|
механічних засобів захисту використовуються: цегельні або камяні стіни, рови, огорожі, спеціальні дротові огородження, штахети й ін. Ці перешкоди можуть мати багаторядну систему для збільшення часу опору порушнику.
Сповіщення про вторгнення на територію що охороняється здійснюється за допомогою різноманітних датчиків. У системах захисту периметру території без огорожі використовують мікрохвильові, інфрачервоні, ємнісні й електричні датчики.
Мікрохвильові системи грунтуються на контролю інтенсивності СВЧ спрямованого випромінювання передавача, що сприймається приймачем. Спрацьовування сигналізації відбувається при перериванні цього спрямованого випромінювання. Помилкові вмикання сигналізації (помилкова тривога) можуть бути обумовлені переміщенням у контрольованій зоні тварини, впливом рослинності, атмосферних опадів, пересуванням транспортних засобів, а також впливом сторонніх передавачів.
У інфрачервоних системах між передавачем і приймачем контролюється інтенсивність монохроматичного світлового випромінювання в невидимій ІЧ області. Спрацьовування сигналізації відбувається при перериванні одного або декількох світлових променів. Помилкові вмикання сигналізації можуть бути обумовлені переміщенням у контрольованій зоні тварин, сильним туманом або снігопадом.
Принцип дії ємнісної системи оповіщення грунтується на формуванні електростатичного поля між паралельно розташованими передаючими і сприймаючими дротовими елементами спеціального огородження. Спрацьовування сигналізації відбувається при реєстрації визначеної зміни електростатичного поля, що має місце при наближенні людини до елементів огородження. Помилкові вмикання сигналізації обумовлені переміщенням тварини, впливом рослинності, зледенінням елементів огородження, атмосферними впливами або забрудненням ізоляторів.
Електричні системи оповіщення базуються на використанні спеціального огородження з дротового матеріалу, що проводить струм. Критерієм спрацьовування сигналізації є реєстрація змін електричного опору елементів, що проводять струм при дотику до них. Помилкові вмикання сигналізації можуть бути викликані тваринними, рослинністю або забрудненням ізоляторів.
Останнім часом зявилися системи, засновані на інших принципах [46,47].
Системи обємного контролю помешкань і територій. Вони засновані на тому, що фіксується обємне поле, утворене датчиком-генератором (СВЧ, ІЧ, ультразвук і ін). При появі стороннього обєкта конфігурація поля змінюється, що і фіксується приймачем.
Системи, що реагують на зміну якихось фізичних параметрів оптичних кабелів при торканні й ін.
У механічних системах захисту території (огорожа, будинки, стіни, вікна і т.д.) використовуються різноманітні датчики: вібраційні, акустичні, електричні перемикачі (з контактами), електричні дротові елементи (спрацьовування відбувається при деформації їх).
Широке поширення знайшли телевізійні системи спостереження й оповіщення.
Для запобігання вторгнення на територію, що охороняється, використовується система, у якій знаходять застосування освітлювальні або звукові сигнальні установки. У обох випадках порушник, що намагається проникнути на територію що охороняється, інформується про те, що він виявлений охороною, що робить цілеспрямований психологічний вплив. Крім того, використання освітлювальних установок забезпечує сприятливі умови для дій охорони.
Складні комплекси захисту територій що охороняються, які складаються, як правило, із декількох систем, можуть ефективно функціонувати за умови, що робота всіх технічних установок постійно контролюється й управляється центральним пристроєм.
Врахував підвищене психологічне навантаження чергових центрального посту, необхідність оперативної виробітки і реалізації оптимальних рішень у випадку тривоги, до центральних пристроїв комплексів захисту предявляються особливі вимоги. Так, вони повинні забезпечувати автоматичне виконання всіх необхідних процедур. У пристрої памяті повинен бути записаний перелік заходів, що здійснюються при вмиканні в центральному посту сигналізації тривоги. Доцільно, щоб цей перелік автоматично виводився на екран монітора. Важливу роль грає і рівень ергономіки апаратури, якою споряджуються робочі місця чергових охоронців.
