1

УДК 004.421.5: 519.2

РАСПОЗНАВАНИЕ И ОЦЕНИВАНИЕ ПАРАМЕТРОВ КРИПТОГРАФИЧЕСКИХ

ГЕНЕРАТОРОВ

Палуха Владимир Юрьевич, выпускник магистратуры

Руководитель: Харин Юрий Семёнович,

зав. кафедрой ММАД, доктор физ.-мат. наук, профессор, чл.-корр. НАН Беларуси

ВВЕДЕНИЕ

Современные средства криптографической защиты информации используют случайные и

псевдослучайные последовательности 1 2, , ... {0,1}x x V [1]. Случайные последовательности

генерируются при помощи физических генераторов, а псевдослучайные – при помощи

программных генераторов. Практическую значимость имеют генераторы последовательностей,

близких по своим свойствам к равномерно распределённой случайной последовательности

(РРСП). РРСП – это случайная последовательность x1, …, xt, …, определённая на вероятностном

пространстве (Ω, F, P) и удовлетворяющая требованиям [1]:

C1: Для любого n и произвольных значений индексов 1 ≤ t1 < … < tn случайные

величины 1,...,

nt tx x независимы в совокупности.

C2: Для любого номера t случайная величина xt является бернуллиевской и имеет

равномерное распределение вероятностей { } 1 2,tP x i i V .

Гипотезу о том, что выходная последовательность генератора {xt} является равномерно

распределённой, будем обозначать *H = {{xt} есть РРСП}.

Более подробно требования к генераторам описаны в [2]. В современной криптографии

стойкость генератора часто определяется в терминах теории вероятностей и математической

статистики. Поэтому в качестве направления исследований выбрана теория вероятностей, а для

решения поставленных и сформулированных ниже задач исследования используются методы

математической статистики. Дадим краткое описание задач криптоанализа, из которых вытекают

поставленные в исследовании задачи.

В условиях атак на криптосистемы при известных, выбранном и выбираемом открытых

текстах криптоаналитику становится известен отрезок последовательности x1, x2, …, xT [1].

Требуется решить одну из следующих задач: 1) определить ключ; 2) не определяя ключа,

построить алгоритм вычисления последующих значений xT + 1, xT + 2, …. В [1] эти задачи

обозначены как задачи S1 и S2. Для решения этих задач необходимо определить, какой тип

генератора случайной или псевдослучайной последовательности использовался. При проведении

испытаний СКЗИ [1, 3] с целью оценки их надёжности возникает задача обнаружить, не

ухудшились ли криптографические свойства генератора с течением времени. В [1] эта задача

обозначена как задача S3. Математической сущностью этих практических задач криптоанализа

является задача статистического распознавания генераторов случайных и псевдослучайных

последовательностей, т.е. задача отнесения (классификации) наблюдаемой выходной

последовательности генератора 1 2, , ..., Tx x x V некоторой конечной длительности T к одному из

L (2 ≤ L < +∞) классов Ω1, …, ΩL. Как известно, при решении задачи статистического

распознавания образов [4] выделяются два этапа: наиболее трудный этап построения пространства

M информативных признаков ρ1, …, ρM, несущих информацию о разделимости классов {Ωi}; этап

построения решающего правила (разделяющих поверхностей) в пространстве найденных

информативных признаков ρ1, …, ρM. Информативные признаки для распознавания генераторов

можно строить на основе различных величин [1-A, 5-A, 11-A].

Для полного решения описанных выше криптоаналитических задач S1, S2, S3 необходимо не

только определить тип генератора, но и оценить его параметры. В [14-A] был изложен подход к

2

«прямому» оцениванию параметров генератора псевдослучайных последовательностей, т.е.

оцениванию параметров его математической модели. Однако в большинстве случаев эта задача

является трудоёмкой. При рассмотрении элементов выходной последовательности как реализаций

некоторой случайной величины на вероятностном пространстве естественной является

аппроксимация детерминированной математической модели генератора вероятностной моделью.

В теории вероятностей аналогом генераторов псевдослучайных последовательностей являются

цепи Маркова высокого порядка. Существуют различные малопараметрические модели цепей

Маркова, для которых известны алгоритмы оценивания их параметров.

Целью данного исследования является построение информативных признаков, описание их

вероятностных свойств, построение алгоритмов распознавания криптографических генераторов, а

также аппроксимация криптографических генераторов малопараметрическими марковскими

моделями. Поставлены задачи реализации на компьютере построенных признаков и их

применения для распознавания генераторов по выходным последовательностям, оценивания при

помощи программных средств параметров аппроксимационной марковской модели для

построения статистической оценки параметров исходного генератора псевдослучайных

последовательностей.

1 РАСПОЗНАВАНИЕ ГЕНЕРАТОРОВ

1.1 Подход к построению информативных признаков

Будем предполагать, что выходная последовательность генератора tx V является

случайной последовательностью на некотором вероятностном пространстве (Ω, F, P). Разобьём

последовательность X = x1, x2, …, xT на l фрагментов длины s(n) ( ) ( )1 , ,n n

lX X . Пусть наблюдается

некоторая статистика a(n) = f(X, n) при различных параметрах длины фрагмента [ , ]n n n ,

1 n n ; **( ) { ( )}Ha n E a n – математическое ожидание этой статистики при истинной гипотезе

*H . Статистика a(n) и её математическое ожидание *( )a n проиллюстрированы на рисунке 1. В

качестве признака предлагается использовать уклонение a(n) от математического ожидания в l1 –

метрике:

*

1| ( ) ( ) |.

1

n

n n

a n a nn n

(1.1)

Чем ρ больше, тем больше свойства генератора отличаются от РРСП.

Признак (1.1) можно модифицировать, взяв нормированное уклонение:

*

*

| ( ) ( ) |1.

1 | ( ) |

n

n n

a n a n

n n a n

(1.2)

Рисунок 1 – Статистика a(n) и её математическое ожидание a*(n)

100 200 300 400 n0.991

0.992

0.993

0.994

0.995

0.996

0.997

0.998

a n

a n

a n

a n

3

1.2 Описание алгоритма статистической классификации

Опишем применение метода дискриминантного анализа для решения задачи распознавания в

случае двух классов, когда признаки имеют нормальное распределение. Обоснованием

предположения нормальности распределения вероятностей признаков является общий вид

признаков (1.1), (1.2), допускающий применение центральной предельной теоремы при 1n .

