 |
... |
|
|
|
||||||||
|
|
|
i1 |
|
|
i2 |
... |
|
|
|
iL |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
i2 ... |
|
|
|
|||||||||
|
2i |
|
2i |
... |
|
|
2i |
|
|
|||||||||||||||
A |
|
1 |
|
2 |
|
|
|
L |
|
|
... ... ... |
. |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
... |
|
|||
... |
|
... |
|
... |
|
|
... |
|
|
... |
|
iL |
|
|||||||||||
|
|
L 1 i1 |
|
L 1 i2 |
... |
|
|
L 1 iL |
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
Определитель этой матрицы равен |
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
A |
|
|
|
V |
|
i1 i2 ... iL , |
|
|
|
(1.17) |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
где V – определитель Вандермонда.
Элемент α в определителе Вандермонда примитивен, поэтому сам определитель не равен нулю, т. е. V 0 (в силу примитивности различные
степени элемента αiприi 2n0 1не совпадают друг с другом).
При любых i1,i2,…,iL, множитель в (1.17) также неравен нулю, следовательно, определитель матрицыА отличен от нуля.
Поэтому выбор открытого адреса Pi по (1.16) обеспечивает линейную
независимость любых наборов из L или меньшего числа открытых адресов. Ясно, что любой из L+1 или большего числа адресов является линейно зависимым, так как пространство всех возможных адресов является L- мерным.
Пример распределения ключей в защищенной сети
Топология защищенной сети М=10
Пример распределения ключей Ключевая структура – Базовый набор
Исходные параметры ключевой структуры: Количество узлов
= 10.Допустимое число компрометаций −2, = 3,
Поле Галуа 2 0 . = 256 + 123 + 1, 0 = 256
1) Генерирование открытых адресов пользователей: |
|||||||||||||||||||||
= |
|
|
, |
, |
= |
|
|
, |
, |
|
|
||||||||||
1 |
= |
107 |
|
251 |
228 |
6 |
|
38 |
|
|
|
64 |
|
|
|
|
30 |
|
|
||
2 |
|
, |
, |
7 = |
|
, |
|
, |
|
|
|||||||||||
|
|
21 |
|
60 |
67 |
|
|
63 |
|
|
|
|
233 |
|
|
|
76 |
|
) |
||
3 |
= |
|
, |
, |
8 = ( |
|
|
|
, |
|
|
|
, |
|
|||||||
|
|
242 |
|
150 |
71 |
|
|
205 |
|
251 |
|
184 |
|
||||||||
= |
|
|
, , |
= ( |
|
|
, |
|
|
, |
) |
||||||||||
4 |
= |
134 |
|
45 |
125 |
9 |
|
147 |
|
|
157 |
|
|
214 |
|
) |
|||||
5 |
|
|
, |
, |
|
= ( |
|
|
|
|
, |
|
|
|
|
, |
|
||||
|
|
177 |
|
209 |
61 |
10 |
|
202 |
238 |
18 |
|
||||||||||
2) Генерирование случайной секретной симметричной матрицы Т размером ×
= 74 127 119
127 36 57 119 57 170
1) Формирование базовых наборов (Для 4 корреспондентв)) |
|
|
+ |
|
|||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
+ |
|
|
|
|
+ |
|
|
|||||||||||||||||
|
|
|
74 |
|
127 |
|
119 |
|
|
|
107 |
|
|
= |
|
|
|
|
181 |
|
|
|
245 |
|
122 |
|
|
214 |
|
91 |
|
||||||||||||||
1 = |
|
127 |
36 |
|
57 |
|
|
251 |
|
|
|
|
|
234 |
|
+ 154 |
+ 31 |
+ 152 |
+ 29 |
|
|||||||||||||||||||||||||
|
|
|
119 |
57 |
|
170 |
|
|
228 |
|
|
