Embed Size (px)
DESCRIPTION
Citation preview
CSEDays Theory 2011
СОВРЕМЕННЫЕ ПРОБЛЕМЫ
СОВЕРШЕННЫХ ШИФРОВ
Коновалова Светлана Сергеевна,Титов Сергей Сергеевич
УрГУПС
Екатеринбург 2011
2
Белорусская математическая конференция: тестирование защищённых каналов вязи на оборонительном рубеже «Линия Сталина»
3
тумбр
печка
аумбв
атака
атакафваегфваег
ПРИМЕР НЕСОВЕРШЕННОГО ШИФРА
атака
4
Эндоморфный (|X|=|Y|=|K|) совершенный шифр
=Шифр табличного гаммирования
(Теорема Шеннона)
= гамма
= открытое сообщение
= шифртекст
ПРИМЕР СОВЕРШЕННОГО ШИФРА
а т а к а
у ы я й у
↓ ↓ ↓ ↓ ↓
ф в а е г
атака фваегфваег
тумбр
печка атака
аумбв
?????
26 26 8 6 24 3 19 18 22 10 20 1 16 9 0 23 5 17 11 2 15 12 14 25 21 4 7 13
25 25 5 23 2 18 17 21 9 19 26 15 8 0 22 4 16 10 1 14 11 13 24 20 3 6 12 7
24 24 22 1 17 16 20 8 18 25 14 7 0 21 3 15 9 26 13 10 12 23 19 2 5 11 6 4
23 23 26 16 15 19 7 17 24 13 6 0 20 2 14 8 25 12 9 11 22 18 1 4 10 5 3 21
22 22 15 14 18 6 16 23 12 5 0 19 1 13 7 24 11 8 10 21 17 26 3 9 4 2 20 25
21 21 13 17 5 15 22 11 4 0 18 26 12 6 23 10 7 9 20 16 25 2 8 3 1 19 24 14
20 20 16 4 14 21 10 3 0 17 25 11 5 22 9 6 8 19 15 24 1 7 2 26 18 23 13 12
19 19 3 13 20 9 2 0 16 24 10 4 21 8 5 7 18 14 23 26 6 1 25 17 22 12 11 15
18 18 12 19 8 1 0 15 23 9 3 20 7 4 6 17 13 22 25 5 26 24 16 21 11 10 14 2
17 17 18 7 26 0 14 22 8 2 19 6 3 5 16 12 21 24 4 25 23 15 20 10 9 13 1 11
16 16 6 25 0 13 21 7 1 18 5 2 4 15 11 20 23 3 24 22 14 19 9 8 12 26 10 17
15 15 24 0 12 20 6 26 17 4 1 3 14 10 19 22 2 23 21 13 18 8 7 11 25 9 16 5
14 14 0 11 19 5 25 16 3 26 2 13 9 18 21 1 22 20 12 17 7 6 10 24 8 15 4 23
13 13 10 18 4 24 15 2 25 1 12 8 17 20 26 21 19 11 16 6 5 9 23 7 14 3 22 0
12 12 17 3 23 14 1 24 26 11 7 16 19 25 20 18 10 15 5 4 8 22 6 13 2 21 0 9
11 11 2 22 13 26 23 25 10 6 15 18 24 19 17 9 14 4 3 7 21 5 12 1 20 0 8 16
10 10 21 12 25 22 24 9 5 14 17 23 18 16 8 13 3 2 6 20 4 11 26 19 0 7 15 1
9 9 11 24 21 23 8 4 13 16 22 17 15 7 12 2 1 5 19 3 10 25 18 0 6 14 26 20
8 8 23 20 22 7 3 12 15 21 16 14 6 11 1 26 4 18 2 9 24 17 0 5 13 25 19 10
7 7 19 21 6 2 11 14 20 15 13 5 10 26 25 3 17 1 8 23 16 0 4 12 24 18 9 22
6 6 20 5 1 10 13 19 14 12 4 9 25 24 2 16 26 7 22 15 0 3 11 23 17 8 21 18
5 5 4 26 9 12 18 13 11 3 8 24 23 1 15 25 6 21 14 0 2 10 22 16 7 20 17 19
4 4 25 8 11 17 12 10 2 7 23 22 26 14 24 5 20 13 0 1 9 21 15 6 19 16 18 3
3 3 7 10 16 11 9 1 6 22 21 25 13 23 4 19 12 0 26 8 20 14 5 18 15 17 2 24
2 2 9 15 10 8 26 5 21 20 24 12 22 3 18 11 0 25 7 19 13 4 17 14 16 1 23 6
1 1 14 9 7 25 4 20 19 23 11 21 2 17 10 0 24 6 18 12 3 16 13 15 26 22 5 8
0 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
66
F
y=xkЗашифруем фразу