Пусть по входной последовательности построен признак ρ и имеется mi обучающих реализаций ( ) ( )1 ,

i

i im

, принадлежащих классу Ωi, {1, 2}i . Построим оценки математического ожидания

вектора признаков и ковариационной матрицы для каждого из классов. Оценка для

математического ожидания в классе Ωi есть выборочное среднее:

( )

1

1ˆ ,

imi

i m

mim

(1.3)

а оценка для дисперсии – выборочная дисперсия:

2 ( ) 2

1

1ˆ ˆ( ) ,

1

imi

i m i

mim

(1.4)

Байесовское решающее правило имеет вид [5]:

2 2 2

0{1,2}

ˆ ˆ ˆ ˆ( ) arg min (ln ( ) 2ln ), ,i i i ii

d d

(1.5)

где оценки { ˆi } и { 2ˆ

i } вычисляются по формулам (1.3) и (1.4) соответственно, априорные

вероятности классов полагаем равными, т.е. 1

ˆ { } , {1, 2}2

i iP i .

1.3 Распознавание с использованием признаков на основе рангов матриц

Разбиваем наблюдаемый ряд x1, x2, … на фрагменты длины s(n) = n2

2(1) (2), ,... nX X V :

2 2

( )

( 1) 1( , , )k

k n knX x x

. Используя k-й фрагмент

2

2

( ) ( ) ( )1( , , )k k k n

nX x x V выходной

последовательности, построим (n × n) – матрицу

2

( ) ( )1

( ) ( )

( ) ( )( 1) 1

( ) .

k kn

k k n nij

k kn n n

x x

A a V

x x

(1.6)

Ранг этой матрицы отражает наличие функциональной зависимости в последовательности.

Если rank(A(k)

) = r < n, то в матрице A(k)

имеется n – r линейно зависимых над Vn строк. Обозначим

ранг матрицы (1.6) ( ) ( )( ) {0,1, ..., }k kr rank A n . Пусть наблюдается l фрагментов, т.е. T = l · n

2.

Определим статистику, имеющую смысл среднего относительного ранга:

( )

1

1( ) ,

lk

k

v n rnl

(1.7)

Теорема 1.1. При верной гипотезе *H математическое ожидание и дисперсия статистики

(1.7) имеют вид [1]:

* *

0

1{ ( )} ( ) ,

n

H nj

j

E v n v n q jn

(1.8)

*

2 2 2*2

0

1{ ( )} ( )

n

H nj

j

D v n q j n v nln

,

4

где 2

*

1 2( ) (2 )

0

(1 2 ){ } 2 , {0,1,..., }

1 2

j i nk j n j n

nj H i ji

q P r j j n

.

На основании статистик { ( ) : }v n n n n построим информативные признаки согласно

(1.1):

*

1| ( ) ( ) |.

1

n

n n

v n v nn n

(1.9)

Продемонстрируем применение признаков для распознавания генераторов в случае двух

классов: L = 2. Для этого сначала приведём определения двух типов генераторов.

Пусть регистр сдвига с линейной обратной связью (РСЛОС) №1 генерирует «элементарную»

двоичную последовательность {at}, а РСЛОС №2 генерирует двоичную «управляющую»

последовательность {st}. С помощью этих двух последовательностей {at}, {st} строится выходная

последовательность {xt}, которая включает те биты at, для которых соответствующее значение st =

1; если st = 0, то значение at игнорируется (отбрасывается). Такой генератор называется

прореживающим [6].

Самосжимающий [7] генератор является модификацией прореживающего. Вместо генерации

управляющей последовательности и последовательности, подлежащей сжатию, от двух разных

регистров, они обе берутся из одного и того же регистра. Регистр сдвигается на два такта. Если

первый бит в паре равен 1, то выход генератора – второй бит этой пары. Если первый бит равен 0,

то оба бита игнорируются, и делается ещё два такта.

Пусть Ω1 – прореживающий генератор с характеристическим примитивным многочленом 63-

й степени порождающего РСЛОС и порождающим многочленом f(x) = x13

+ x8 + x

5 + x

3 + 1

управляющего РСЛОС; Ω2 – самосжимающий генератор с характеристическим примитивным

многочленом 63-й степени порождающего РСЛОС.

В качестве признака ρ используется значение величины (1.9). Таким образом, имеем

одномерное пространство признаков. Для каждого из классов Ω1 и Ω2 сгенерированы 30

последовательностей. В качестве порождающих многочленов порождающих регистров сдвига

используются три примитивных многочлена: g1(x) = x63

+ x54

+ x44

+ x20

+ 1, g2(x) = x63

+ x60

+ x22

+

+ x18

+ x8 + x

5 + 1, g3(x) = x

63 + x + 1. Для каждого многочлена в каждом из классов сгенерированы

10 последовательностей одинаковой длины T = 107, которые отличаются начальным заполнением

порождающего регистра сдвига. Для обучения используется по одной последовательности от

каждого многочлена, т.е. для каждого из классов имеем 3 обучающие реализации

(m1 = m2 = 3). Оставшиеся 27 реализаций каждого из классов используются для оценивания

вероятности ошибки распознавания.

Заданы параметры n– = 1, n+ = 2236. Получены следующие значения оценок математического

ожидания и дисперсии:

1̂ = 0.001575833409, 21̂ = 0.1120998871∙10

–8;

2̂ = 0.0001741820352, 22̂ = 0.706244773∙10

–12.

Вместо дискриминантного анализа применим более простое линейное решающее правило:

1 2

1 2

ˆ ˆ1, 0.008750077221;

2( )

ˆ ˆ2, 0.008750077221.

2

d

Таблица 1.1 – Результаты распознавания

Класс Число решений

в пользу Ω1

Число решений

в пользу Ω2

Условная вероятность

ошибки

Ω1 27 0 0

Ω2 0 27 0

5

Результаты распознавания представлены в таблице 1.1; оценка безусловной вероятности

ошибки равна 0.