Відповідно до сучасних вимог, центральний пристрій повинен забезпечувати автоматичну реєстрацію і відображення всіх повідомлень, що надходять у центральний пост, і сигналів тривоги. Відображення повідомлень здійснюється за допомогою монітора, на екран якого виводиться схематичний план що охороняється території з оцінками датчиків системи, що спрацювали, оповіщення.
Відомо застосування шумоподібних (широкосмугових) сигналів (ШСС) для пристроїв охоронної сигналізації по радіоканалу.
При розробці вітчизняних радіосистем аудіоконтролю необхідно виконання таких основних вимог, як підвищена скритність для пошукового приймача, висока перешкодозахищеність каналу передачі, широкий частотний діапазон, якісна передача аудіоінформації. Тільки застосування ШСС дозволяє задовольнити настільки великим вимогам. Для зниження можливості виявлення радіолінії пошуковим приймачем у схему вводяться елементи дистанційного керування (ДК). Введення додаткового радіоканалу керування дозволяє з урахуванням специфіки застосування істотно знизити енергозатрати при роботі системи аудіоконтролю в пасивному режимі.
При цьому розглядається два види сигналів, що відрізняються засобом введення інформаційної складової: ШСС1 - фазова маніпуляція несучої частоти двома квазіортогональними псевдовипадковими послідовностями (ПВП), ШСС2 - частотна модуляція інформаційним сигналом несучої частоти з фазовою маніпуляцією що кодовиробляє ПВП.
Практична реалізація пристрою аудіоконтролю орієнтована на використання одного з видів сигналів.
Практична реалізація приймачів шумоподібних сигналів можлива тільки на основі спеціального кореляційного опрацювання, розробленого і застосованого в космічних засобах передачі інформації, радіонавігації, радіолокації і сотових мережах звязку. З іншого боку, якісна передача інформації в системах аудіоконтролю потребує, щоб швидкість передачі була не менше 100 Кбіт/с. Сучасна елементна база дозволяє забезпечити побудову тракту приймального пристрою зі смугою по проміжній частоті = 10-20 МГц. У такому випадку потенційний виграш по опрацюванню ШСС, що подає собою відношення вихідного сигналу сигнал/перешкода до вхідного, складе 20дБ. Забезпечення такого виграшу багато в чому визначається тим, наскільки вдало буде обраний тип ШСС. При цьому припускається як вибір ПВП, так і засіб введення інформаційного сигналу. Мінімально можливе значення відношення сигнал/перешкода на вході обмежується чутливістю приймальної частини системи. Використовуване кореляційне опрацювання ШСС є оптимальне при наявності перешкоди типу білого шуму. На практиці виникають додаткові втрати за рахунок впливу інших перешкод.
1.6. Проблематика криптографии
Короткий історичний огляд розвитку криптографії і криптографічних методів
Передусім необхідно відмітити не треба плутати з криптографією латентний (симпатичний) лист, суть якого в прихованні видимості написаного. Наприклад, напис, зроблений молоком на білому папері, не видний без нагріву паперу. У перекладі з грецького криптографія - це тайнопис (в широкому значенні). У криптографії текст видний, але не може бути прочитаний. Криптографія використовує перетворення одних знаків в інші (взяті з того ж самого або іншого алфавіта).
Державна і військова переписка виникла в глибокій старовині і супроводилася винаходом різних криптографічних методів для захисту цієї переписки від противника [9].
Так за 400 років до н. е. в Спарте використовувалося шифрування на круговому циліндрі. На циліндр намотувався сувій, після чого по сувою паралельно осі циліндра записувався текст рядок за рядком. У результаті на розгорненому сувої букви розташовувалися без видимого порядку. Для прочитання послання одержувач повинен був намотати сувій на точно такий же циліндр.
Мал.1.3. Основні етапи розвитку криптографії.
За 300 років до н. е. в Греції був написаний труд "Тактікус" про приховані повідомлення. За 200 років до н. е. винайдений полібіанський
квадрат, що містив 5(5=25 кліток для двадцяти чотирьох букв грецького алфавіта і пропуску, вписаних в довільному порядку. При шифруванні тексту потрібна буква відшукувалася в квадраті і замінювалася на іншу з того ж стовпця, але вписану рядком нижче. Буква, яка знаходилася в нижньому рядку квадрата, замінювалася на іншу з верхнього рядка того ж стовпця. Одержувач, що мав точно такий же квадрат, проводив розшифровку повідомлення, виконуючи вказаний операції в зворотному порядку.