PERFECT_CIPHERZHJRA_HUQDKOQ
F
26 26 8 6 24 3 19 18 22 10 20 1 16 9 0 23 5 17 11 2 15 12 14 25 21 4 7 13
25 25 5 23 2 18 17 21 9 19 26 15 8 0 22 4 16 10 1 14 11 13 24 20 3 6 12 7
24 24 22 1 17 16 20 8 18 25 14 7 0 21 3 15 9 26 13 10 12 23 19 2 5 11 6 4
23 23 26 16 15 19 7 17 24 13 6 0 20 2 14 8 25 12 9 11 22 18 1 4 10 5 3 21
22 22 15 14 18 6 16 23 12 5 0 19 1 13 7 24 11 8 10 21 17 26 3 9 4 2 20 25
21 21 13 17 5 15 22 11 4 0 18 26 12 6 23 10 7 9 20 16 25 2 8 3 1 19 24 14
20 20 16 4 14 21 10 3 0 17 25 11 5 22 9 6 8 19 15 24 1 7 2 26 18 23 13 12
19 19 3 13 20 9 2 0 16 24 10 4 21 8 5 7 18 14 23 26 6 1 25 17 22 12 11 15
18 18 12 19 8 1 0 15 23 9 3 20 7 4 6 17 13 22 25 5 26 24 16 21 11 10 14 2
17 17 18 7 26 0 14 22 8 2 19 6 3 5 16 12 21 24 4 25 23 15 20 10 9 13 1 11
16 16 6 25 0 13 21 7 1 18 5 2 4 15 11 20 23 3 24 22 14 19 9 8 12 26 10 17
15 15 24 0 12 20 6 26 17 4 1 3 14 10 19 22 2 23 21 13 18 8 7 11 25 9 16 5
14 14 0 11 19 5 25 16 3 26 2 13 9 18 21 1 22 20 12 17 7 6 10 24 8 15 4 23
13 13 10 18 4 24 15 2 25 1 12 8 17 20 26 21 19 11 16 6 5 9 23 7 14 3 22 0
12 12 17 3 23 14 1 24 26 11 7 16 19 25 20 18 10 15 5 4 8 22 6 13 2 21 0 9
11 11 2 22 13 26 23 25 10 6 15 18 24 19 17 9 14 4 3 7 21 5 12 1 20 0 8 16
10 10 21 12 25 22 24 9 5 14 17 23 18 16 8 13 3 2 6 20 4 11 26 19 0 7 15 1
9 9 11 24 21 23 8 4 13 16 22 17 15 7 12 2 1 5 19 3 10 25 18 0 6 14 26 20
8 8 23 20 22 7 3 12 15 21 16 14 6 11 1 26 4 18 2 9 24 17 0 5 13 25 19 10
7 7 19 21 6 2 11 14 20 15 13 5 10 26 25 3 17 1 8 23 16 0 4 12 24 18 9 22
6 6 20 5 1 10 13 19 14 12 4 9 25 24 2 16 26 7 22 15 0 3 11 23 17 8 21 18
5 5 4 26 9 12 18 13 11 3 8 24 23 1 15 25 6 21 14 0 2 10 22 16 7 20 17 19
4 4 25 8 11 17 12 10 2 7 23 22 26 14 24 5 20 13 0 1 9 21 15 6 19 16 18 3
3 3 7 10 16 11 9 1 6 22 21 25 13 23 4 19 12 0 26 8 20 14 5 18 15 17 2 24
2 2 9 15 10 8 26 5 21 20 24 12 22 3 18 11 0 25 7 19 13 4 17 14 16 1 23 6
1 1 14 9 7 25 4 20 19 23 11 21 2 17 10 0 24 6 18 12 3 16 13 15 26 22 5 8
0 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
66
F
x=y/kРасшифруем
FZHJRA_HUQDKOQ ERFECT_CIPHER
P
77
Классическая ошибка: Классическая ошибка: повторное использование повторное использование
гаммы шифрагаммы шифра Windows 98: Windows 98: пароль пользователя пароль пользователя
шифруется в шифруется в PWL-PWL-файле файле ((алгоритмом алгоритмом RC4) RC4) и БЕЗ и БЕЗ ИЗМЕНЕНИЯ ГАММЫИЗМЕНЕНИЯ ГАММЫприменяется несколько раз применяется несколько раз (к различным данным, сетевым ресурсам (к различным данным, сетевым ресурсам и др., включая 20-символьное имя и др., включая 20-символьное имя пользователя, которое обычно известно!) пользователя, которое обычно известно!)