Таким образом, самосжимающий и прореживающий генераторы оказались хорошо

различимы с помощью признаков на основе рангов матриц. Данные результаты опубликованы в

[1-A – 3-A, 7-A, 8-A, 10-A, 12-A].

1.4 Распознавание с использованием признаков на основе определителей матриц

Определитель матрицы позволяет учитывать зависимости между элементами матрицы. Для

наблюдаемой двоичной последовательности 1 2, , ..., {0,1}Tx x x V вычислим следующие

статистики, основанные на детерминантах 2( , , )n T T n :

2 2 2

2 2 2

2 2 2 2

1 14 1 4 22 (2) 2 (2)

1

4 3 4 40 0

1 2

11 2 2( ) 2 ( )

20

( 1) 1 ( 1) 2

1 1(1) , (2) ( ) , ,...,

1( ) ( ) , ; .

T lt t

t t t

t tt t

n t n t n t n

ln t n n t n n t nn n

t t

t

n t n n n t n n n t n

x xx D D

x xT l

x x x

x x x Tn D D l

l n

x x x

(1.10)

Теорема 1.2. При верной гипотезе *H математическое ожидание величины ( ) 2( )ntD равно

*

( ) 2*

( 1)!{( ) } ( ) , 2,3,..., 1,2,

4

nH t n

nE D n n t

(1.11)

Заметим, что при увеличении n значение *( )n из (1.11) растёт экспоненциально. Поэтому на

практике удобно использовать не β(n), а lnβ(n). На основании статистик { ( ) : }n n n n и их

математических ожиданий (1.11) построим информативные признаки согласно (1.2):

*

*

| ln ( ) ln ( ) |1.

1 | ln ( ) |

n

n n

n n

n n n

(1.12)

Перед описанием проведённого эксперимента дадим определение генератора Макларена –

Марсальи [1]. Пусть генератор G1 порождает последовательность {xt} над A = {0, …, N – 1};

генератор G2 порождает последовательность {yt} над B = {0, …, K – 1}; и имеется таблица

T = {T(0), …, T(K – 1)}. Заполняем таблицу T первыми K членами последовательности {xt}:

T(i) = xi + 1, i = 0, …, K – 1. Выходную последовательность {zt} вычисляем следующим образом:

s = yk + 1; zk + 1 = T(s); T(s) = xK + k, k = 0, 1…

Рассмотрим задачу распознавания двух криптографических генераторов: Ω1 – генератор

Макларена-Марсальи, в котором генератором G1 является РСЛОС с порождающим примитивным

многочленом f1(x) = x63

+ x54

+ x44

+ x20

+ 1, а генератором G2 является РСЛОС с порождающим

примитивным многочленом f2(x) = x13

+ x8 + x

5 + x

3 + 1, глубина памяти K = 64, мощность алфавита

|A| = 256; Ω2 – самосжимающий генератор с порождающим примитивным многочленом f(x) = x63

+

+ x54

+ x44

+ x20

+ 1. Определение самосжимающего генератора давалось в разделе 1.3. Следует

пояснить, что выходная последовательность генератора Макларена – Марсальи

преобразовывалась в двоичную.

В качестве признака ρ используется значение величины (1.12). Таким образом, имеем

одномерное пространство признаков. Для каждого из классов Ω1 и Ω2 сгенерированы по 40

последовательностей одинаковой длины T = 107, которые отличаются начальным заполнением

регистров сдвига. По две последовательности (m1 = m2 = 2) от каждого класса используются для

обучения, на остальных тридцати восьми оценивается вероятность ошибки распознавания.

Заданы параметры n– = 1, n+ = 50. Получены следующие значения оценок математического

ожидания (1.3) и дисперсии (1.4):

6

1̂ = 0.00426849646, 21̂ = 0.8954700571∙10

–7;

2̂ = 0.002332863713, 22̂ = 0.2343647879∙10

–6.

Для распознавания применяется байесовское решающее правило (1.5), которое принимает

следующий вид:

1, [0.003493405; 0.007437356];

( )2, [0; 0.003493405) (0.007437356; ).

d

Результаты распознавания представлены в таблице 1.2; оценка безусловной вероятности

ошибки равна 0,065.

Таблица 1.2 – Результаты распознавания

Класс Число решений

в пользу Ω1

Число решений

в пользу Ω2

Условная вероятность

ошибки

Ω1 33 5 0,13

Ω2 0 38 0

Таким образом, генератор Макларена – Марсальи и самосжимающий генератор оказались

хорошо различимы с помощью признаков на основе определителей матриц. Данные результаты

опубликованы в [7-A, 8-A, 10-A].

1.5 Распознавание с использованием признаков на основе энтропии

Пусть 1,..., 1 1{ ,..., }

ni i t t n np P x i x i – распределение вероятностей n-граммы

1( ,..., )t t n nx x V , которое предполагается не зависящим от t . Многомерная (n-мерная)

энтропия Шеннона для фрагмента длины n равна [1]:

1 1

1

, , , ,

, ,

( ) ln .n n

n

i i i i

i i V

h n p p

(1.13)

Теорема 1.3. Если справедлива гипотеза *H , то

*

* *( ) ( ) ln 2 (1).H

h n h n n nh (1.14)

В случае, если наблюдаемая последовательность описывается некоторой марковской

моделью, энтропия при истинной гипотезе *H принимает специальный вид [4-A].

Обозначим: 1

1

2n

jj

j

i i

– представление числа {0,1, , 2 1}ni в двоичной системе

счисления, 1

1,...,

1

( ) { 2 } , 0, , 2 1n

nj n

i j i i

j

p n P x i p i

. Пусть наблюдается l фрагментов X(1)

,

…, X(l)

. Построим статистические оценки распределения вероятностей { ( )}, 0, , 2 1nip n i :

( ) ( )

( )( ) 1 ( )

, , ( )1 1

1, ;1ˆ ( ) , 2 ,

0, .k k

kl nk j k

i jX i X i kk j

X ip n X x

l X i

Используя подстановочный принцип, построим статистическую оценку энтропии (1.13):

2 1

0

ˆ ˆ ˆ( ) ( ) ln ( ).

n

i i

i

h n p n p n

(1.15)

Теорема 2.4. Если справедлива гипотеза *H , то при l → ∞ распределение вероятностей

статистики ˆ( )h n сходится к нормальному распределению вероятностей с асимптотическим

математическим ожиданием (1.14).