Цезар в переписці з Цицероном використав те, що в цей час називають шифром заміни. Метод Цезаря складається в наступному. Спочатку кожній букві алфавіта зіставляється її порядковий номер. Потім при шифруванні записується не сама буква, а та, чий номер більше на ціле число K, зване ключем. Для алфавіта, що містить m букв, правило шифрування виглядає так:
n = K + l mod m,
де n - номер букви, отриманої внаслідок шифрування букви з номером l. Здесь використана операція обчислення по модулю, рівний m, при виконанні якої записується не сама сума K + l, а залишок від розподілу цієї суми на m.
Узагальнення шифру Цезаря - це шифр простої заміни. Його суть полягає в тому, що всі букви алфавіта замінюються на інші букви, того ж алфавіта, за правилом, яке є ключем. Наприклад, а замінюється на в, би - на з, в - на в,..., я - на м. Кількість можливих при такому шифруванні перестановок, відповідна алфавіту з обємом m = 32, складає m! =32! =2.631035. Якщо в одну секунду при простому переборі застосовувати мільйон ключів, то загальний час на дешифрування становитиме 8.31021 років.
Розвитком шифру простої заміни став шифр Блеза Віженера (XVI повік, Франція). У цьому шифрі ключем служить слово, т.е. послідовність з порядкових номерів букв ключа. Ключ, при необхідності повторюючись, підписується під повідомленням, після чого виконується складання по модулю m в кожному стовпці, що містить по одній букві повідомлення і ключа.
Криптографією займалася багато яка відома математика, така як Вієт, Кардано, Лейбніц і, нарешті, Френсіс Бекон, який запропонував двійкове кодування латинського алфавіту.
У Росії самостійна криптографічна служба була уперше організована Петром I, який під впливом спілкування з Лейбніцом заснував циферну палату для розвитку і використання криптографії.
Промислова революція в розвинених країнах привела до створення шифрувальних машин. У кінці XVIII століття Джефферсоном (майбутнім третьому президентом США) були винайдені шифруючі колеса. Першу практично працюючу шифрувальну машину запропонував в 1917 р. Вернам. У тому ж році була винайдена роторна шифрувальна машина, що згодом випускалася фірмою Сименс під назвою "Енігма" (загадка), - основний противник криптографів Союзних держав в роки Другої світової війни.
Неоцінимий внесок в криптографію вніс К. Шеннон, особливо своєю роботою "Математична теорія звязку" 1948 року. У 1978 році Діффі і Хеллман запропонували криптосистеми з відкритим ключем. У 1977 році США був введений відкритий Федеральний стандарт шифрування для несекретних повідомлень (DES). У 1992 році вводиться відкрита вітчизняна система шифрування ГОСТ (див. схему на мал. 1.3) [5,6,7].
Одночасно з вдосконаленням мистецтва шифрування йшов розвиток і криптоаналізу, предметом якого було розкриття криптограм без знання ключів. Хоч постійне змагання між шифруванням і криптоаналізом продовжується і в цей час, однак є ряд істотних відмінностей сучасного етапу від попереднього.
1. Широке використання математичних методів для доказу стійкості шифрів або для проведення криптоаналізу.
Використання коштів швидкодіючої, спеціалізованої обчислювальної техніки.
Відкриття нового вигляду криптографії з більш "прозорими" методами криптоаналізу (криптографія з відкритим ключем).
Поява нових додаткових функцій, крім шифрування і дешифрування.
Використання новітніх фізичних методів в криптографії (динамічний хаос, квантова криптографія, квантовий компютер).
1.7. Стандартизація методів і засобів забезпечення інформаційної безпеки за кордоном
Розробка стандартів для забезпечення безпеки передачі інформації за кордоном почалася з нині широко відомого стандарту DES, що реалізує алгоритм захисту з ключем блокової структури. Потім були опубліковані й інші стандарти.