Взлом: Взлом: утилита утилита glideglide
8
ЗУБОВ А.Ю. СОВЕРШЕННЫЕ ШИФРЫ. М. : ГЕЛИОС АРВ, 2003. 160 C.
9
Квазигруппы.
Таблица «умножения»: латинский квадрат (Леонард Эйлер)
Уравнение зашифрования: y=x*k Уравнение расшифрования: x=y/k Уравнение дешифрования: k=x\y Зная в уравнении y=x*k любые две
шифрвеличины, однозначно определяем и третью.
Глухов М.М., Елизаров В.П., Нечаев А.А. Алгебра. М.: Гелиос АРВ, 2003. Т.1,2.
10
Поточные (потоковые) шифры y=x+k(mod 2); y,x,k – биты, Двухэлементная (квази)группа {0,1}=Z2
0+0=0, 0+1=1, 1+0=1, 1+1=0. Побитовое сложение битовых строк
операцией XOR: Ключевой поток ki – битовая последовательность – случайная равновероятная гамма
Иванов М.А., Чугунков И.В. Теория, применение и оценка качества генераторов псевдослучайных последовательностей. – М.: КУДИЦ-ОБРАЗ, 2003.
11
Блочные (блоковые) шифры
Большая мощность алфавита шифробозначений (блоков): 264 , 2128 , …
Кусочно-постоянная гамма
Использование «больших» квазигрупп стирает границу между блочными и поточными шифрами при использовании современной 32- и 64-битной архитектуры
12
Линейный шифр y = xk = xMk
(x1+x2)k = x1k+x2k(sx)Mk = s(xMk)
X = Fn\ {0}, Y = Fm\ {0}
Конструкция 2y = xk
Конструкция 3(мультипликативный шифр)
yC = xAkB
Билинейный шифрx(k1+k2) = x1k+x2k
КЛАССИФИКАЦИЯ ЛИНЕЙНЫХ СОВЕРШЕННЫХ ШИФРОВ
Конструкция 1y = xMk ЛРП
0 1 1
1 2
1 2 2
...
...
... ... ... ...
...
n
nk
n n n
k k k
k k kM
k k k
0 0 1 1 1 1( ) ( ) ... ( )n i i i n i nk k a k a k a
2 10 1 2 1( ) ... n n
nf x a a x a x a x x
13
ЗАДАЧА 1.Является ли совершенный билинейный шифр, построенный с помощью конструкции 1, мультипликативным шифром?
ЗАДАЧА 2.Является ли любой совершенный билинейный шифр мультипликативным шифром?
ЗАДАЧА 3.Является ли любой совершенный линейный шифр билинейным шифром?
ТРИ ЗАДАЧИ О ЛИНЕЙНЫХ СОВЕРШЕННЫХ ШИФРАХ
поставлены J. Massey, U. Maurer, M. Wang«Non-expanding, key minimal, robustly-perfect,
linear and bilinear ciphers», Procceedings of Crypto’1987
14
ЗАДАЧА 3.Является ли любой совершенный линейный шифр билинейным шифром?
РЕШЕНИЕ – НЕТ, НЕ ЛЮБОЙ!
Любая нелинейная биекция по ключу f(k) в уравнении y = xk = xf(k),в том числе:
1. Операция расшифрования y = xk = x/k,нелинейность по ключу k: x/(k1+k2) ≠ x/k1+x/k2,линейность по открытому тексту x: (x1+x2)/k = x1/k+x2/k.
2. Нелинейные преобразования – нелинейная изотопия по ключувида y = xk = xkh
РЕШЕНИЕ ТРЕТЬЕЙ ЗАДАЧИ
ek = ekh = kh ≠ k,xe = xeh = xe = x
(x1+x2)kh = x1kh +x2kh,x(k1+k2)h ≠ xk1
h+xk2h
15
ЗАДАЧА 2.Является ли любой совершенный билинейный шифр мультипликативным шифром?
Наблюдение 1. Набор матриц M(k) приводит к совершенному шифру тогда и только тогда, когда det[M(k’)–M(k’’)]0 для любых разных ключей k’ и k’’.Наблюдение 2. Построение линейного совершенного шифра эквивалентно построению конечной (аффинной) плоскости типа Веблена-Веддербёрна с уравнениями прямых вида y = xk+ℓ = xMk+ℓ.Теорема Алберта. Если квазигруппа с единицей изотопна группе, то она ей изоморфна (и, следовательно, ассоциативна).