7

В качестве статистики a(n) из раздела 1.1 можно взять оценку (1.15), математическое

ожидание которой при истинной гипотезе *H определяется (1.14). На основании статистик

ˆ{ ( ) : }h n n n n построим информативные признаки согласно (1.1):

*

1 ˆ| ( ) ( ) |.1

n

n n

h n h nn n

(1.16)

В [8] предложено использовать приращение энтропии при увеличении длины

рассматриваемого фрагмента. Пусть наблюдается последовательность 1, , {0,1}.Tx x V Для

удобства «зациклим» последовательность до длины T + n – 1: xT + 1 = x1, …, xT + n – 1 = xn – 1.

Воспользуемся оценкой энтропии (1.15). Обозначим приращение энтропии

ˆ ˆ ˆ( , ) ( ) ( 1), ( ,1) (1).g T n h n h n g T h (1.17)

Теорема 2.5. Если T, n → ∞, 02n

T и верна гипотеза *H , то g(T, n) имеет

асимптотически нормальное распределение с асимптотическим математическим ожиданием

* *

1

ln( 1){ ( , )} ( ) ( 2 1).

!

kk

H

k

kE g T n g e e

k

(1.18)

На основании статистик (1.17) и их математических ожиданий (1.18) построим

информативные признаки согласно (1.1):

*

1| ( , ) ( ) |.

1

n

n n

g T n gn n

(1.19)

Рассмотрим задачу распознавания двух криптографических генераторов: Ω1 –

самосжимающий генератор с характеристическим примитивным многочленом порождающего

регистра сдвига f1(x) = x32

+ x16

+ x7 + x

2 + 1; Ω2 – самосжимающий генератор с

характеристическим примитивным многочленом f2(x) = x63

+ x54

+ x44

+ x20

+ 1. В качестве

признаков ρ используются значения величин (1.16) и (1.19). Таким образом, имеем одномерные

пространства признаков. Для каждого из классов Ω1 и Ω2 сгенерированы 40 последовательностей

одинаковой длины T = 107, которые отличаются начальным заполнением порождающего регистра

сдвига. По две последовательности от каждого класса (m1 = m2 = 2) используются для обучения, на

остальных тридцати восьми оценивается вероятность ошибки распознавания.

Для признака (1.16) заданы параметры n– = 1, n+ = 20. Получены следующие значения оценок

математического ожидания (1.3) и дисперсии (1.4):

1̂ = 0.1050088479, 21̂ = 0.3208798039∙10

–8;

2̂ = 0.1048425232, 22̂ = 0.3079484568∙10

–8.

Признаки (1.16) имеют асимптотически нормальное распределение при

l → ∞. Это следует из теоремы о функциональном преобразовании нормально распределённых

величин [5] и теоремы 1.4. Для распознавания применяется байесовское решающее правило (1.5),

которое принимает следующий вид:

1, [0; 0.09683808) (0.104925219; );

( )2, [0.09683808; 0.104925219].

d

Результаты распознавания представлены в таблице 1.3; оценка безусловной вероятности

ошибки равна 0,22.

Таблица 1.3 – Результаты распознавания

Класс Число решений

в пользу Ω1

Число решений

в пользу Ω2

Условная вероятность

ошибки

Ω1 32 6 0,16

Ω2 11 27 0,29

8

Для признака (1.19) заданы параметры n– = 1, n+ = 20. Получены следующие значения оценок

математического ожидания (1.3) и дисперсии (1.4):

1̂ = 0.00003259298, 21̂ = 0.234159299∙10

–9;

2̂ = 0.000007380855, 22̂ = 0.176256469∙10

–10.

Признаки (1.19) имеют асимптотически нормальное распределение при

l → ∞. Это следует из теоремы о функциональном преобразовании нормально распределённых

величин [5] и теоремы 1.5. Для распознавания применяется байесовское решающее правило (1.5),

которое принимает следующий вид:

1, 0.000015588;

( )2, 0.000015588.

d

Результаты распознавания представлены в таблице 1.4; оценка безусловной вероятности

ошибки равна 0.

Таблица 1.4 – Результаты распознавания

Класс Число решений

в пользу Ω1

Число решений

в пользу Ω2

Условная вероятность

ошибки

Ω1 38 0 0

Ω2 0 38 0

Таким образом, самосжимающие генераторы оказались хорошо различимы с помощью

признаков на основе энтропии. Данные результаты опубликованы в [1-A – 4-A, 7-A – 10-A, 12-A,

13-A]. Кроме того, для статистической оценки энтропии были найдены вероятностные свойства,

опубликованные в [15-A].

Итак, в результате проведённых исследований построены признаки на основе энтропии,

рангов и определителей матриц. Разработано программное обеспечение, реализующее генерацию

последовательностей, построение признаков и алгоритмы распознавания на основе построенных

признаков. Проведены компьютерные эксперименты, в которых были успешно применены

построенные признаки. Полученные результаты опубликованы в [1-A – 4-A, 7-A – 10-A, 12-A, 13-

A, 15-A].

2 СТАТИСТИЧЕСКОЕ ОЦЕНИВАНИЕ ПАРАМЕТРОВ МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ

ГЕНЕРАТОРОВ

2.1 Оценивание параметров цепи Маркова с частичными связями и регистра сдвига с

нелинейной обратной связью

Большинство криптографических генераторов является рекуррентной функцией некоторого

порядка. Вероятностной моделью таких функций является цепь Маркова высокого порядка.

Успешное оценивание параметров цепи Маркова, аппроксимирующей генератор, позволит

оценить параметры исходного генератора. В рамках исследования произведена аппроксимация

регистра сдвига с нелинейной обратной связью цепью Маркова с частичными связями. Опишем

математические модели цепи Маркова и регистра сдвига, после чего их связь станет очевидной.