Міжнародна організація стандартизації ISO почала роботу з цієї проблеми в 1980 р. з утворення Робочої Групи WG1 Технічного Комітету ТС97, відповідального за питання обробки інформації. Пізніше WG1 перетворена в підкомітет під найменуванням TC97/SC20. Стандарти по безпеці передачі даних охоплюють декілька підрозділів: алгоритми, режими використання, удосконалення звязкових протоколів, керування ключами, аутентифікація і т.д. Стандарт DES, обумовлений як алгоритм криптографії, був перероблений у міжнародних термінах. Зберігши стару внутрішню логічну структуру, стандарт був поданий у якості міжнародного і відомий як алгоритм Data Encipherment Algorithm 1 (DEA1) із номером 8227 по класифікації ISO. Аналогічно, відомий стандарт на криптосистему з привселюдним ключем RSA був також перероблений ISO і зареєстрований під номером 9307.
У Європейському інституті стандартів по телекомунікаціях (ETS!) проводиться велика робота зі стандартизації методів забезпечення безпеки при передачі інформації з різноманітних каналів. Працює Консультативна Група по методах забезпечення безпеки (STAG Security Techniques Advisory Group), що разом з іншими консультативними групами готує технічні звіти і проекти стандартів. Видано докладний каталог стандартів, технічних звітів і оглядових документів ETSI. Нижче приводиться перелік технічних комітетів ETSI, стандартів і звітів, що стосуються проблем безпеки інформації при передачі по каналах звязку різноманітного призначення.
ETSS Memorandum М1Т06, т.1.2. Каталог вимог Європейських стандартів по системах забезпечення інформаційної безпеки.
ТС/ВТС Системи ділового звязку. Підкомітет STC/BTC4 підготовлює технічний протокол, що буде включати аспекти забезпечення безпеки в широкосмугових мережах. Документ DTR/BTC 04002: "Приватні мережі, широкосмугові. Аспекти експлуатації і міжзєднань".
STC/NA6 Інтелектуальні мережі підготовлений документ DTR/NA 061201. "Інтелектуальні мережі. Вимоги по безпеці для глобальних інтелектуальних мереж". Схвалений у жовтні 1994 р.
STC/NA7 Універсальний персональний звязок.
Універсальний персональний звязок є службою електрозвязку, що забезпечує користувачам можливість рухливого радіозвязку для вхідних і вихідних викликів. Передбачається, що служба не буде залежати від типу термінала і використовуваної мережі. До кінця 1991 р. експертна група з питань безпеки ETSI заснувала робочу групу NA7 із метою визначити архітектуру і стандарти, що забезпечують безпеку на різноманітних стадіях розвитку системи персонального звязку. Хоча робота над проблемами універсального персонального звязку була розпочата у ИК1 МСЭ, проте питання безпеки там не торкалися. В даний час перша стадія роботи закінчена. Розроблено такі документи.
ETR 0554. Універсальний персональний звязок. Концепція служби. Частина 4: Вимоги служби по забезпеченню безпеки.
ETR 05511. Універсальний персональний звязок. Концепція служби. Частина 11: Вимоги служби по захисту інформації.
ETR 083. Універсальний персональний звязок. Загальна архітектура забезпечення безпеки.
NATR014. Універсальний персональний звязок. Алгоритм аутентифікації.
DTR/NA 072402. Універсальний персональний звязок. Специфікація вимог до алгоритмів забезпечення безпеки.
ETR 0554. Універсальний персональний звязок. Частина 4: Вимоги служб до механізмів забезпечення безпеки.
DE/NA072401. Універсальний персональний звязок. Реалізація архітектури по забезпеченню безпеки.
DE/NA072401. Універсальний персональний звязок. Тести для реалізації архітектури по забезпеченню безпеки.
STC NA/STAG Консультативна група по методах забезпечення безпеки.
Консультативна група організована для підтримки заходів щодо забезпечення безпеки в складі ETSI. Вона розробила робочу програму по реалізації політики стандартизації по забезпеченню безпеки. Розроблено документи:
DTR/NA002401, Посібник із стандартів ETSI позабезпеченню безпеки.
DTR/NA002501, Напрямок і методи для ідентифікації, аналізу і документування вимог по безпеці для систем і служб телекомунікації.