РЕШЕНИЕ – НЕТ, НЕ ЛЮБОЙ!Примеры билинейного немультипликативного совершенного шифра – полуполе Алберта, полуполе Дональда Кнута.
α◊(α2◊α2)= α+1, (α◊α2)◊α2 = α2+1α◊(α2◊α2) ≠ (α◊α2)◊α2
РЕШЕНИЕ ВТОРОЙ ЗАДАЧИ
16
ЗАДАЧА 3.Является ли любой совершенный линейный шифр билинейным шифром?
РЕШЕНИЕ – НЕТ, НЕ ЛЮБОЙ!
3. Система Холла
РЕШЕНИЕ ТРЕТЬЕЙ ЗАДАЧИ
ek = eMk = k,
xe = xMe = x
(x1+x2)Mk = x1Mk+x2Mk,
xMk1+k2 ≠ xMk1+xMk2
17
КЛАССИФИКАЦИЯ КОНЕЧНЫХ ПЛОСКОСТЕЙ
Тернарная операцияопределяющая аффинную плоскость
y = x•m○b
Система Веблена-Веддербёрнаy = xm+b
односторонняя дистрибутивность умножениязадает линейный совершенный шифр
Конечное полеассоциативность умножениякоммутативность умножения
Полуполедвусторонняя
дистрибутивностьумножения
Почти-полеассоциативность
умножения
Система Холла
18
ЗАДАЧА 1.Является ли совершенный билинейный шифр, построенный с помощью конструкции 1, мультипликативным шифром?
РЕШЕНИЕ – ДА!
φ(Sℓ) = x, φ(Sm) = k, φ(Ss) = y, φ(St) = u, MeSm = Mk
Теорема. Конструкция 1 задается мультипликативным шифромвида y = u·k, где u = xMe.
A = Me, e = (1, 0, 0, …, 0)
B = C = E
РЕШЕНИЕ ПЕРВОЙ ЗАДАЧИ
19
ЗАДАЧА 1.Является ли совершенный билинейный шифр, построенный с помощью конструкции 1, мультипликативным шифром? – ДА (y = (xMe)•k)
ЗАДАЧА 2.Является ли любой совершенный билинейный шифр мультипликативным шифром? – НЕТ (полуполе Д. Кнута, полуполе Алберта)
ЗАДАЧА 3.Является ли любой совершенный линейный шифр билинейнымшифром? – НЕТ (система Холла, нелинейные преобразования)
РЕШЕНИЯ ТРЕХ ЗАДАЧ ТЕОРИИ ЛИНЕЙНЫХ СОВЕРШЕННЫХ ШИФРОВ
20
Линейный шифр
y = xk = xMk
Конструкция 2y = xk
Конструкция 3yC = xAkB
Билинейный шифр
РЕШЕНИЕ ТРЕХ ЗАДАЧ ТЕОРИИ ЛИНЕЙНЫХ СОВЕРШЕННЫХ ШИФРОВ
Система Холла
y = xf(k)где f(k) – нелинейная
биекция
Конструкция 1y = xMk ЛРП
Полуполе
21
СОВРЕМЕННЫЕ АНАЛОГИ СОВЕРШЕННЫХ ШИФРОВ
Свойство O(L)-стойкости
свойство точно L-транзитивности:
x1 x2 xL…
y1 y2 yL…
k
Свойство U(L)-стойкости:
x1 x2 xL…
y1 y2 yL…
k
22
|Y| =
i j 0 1 2 3 4
1 0 0 1 2 3 4
1 1 1 2 3 4 0
1 2 2 3 4 0 1
1 3 3 4 0 1 2
1 4 4 0 1 2 3
2 0 0 2 4 1 3
2 1 2 4 1 3 0
2 2 4 1 2 0 2
2 3 1 3 0 2 4
2 4 3 0 2 4 1
ПАРАМЕТРЫ МАССИВОВ ЗАШИФРОВАНИЯ
|X| =
kK
массивPA(L, , )
U(L)-стойкиешифры
массивA(L, , )
O(L)-стойкиешифры
!| |
!( )!LK С
L L
!| |
( )!LK A
L
|K|
23
ГЕОМЕТРИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ O(L)-СТОЙКИХ ШИФРОВ
Наблюдение 3. Построение эндоморфного O(2)-стойкого шифра эквивалентно построению конечной (аффинной) плоскости.