Пусть на вероятностном пространстве {Ω, F, P} определена эргодическая цепь Маркова s-го

порядка (ЦМ(s)) {0,1},tx V t :

1 1 1 1 1 1{ | , , } { | , , }, .t t t t t t t t t s t sP x i x i x i P x i x i x i t s (2.1)

Обозначим условное распределение вероятностей одношаговых переходов

9

1 1 1 1

1

, , 1 1 1 , , 1 1{ | , , }, 1, , , ,s s

s

i i t s s t t s s i i s

i

p P x i x i x i p i i V

которое в силу однородности цепи Маркова не зависит от t .

Содержательный смысл Марковского условия (2.1) заключается в том, что распределение

вероятностей элемента последовательности xt + 1 зависит не от всей предыстории x1, …, xt, а только

от s предыдущих элементов xt – s + 1, …, xt. По такому принципу работает большинство

криптографических генераторов.

На практике модель полносвязной цепи Маркова высокого порядка используется редко из-за

экспоненциального роста числа параметров модели (2s) с ростом порядка s. Вместо них

используются малопараметрические модели. Одной из таких моделей является цепь Маркова s-го

порядка с r частичными связями (ЦМ(s, r)), предложенная в 2004 г. [9]:

1 1 (1) ( ) 1, , , , , 1 1, , , , { (1), , ( )}, {1, , }, .s m m r si i i i i sp q i i V M m m r I s M I

Вероятности одношаговых переходов (1) ( ) 1, , , 1 1, , , ,

m m r si i i sq i i V образуют матрицу

вероятностей одношаговых переходов Q размерности 2r × 2. Суть модели ЦМ(s, r) состоит в том,

что следующий элемент последовательности xt + 1 зависит не от всех s предыдущих элементов

xt – s + 1, …, xt, а от некоторых r ≤ s элементов 1, ,

rt s m t s mx x . Если r = s, то получаем

полносвязную цепь Маркова, если r < s, то число параметров модели сокращается до 2r. В этом

заключается преимущество малопараметрических моделей цепей Маркова.

Одними из самых простых в реализации и удобных в использовании генераторов являются

регистры сдвига с функциональной обратной связью. Эти генераторы характеризуются

состоянием (y1 y2 … ys) и функцией обратной связи f(y1, y2, …, ys), {0,1}, {1, , }iy V i s .

Приведём алгоритм выработки последовательности регистром сдвига с обратной связью.

Вход: начальное состояние (x1 x2 … xs), длина последовательности T.

Шаг 0: (y1 y2 … ys) := (x1 x2 … xs).

Шаг i, i = 1, …, T:

а) xi := y1; c := f(y1, y2, …, ys).

б) Для j = 1, …, s – 1: yj := yj + 1.

в) ys := c.

Выход: x1, …, xT.

Если функция f является линейной, то в этом случае генератор является РСЛОС (LFSR).

РСЛОС является хорошо изученным с точки зрения криптоанализа генератором. Функция

обратной связи восстанавливается при помощи алгоритма Берлекэмпа – Месси. Практический

интерес представляют генераторы с нелинейной функцией – регистры сдвига с нелинейной

обратной связью. Мы будем рассматривать регистры с функциями, алгебраическая степень

которых равна двум.

Если функция f существенно зависит от r переменных (1) ( ){ , , }m m ry y ,

{ (1), , ( )} {1, , }m m r s , то становится очевидной аналогия модели ЦМ(s, r) и математической

модели регистра сдвига с обратной связью.

В [10] предложен алгоритм статистического оценивания параметров модели ЦМ(s, r). С

помощью этого алгоритма строится оценка порядка цепи Маркова [ , ]s s s , числа частичных

связей [ , ]r r r , шаблона M и матрицы Q. Вычислительная сложность алгоритма оценивания M

и Q при известных r и s и длине последовательности T равна O(2r + 1

sr – 1

+ Tsr).

Оценка матрицы вероятностей одношаговых переходов Q, построенная в результате работы

алгоритма оценивания параметров ЦМ(s, r), может быть использована для построения таблицы

истинности булевой функции обратной связи. Она строится следующим образом. Матрица Q

имеет размерность 2r × 2. Каждая строка матрицы

(1) ( ) (1) ( ), , , 0 , , ,1( )m m r m m ri i i iq q содержит вероятности

генерации 0 или 1 в зависимости от предыстории (1) ( ), ,m m ri i . Если вероятность генерации 0

10

больше вероятности генерации 1, то считаем, что булева функция принимает значение 0, в

противном случае значение функции полагаем равным 1:

(1) ( ) (1) ( )

(1) ( ) (1) ( )

, , , 0 , , ,1

(1) ( )

, , , 0 , , ,1

0, ;( , , )

1, .

m m r m m r

m m r m m r

i i i i

m m r

i i i i

q qf i i

q q

(2.2)

Заметим, что если мы имеем дело с генератором без искажений, то строки матрицы будут

иметь вид (0 1) либо (1 0). Это значит, что вектором значений булевой функции является второй

столбец матрицы Q.

Была написана программа, которая преобразует оценку матрицы Q, полученную в результате

работы алгоритма оценивания параметров ЦМ(s, r), в таблицу истинности. Также была написана

программа, которая восстанавливает АНФ булевой функции по таблице истинности.

Реализованы шесть регистров сдвига с нелинейной обратной связью с функциями из [11]. С

помощью каждого из регистров получены по 5 последовательностей длины T = 1000, которые

отличались начальным заполнением регистра. В таблице 2.1 представлены значения функций

обратной связи каждого из регистров, истинные значения порядка и числа частичных связей,

значения интервалов для работы алгоритма оценивания параметров.

Таблица 2.1 – Параметры регистров сдвига и алгоритма оценивания

f s r s_ s+ r_ r+

1 1 2 8 11 10 16f x x x x x x 17 6 16 20 4 10

2 1 7 3 10 8 13f x x x x x x 17 6 16 20 4 10

3 1 2 4 10 13 8 14f x x x x x x x 17 7 16 20 4 10

4 1 2 8 12 14 7 15f x x x x x x x 17 7 16 20 4 10

5 1 4 9 12 13 4 12f x x x x x x x 17 6 16 20 4 10

6 1 2 9 10 16 8 19f x x x x x x x 24 7 21 25 4 10

На рисунке 2 проиллюстрировано восстановление функции f2 по таблице истинности,

построенной по оценке матрице, полученной в результате работы алгоритма оценивания

параметров ЦМ(s, r). Во всех 30 случаях исходная функция была восстановлена верно.