|
|
226 + 175 |
+ 52 + 142 + 132 |
+ 9 |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
+ |
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
= |
|
|
|
74 |
|
127 |
119 |
|
|
|
21 |
|
= |
|
|
|
|
95 |
|
|
|
187 |
|
|
|
|
186 |
|
|
|
|
|
|||||||||
|
|
|
2 |
127 |
|
36 |
57 |
|
|
60 |
|
|
|
|
148 |
|
+ 96 |
|
+ 124 |
|
|
|
|
|
|||||||||||||||||||||
|
|
|
|
|
|
119 |
|
57 |
170 |
|
|
67 |
|
|
|
|
140 |
|
+ 117 |
|
+ 237 |
|
|
|
|
||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
+ |
|
|
+ |
+ |
|
||||||||||||||||||||||
|
= |
74 |
|
127 |
|
119 |
|
|
242 |
= |
|
|
183 |
|
|
|
|
60 |
|
|
|
144 |
|
|
|
21 |
|
|
190 |
|
|||||||||||||||
3 |
127 |
|
36 |
57 |
|
|
150 |
|
|
|
236 |
+ 113 |
+ 186 |
+ 128 |
|
|
|||||||||||||||||||||||||||||
|
|
|
119 |
57 |
170 |
|
|
71 |
|
|
|
|
|
228 |
+ 105 |
+ 207 |
+ 241 |
|
|
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
+ |
|
|
||||||||||||||||||||||
|
|
|
|
|
|
|
|
74 |
|
127 |
|
119 |
|
|
|
|
134 |
|
|
= |
|
|
|
|
208 |
|
|
172 |
|
|
244 |
|
|
||||||||||||
|
|
|
4 = |
|
127 |
36 |
57 |
|
|
|
45 |
|
|
|
|
|
128 |
+ 5 + 81 + 182 |
|
|
|||||||||||||||||||||||||
|
|
|
|
|
|
119 |
57 |
170 |
|
|
|
125 |
|
|
|
|
253 |
+ 102 |
|
|
+ 162 |
|
+ 39 |
|
|
||||||||||||||||||||
1) Формирование парных сеансовых ключей корреспондентами 1 и 2 |
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||
= |
|
|
181234+ 245154 |
+ 12231 |
+ 152214 |
+ 2991 |
6021 |
|
|
202 |
|
|
266 |
|
|
143 |
+ |
|
|||||||||||||||
|
|
|
+ |
+ |
+ |
|
+ |
|
|
|
|
= |
|
+ |
+ |
|
|
||||||||||||||||
12 |
|
226 |
+ 175 + 52 |
+ 142 |
+ 132 |
+ 9 |
67 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
235 |
|
+ 242 |
+ 119 + 209 + |
|
|||||||||||||||||||||||||||||
+ 112 + 294 |
+ 214 |
+ 91 |
+ 212 |
+ 89 + 293 |
|
||||||||||||||||||||||||||||
199 |
+ 76 |
= 242 + 235 + 214 |
+ 212 |
+ 209 |
+ 202 |
+ 199 |
+ 161 |
+ 160 |
+ |
|
|||||||||||||||||||||||
143 |
+ 133 + 119 |
+ 112 |
+ 91 |
+ 89 + 76 + 38 |
+ 37 |
+ 10 |
|
|
|
|
|
|
|
|
|||||||||||||||||||
= |
|
14895 + 18796 |
+ 124186 |
|
107251 |
202 |
|
294 |
|
|
293 |
|
|
399 |
|
347 |
|
|
375 |
|
|||||||||||||
|
|
|
+ |
+ |
|
|
|
|
|
= |
|
+ |
+ |
|
+ |
|
+ |
|
+ |
+ |
|||||||||||||
21 |
|
140 |
+ 117 + 237 |
|
228 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
368 |
|
|
|
+ 160 |
+ 37 |
+ 143 |
+ 133 + 10 |
+ 214 |
+ |
||||||||||||||||||||||||
+ 345 + 465 |
= 202 |
|
+ 161 |
+ 38 |
|||||||||||||||||||||||||||||
91 + 242 |
+ 119 + 235 + 112 |
+ 212 |
+ 89 + 209 |
+ 199 |
+ 76 = 242 |
+ 235 |
+ |
||||||||||||||||||||||||||
214 |
+ 212 + 209 |
+ 202 |
+ 199 |
+ 161 |
+ 160 |
+ 143 |
+ 133 |
+ 119 |
+ 112 |
+ |
|
||||||||||||||||||||||
91 + 89 + 76 + 38 |
+ 37 + 10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||