y = xk+ℓ
y = xk (k = x1\y1 = x2\y2)O(2)
x
y
y2
y1
x2x1
24
a1=(1, 2, 3)(4, 5, 6)(7, 8, 9)a2=(2, 4, 3, 7)(5, 6, 9, 8)a3=(2, 5, 3, 9)(4, 8, 7, 6)a4=(1, 10)(4, 5)(6, 8)(7, 9)a5=(1, 11)(4, 6)(5, 9)(7, 8)a6=(1, 12)(4, 7)(5, 6)(8, 9)
ПОСТРОЕНИЕ O(3)-СТОЙКИХ ШИФРОВ
Теорема. Уравнение зашифрования O(3)-стойкого шифра может быть задано в любом почти-поле K(p2){∞} дробно-линейными функциями вида y = h(x+d)○k+ℓ, где ,
( ) 1,
x dh x
dx
O(2)O(3)
O(4)=M11O(5)=M12
Классический пример O(3)-стойких шифров – на основе PGL(2, q)
Группы Матьё Mi:
почти-поле К(9)≠GF(9)
25
КОНСТРУИРОВАНИЕ O(L)-СТОЙКИХ ШИФРОВ
Тернарная операция
Система Веблена-Веддерберназадает O(2)-стойкий шифр
Конечноеполе
Полуполе
Почти-поле
Группа Матьё M12
Система Холла
26
U(L)-СТОЙКИЕ ШИФРЫ И ИХ ВЗАИМОСВЯЗЬ С O(L)-СТОЙКИМИ ШИФРАМИ
Теорема. Если имеется эндоморфный линейный U(2)-стойкий шифр, то существует VW-система с такой квазигруппой по умножению, которая допускает инволюцию (–x)m = x(–m). Обратно: если имеется O(2)-стойкий эндоморфный шифр, представляющий собой набор прямых в VW-системе, то в нем можно выделить U(2)-стойкий подшифр тогда и только тогда, когда квазигруппа по умножению допускает такую инволюцию.
x
y
x2x1
y2
y1
U(2)U(2)O(2)
x
y
y2
y1
x2x1
27
С.С. Коновалова –
Призёр конкурса Всероссийской конференции «РусКрипто-09»
Диплом и премия за победу в конкурсе на соискание премии Уральского математического общества молодым математикам за 2008 год.
Постоянная участница Международной научной конференции по проблемам безопасности и противодействию терроризму и конференции «Математика и безопасность информационных технологий» (Москва, ИПИБ МГУ).
28
Однородные множества подстановок связаны с
эллиптическими кривыми над полями
характеристики дваи «окружностями»
30
1
11
0
666
235
64
53
252
63
3
Zt
Zt
Zt
Zt
Zt
Zt
Zt
Zt
Zt
31
При передаче информации по открытым каналам связи злоумышленник может пытаться перехватить сообщение с целью его изменения и дальнейшей отправки, чтобы получатель признал его за аутентичное. Как с этим бороться?
Защита информации, в том числе при передаче между виртуальными подсетями, реализуется на алгоритмах асимметричного шифрования и путем использования имитостойких шифров, защищающей информацию от подделки.
32
Имитостойкость может достигаться путем введения информационной избыточности. Например, при шифровании мы отслеживаем преобразования не одной шифрвеличины (символа алфавита), а некоторой их совокупности. Так U(2)-стойкий шифр прослеживает преобразование пар элементов, U(3)-стойкий – троек. На этом пути возникают трудные комбинаторные и алгебраические проблемы.
33
Эндоморфный U(3)-стойкий шифр - для любого трехэлементного массива и любого трехэлементного подмножества существует единственная подстановка с ключом k – одним из минимального числа ключей, такая, что Ek зашифровывает X3 в Y3.
3213 ,, xxx
3213 ,, yyy
34
Компьютерные приложения
Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. Екатеринбург : Изд-во УрГУ, 2003 г.
Девянин П.Н. Модели безопасности компьютерных систем. М.: Academia, 2005.
35
ОСНОВНЫЕ РЕЗУЛЬТАТЫ
1. Решены три проблемы о трех конструкциях линейных совершенных шифров
2. Установлена связь линейных совершенных шифров и O(2)-стойких шифров с конечными плоскостями.
3. Доказана теорема о взаимосвязи между линейными O(2)- и U(2)-стойкими шифрами.
4. Исследованы некоторые O(3)-стойкие шифры и дана их геометрическая интерпретация.
5. Исследованы группы Матьё и системы, задающие конечную плоскость – система Холла, почти-поля, не сводящиеся к полям.
36
ВЫВОД
Установлена взаимосвязь
проблематики конечных геометрий
с теорией совершенных шифров
37
x
y
y2
y1
x1 x3x2
y3
y=ax+b
b
СПАСИБО ЗА ВНИМАНИЕ