Рисунок 2 – Восстановление функции

Также были проведены в эксперименты, в которых задача оценивания была усложнена тем,

что вместо последовательности {xt}, генерируемой регистром сдвига, наблюдалась

последовательность с искажениями t t ty x , где искажение имело распределение Бернулли:

(1, 0.01)t Bi . Параметры s, r, M также были оценены верно. Искажения отразились в элементах

11

матрицы Q. Её строки уже не имели вид (0 1) либо (1 0). Однако по принципу (2.2) функции были

восстановлены верно в силу малой вероятности искажений.

Было разработано программное обеспечение, которое использовалось для оценивания

параметров модели ЦМ(s, r), и регистра сдвига с нелинейной обратной связью. Проведённые

компьютерные эксперименты показали, что регистр сдвига с нелинейной обратной связью хорошо

аппроксимируется цепью Маркова с частичными связями. С помощью методов математической

статистики строится оценка параметров аппроксимационной модели, на основании которых

восстанавливается функция обратной связи исходного генератора. Полученные результаты

опубликованы в [13-A].

2.2 Оценивание параметров модели Рафтери

Пусть наблюдается цепь Маркова (2.1). Предложенная А. Рафтери [12] MTD-модель

(обозначение происходит от английского: Mixture Transition Distribution), задаёт специальный

малопараметрический вид матрицы вероятностей одношаговых переходов P:

1 1 1, , , 1 1

1

( , ), , , , , ,s s j s

s

i i i j i i s s

j

P P Q p q i i i V

где Q = (qik) – некоторая стохастическая (2 × 2)-матрица; λ = (λ1, …, λs)' – некоторый s-вектор

вероятностей, для которого выполняются ограничения неотрицательности:

0, 1, , ,j j s (2.3)

и ограничения нормировки:

1

1.s

j

j

(2.4)

Множество векторов λ, удовлетворяющих условиям (2.3), (2.4), обозначим

1

1

( , , ) : 0, 1 .s

s j j

j

(2.5)

В математической статистике в условиях регулярности асимптотически (при увеличении

длины наблюдаемого временного ряда) наилучшими оценками параметров являются оценки

максимального правдоподобия (ОМП). Для практического вычисления ОМП в [13] предложен

итерационный алгоритм. В [14] в качестве начальных значений алгоритма оценивания параметров

по наблюдаемой реализации x1, x2, …, xT длины T предлагается использовать статистики

1( ), , , ( , , )ki sQ q k i A :

1

2

, ,

, , ,

( )( 1) , 0,

1/ , 0;

( ) , 1, , ,

1 1, ( ) ,

2 1 2 1

( )( ) , , , , 1,

t t j t

ski

i k

j kki

k

j ki ki ki

i k A i k A

T s jT s

i x i ki x k x i

t s t s j

kiki i ki ki i

k

js

q

N

z s j d d j s

jT s T s

jz j d q i k A j

, .s

(2.6)

Отметим, что матрица Q является стохастической.

Рассмотрим теперь подробнее оценку вектора λ. В [15] оценка (2.6) получена по методу

наименьших квадратов (МНК):

12

2

, 1

arg min ( ( ) ) .s

j ki j ki

i k A j

z s j d

(2.7)

Оценка (2.6) является решением экстремальной задачи (2.7) методом множителей Лагранжа

для нахождения экстремума при ограничении (2.4). Однако она не учитывает ограничение

неотрицательности (2.3). Заметим, что если начальное значение удовлетворяет ограничению (2.3),

то итерационный алгоритм из [13] не выводит за рамки множества (2.5). Поэтому нам необходимо

построить начальное значение оценки λ, удовлетворяющее ограничению (2.3).

Методом множителей Лагранжа получить аналитическое решение (2.7) с учётом

ограничения (2.3) в явном виде невозможно, а сама задача является вычислительно сложной.

Предложим другой способ, не требующий больших вычислительных затрат и использующий уже

построенную оценку (2.6).

Предположим, что . Тогда найдём вектор , ближайший к . Таким вектором

является проекция на множество Λ, определяемое (2.5), которое является стандартным (s – 1)-

мерным симплексом. В [16] описан алгоритм построения проекции произвольной точки из s на

(s – 1)-мерный симплекс. Однако нам известно, что для оценки , определяемой (2.6), выполнено

ограничение (2.4), что позволяет упростить предложенный в [16] алгоритм. Приведём описание

разработанного нами алгоритма построения начальной оценки ( )j .

Шаг 1. : .

Шаг 2. Упорядочить компоненты вектора по неубыванию: (1) ( )s .

Шаг 3. S := 0, i := 1.

Шаг 4. Пока ( ) 0i : ( ): iS S , ( ) : 0i , i := i + 1.

Шаг 5. m := s – i – 1.

Шаг 6. Пока ( ) 0i S m : ( ): iS S , ( ) : 0i , m := m – 1, i := i + 1.

Шаг 7. Пока i ≤ s: ( ) ( ):i i S m , i := i + 1.

Легко убедиться, что , т.к. выполнены ограничения (2.3), (2.4). Корректность

алгоритма доказана в [16]. Построенную оценку можно использовать в качестве начального

значения для итерационного алгоритма построения ОМП [13].

Приведём пример применения описанной модификации алгоритма. Наблюдалась двоичная

последовательность длины T = 105. При s = 4 по формуле (2.6) вычислена оценка

(0.2016580531, 0.08399133312,1.013789644, 0.1314563643) .

Как видим, ограничение (2.4) выполнено, а ограничение (2.3) не выполнено.

С помощью предложенной нами модификации алгоритма было получено значение оценки

(0.0939342044, 0, 0.9060657956, 0) ,

удовлетворяющее ограничениям (2.3), (2.4). Оно является ближайшим к полученной ранее оценке

. Оказывается, что в данном случае оценка является и приближённым решением задачи (2.7) с

учётом ограничений (2.3), (2.4).

Для доказательства этого факта множество Λ было покрыто равномерной сеткой с шагом ∆ =

0.01 по каждой из трёх координат. В узлах сетки вычислены значения целевой функции

2

, 1

( ( ) )s

ki j ki

i k A j

z s j d

. Минимальное значение 5.9021 · 10–5

было достигнуто на векторе

λ* = (0.09, 0, 0.91, 0)',

совпадающем с в пределах ошибки дискретизации ∆ = 0.01. Заметим, что значение целевой

функции 2 –5

, 1

( ( ) ) 5.8983·10s

ki j ki

i k A j

z s j d

, т.е. построенный с помощью разработанного

нами алгоритма вектор является решением (2.7) при ограничениях (2.3), (2.4).

13

Полученные результаты опубликованы в [6-A]. Оценивание параметров модели Рафтери

является составной частью задач, возникающих при работе со СКЗИ. Например, применение

модели Рафтери в задачах тестирования криптографических генераторов описано в [14].

Таким образом, в данной главе в качестве аппроксимационных моделей для

криптографических генераторов рассмотрены модели цепей Маркова. Приведены алгоритмы

статистического оценивания параметров моделей цепи Маркова с частичными связями и Рафтери.

Продемонстрировано применение цепи Маркова с частичными связями для оценивания

параметров регистра сдвига с нелинейной обратной связью. Полученные результаты

опубликованы в [6-A, 13-A].

ЗАКЛЮЧЕНИЕ

В данной работе решены следующие задачи:

1) Предложен общий подход к построению информативных признаков. Построены

информативные признаки на основе энтропии, рангов и определителей матриц, вычислены

математические ожидания используемых статистик. Т.к. предложенный подход не использует

внутреннее строение генераторов, то построенные признаки можно применять для распознавания

различных типов генераторов, что продемонстрировано в компьютерных экспериментах с

использованием генераторов Макларена – Марсальи, прореживающего и самосжимающего

генераторов. Для проведения экспериментов было разработано соответствующее программное

обеспечение.

2) Предложен подход к статистическому оцениванию параметров генераторов при помощи

аппроксимации их выходных последовательностей марковскими моделями. Данный подход

успешно применён для оценивания параметров регистра сдвига с нелинейной обратной связью на

основе цепи Маркова с частичными связями. Модифицирован алгоритм статистического

оценивания параметров модели Рафтери. Разработано программное обеспечение для

статистического оценивания параметров цепей Маркова и преобразования полученных оценок в

оценки параметров исходного генератора.

Таким образом, проделана работа по решению актуальных задач распознавания и

оценивания параметров криптографических генераторов. Эти задачи являются составными

частями практических задач оценки надёжности криптографических генераторов. Полученные

результаты используются в рамках г/б НИР №36/1 «Разработка математических моделей, методов,

методик и программного обеспечения для проведения экспертизы и сертификационных

испытаний систем криптографической защиты», реализуемой в Учреждении БГУ «НИИ

прикладных проблем математики и информатики», что доказывает их практическую значимость.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Криптология / Ю.С. Харин [и др.]. – Минск: БГУ, 2013. – 512 с.

2. Accardi, L. Statistical analysis of random number generators / L. Accardi, M. Gäbler // Quantum

Bio-Informatics IV, QP – PQ: Quantum Probabilities and White Noise Analysis, Vol. 28. – World

Scientific Publishing, 2011. – P. 117–128.

3. Харин, Ю.С. Проблемы математики и информатики в области защиты информации / Ю.С.

Харин // Весці Нацыянальнай акадэміі навук Беларусі. Серыя фізіка-матэматычных навук. – 2007.

– № 4. – С. 84–95.

4. Kharin, Y. Robustness in Statistical Pattern Recognition / Y. Kharin. – Dordrecht: Kluwer

Academic Publishers, 1996. – xiv + 302 pp.

5. Харин, Ю.С. Теория вероятностей, математическая и прикладная статистика / Ю.С. Харин,

Н.М. Зуев, Е.Е. Жук. – Минск: БГУ, 2011. – 463 с.

6. Coppersmith, D. The shrinking generator / D. Coppersmith, Y. Krawchuk, Y. Mansour // Advanced

in Cryptology: Proceedings of Crypto 93, LNCS 773. – 1994. – P. 22–39.

14

7. Meier, W. Analysis of pseudo random sequences generated by cellular automata / W. Meier, O.

Staffelbach // D.W. Davies, editor, Advances in Cryptology / Eurocrypt '91. – Berlin: Springer-Verlag,

1992. – P. 186–199.

8. Rukhin, A.L. Approximate Entropy for Testing Randomnesses / A.L. Rukhin.

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.45.6174&rep=rep1&type=pdf

9. Харин, Ю.С. Цепи Маркова с r частичными связями и их статистическое оценивание / Ю.С.

Харин // Доклады НАН Беларуси, 2004. – Т. 48, № 1. – С. 40–44.

10. Харин, Ю. С. Цепь Маркова s-го порядка с r частичными связями и статистические выводы о

ее параметрах / Ю. С. Харин, А. И. Петлицкий // Дискретная математика. – 2007. – Т. 19. – № 2. –

С. 109–130.

11. Dubrova, E. A List of Maximum Period NLFSRs / E. Dubrova. Cryptology ePrint Archive, Report

2012/166 (2012). – http://eprint.iacr.org/2012/166

12. Raftery, A.E. A model for high-order Markov chains / A.E. Raftery // Journal of Royal Statistics

Society, 1985. – V. 47, №3. – P. 528–539.

13. Berchtold, A. Estimation of the Mixture Transition Distribution Model / A. Berchtold // Journal of

Time Series Analysis, 2001. – Vol. 22. – № 4. – P. 379–397.

14. Харин, Ю. С. Методы и алгоритмы статистического тестирования генераторов случайных и

псевдослучайных последовательностей в системах информационной безопасности / Ю. С. Харин,

А. Н. Ярмола, А. И. Петлицкий // Штучний інтелект, 2006. – № 3. – С. 793–803.

15. Харин, Ю.С. Оптимальность и робастность в статистическом прогнозировании / Ю.С. Харин.

– Минск: БГУ, 2008. – 263 с.

16. Chen, Y. Projection onto a simplex / Y. Chen, X. Ye. arXiv preprint arXiv:1101.6081. – 2011. – 7

pp.

СПИСОК ОПУБЛИКОВАННЫХ НАУЧНЫХ РАБОТ

1-A. Харин, Ю.С. Информативные признаки для статистического распознавания

криптографических генераторов / Ю.С. Харин, В.Ю. Палуха // Информатика. – 2013. – №3 (39). –

С. 126–138.

2-A. Палуха, В.Ю. Об одном подходе к статистическому распознаванию генераторов случайных и

псевдослучайных последовательностей / В.Ю. Палуха, Ю.С. Харин // Электроника ИНФО. – 2013.

– №6. – С. 180–182.

3-A. Палуха, В.Ю. Об информативных признаках для статистического распознавания

криптографических генераторов / В.Ю. Палуха, Ю.С. Харин // Информационные компьютерные

технологии: проектирование, разработка, применение: сборник научных статей / ГрГУ им. Я.

Купалы; редколлегия: А.М. Кадан (гл. ред.) [и др.]. – Гродно: ГрГУ, 2013. – С. 121–127.

4-A. Палуха, В.Ю. Об оценивании энтропии дискретных временных рядов с Марковской

зависимостью / В.Ю. Палуха, Ю.С. Харин // Теория вероятностей, случайные процессы,

математическая статистика и приложения: сборник научных статей / под редакцией Н.Н. Труша,

Г.А. Медведева, Ю.С. Харина. – Минск: РИВШ, 2014. – С. 183–188.

5-A. Мальцев, М.В. О некоторых подходах к моделированию выходных последовательностей

криптографических генераторов / М.В. Мальцев, В.Ю. Палуха, Ю.С. Харин // Веб-

программирование и Интернет-технологии WebConf-2012. Материалы 2-й Международной

научно-практической конференции. – Минск: Издательский центр БГУ, 2012. – С. 133–134.

6-A. Палуха, В.Ю. Об одной модификации алгоритма статистического оценивания параметров

модели Рафтери / В.Ю. Палуха, Ю.С. Харин // Международный конгресс по информатике:

информационные системы и технологии. Материалы международного научного конгресса.

Республика Беларусь, Минск, 4 – 7 ноября 2013 года / редколлегия: С.В. Абламейко (отв. ред.),

В.В. Казачёнок (отв. ред.) [и др.] – Минск: БГУ, 2013. – С. 89–92.

7-A. Палуха, В.Ю. Об одном подходе к построению информативных признаков для

статистического распознавания криптографических генераторов / В.Ю. Палуха, Ю.С. Харин //

Международный конгресс по информатике: информационные системы и технологии. Материалы

15

международного научного конгресса. Республика Беларусь, Минск, 4 – 7 ноября 2013 года /

редколлегия: С.В. Абламейко (отв. ред.), В.В. Казачёнок (отв. ред.) [и др.] – Минск: БГУ, 2013. –

С. 92–97.

8-A. Палуха, В.Ю. Об одном подходе к построению информативных признаков для

статистического распознавания генераторов случайных и псевдослучайных чисел / В.Ю. Палуха //

Первый шаг в науку – 2014. Сборник материалов Международного форума студенческой и

учащейся молодёжи (23 – 25 апреля 2014 года, Минск). Секционные заседания студенческой

научной молодёжи. – Минск: Энциклопедикс, 2014. – С. 204–208.

9-A. Палуха, В.Ю. О распознавании криптографических генераторов на основе энтропийных

характеристик / В.Ю. Палуха // XVI Республиканская научно-методическая конференция молодых

учёных: сборник материалов. Брест, 16 мая 2014 г. В двух частях. Часть 1 / под общей редакцией

В.В. Здановича – Брест: БрГУ, 2014. – С. 90–92.

10-A. Палуха, В.Ю. Распознавание криптографических генераторов по выходным

последовательностям / В.Ю. Палуха, Ю.С. Харин // Сборник научных работ студентов Республики

Беларусь «НИРС 2013» / редколлегия: А.И. Жук (пред.) [и др.] – Минск: Издательский центр БГУ,

2014. – С. 42–43.

11-A. Палуха, В.Ю. Информативные признаки для распознавания криптографических генераторов

/ В.Ю. Палуха // Сборник работ 69-й научной конференции студентов и аспирантов Белорусского

государственного университета. 14 – 17 мая 2012 г., Минск. В трёх частях. Часть I. – Минск:

Издательский центр БГУ, 2012. – С. 209–213.

12-A. Палуха, В.Ю. Распознавание криптографических генераторов по выходным

последовательностям / В.Ю. Палуха // Сборник работ 70-й научной конференции студентов и

аспирантов Белорусского государственного университета. 15 – 18 мая 2013 г., Минск. В трёх

частях. Часть I. – Минск: Издательский центр БГУ, 2013. – С. 219–222.

13-A. Палуха, В.Ю. Распознавание и оценивание параметров

криптографических генераторов / В.Ю. Палуха // Сборник работ 71-й научной конференции

студентов и аспирантов Белорусского государственного университета. 18 – 21 мая 2014 г., Минск.

В трёх частях. Часть I. – Минск: Издательский центр БГУ, 2014. – С. 107–110.

14-A. Палуха, В.Ю. Об информативных признаках распознавания случайных и псевдослучайных

последовательностей / В.Ю. Палуха, Ю.С. Харин // Международная научная конференция «XI

Белорусская математическая конференция». Тезисы докладов. Часть 4. – Минск: ИМ НАН

Беларуси, 2012. – С. 71–72.

15-A. Палуха, В.Ю. О вероятностных свойствах статистической оценки многомерной энтропии

Шеннона / В.Ю. Палуха, Ю.С. Харин // Теория вероятностей, случайные процессы,

математическая статистика и приложения. Материалы международной научной конференции,

посвящённой 80-летию профессора, доктора физ.-мат. наук Г.А. Медведева. Минск, 23 – 26

февраля 2015 г. / редколлегия: Н.Н. Труш [и др.] – Минск: РИВШ, 2015. – С. 236–241.