DTR/NA002502, Основні напрямки в стандартизації безпеки.
TCRTR028, Словник термінології по стандартизації.
DTR/NA002602, Методи керування безпекою.
DTR/NA002603, Напрямки інтеграції механізмів забезпечення безпеки в стандарти ETSI.
DTR/NA002604, Посібник із визначення вимог для криптографічних алгоритмів.
STC/RES3 Цифрові Європейські безпровідникові системи звязку. У структурі забезпечення безпеки група RES3 займається питаннями взаємної аутентифікації рухливої і фіксованої частин системи, а також забезпечення конфіденціальності користувачів і переданих даних. Визначаються алгоритми аутентифікації і криптозахисту. Розроблено документи:
ETS 3001757. Радіопристрої і системи. Цифрові Європейські безпровідникові системи звязку. Частина 7. Особливості забезпечення безпеки.
ETS 3001757. Цифрові Європейські безпровідникові системи звязку. Частина 7. Переваги забезпечення безпеки.
ETS 300331, Цифрові Європейські безпровідникові системи звязку. Модуль підтвердження ідентичності.
STC/RES6, Трансєвропейські транкінгові радіосистеми. У складі ETSI створений підкомітет RES6, організований як експертна група по безпеці звязку. На першому етапі визначена конфіденціальність трафіка по радіоканалам, аутентифікація користувачів, каналів керування віщанням і ін. Розроблено документи:
ETR 0863, Трансєвропейські транкінгові радіосистеми. Частина 3. Аспекти безпеки.
priETS 3003927. Трансєвропейські транкінгові радіосистеми.
Служби "промова+дані". Частина 7: Безпека.
priETS 3003927, Трансєвропейські транкінгові радіосистеми.
Оптимізовані системи пакетного звязку. Частина 7: Безпека.
SAGE Консультативна Група по алгоритмах забезпечення безпеки.
Група створена для розробки всіх криптографічних алгоритмів для стандартів ETSI, а також алгоритмів за межами ETS!. Група склала специфікації на алгоритми криптозахисту для GSM систем. В даний час група працює над алгоритмом аутентифікації ТЕ9 і над алгоритмом шифрування для стандарту ТЕ10. Розроблено документи:
SAGETR 001. Вимоги для криптоалгоритмів для використання в аудіовізуальних системах.
SAGETR 0012. Звіт "Розробка алгоритму шифрування А5/2 для систем GSM".
S1.1.2.2. Проектування безпечних систем методи криптографії.
TC/SMG Мобільні системи цифрового звязку.
Група визначає архітектуру забезпечення безпеки для загальноєвропейської системи первинного звязку GSM. Головною ціллю є забезпечення аутентифікації рухливих абонентів і забезпечення конфіденціальності передачі по радіоканалам. Передбачається розробити до семи стандартів криптозахисту для систем GSM. На першому етапі розроблено два стандарти. На другій фазі передбачається поліпшення якості інших служб, у першу чергу обміну даними. Розроблено документи:
prETS 300506. Аспекти забезпечення безпеки (GSM 02.09).
prETS 300509. Модуль ідентифікації абонента (GSM 02.17).
RTS/SMG 030408В. Сигнальна підтримка алгоритму повторного шифрування (GSM 04.08).
prETS 300534. Мережні функції, що відносяться до безпеки (GSM 03. 20).
prETS 300614. Керування безпекою (GSM 12.03).
Серед багатьох переваг цифрових методів передачі аналогових повідомлень важливим є можливість захисту інформації порівняно простими засобами. У системах мобільного звязку типу GSM захист здійснюється шифруванням переданого радіосигналу незалежно від виду переданого повідомлення (промова, дані, сигнали керування й ін). Шифрування по алгоритму А5 здійснюється накладенням ПСП на потік переданих даних. Загальна структура алгоритму А5 загальновідома, проте конкретний різновид і ключ змінюються від сеансу до сеансу. Є також додаткові рівні захисту, що не публікуються. Ними володіють лише ті європейські оператори GSM, що підписали спеціальну угоду. Алгоритм А5 достатньо простий і реалізується апаратно у вигляді одного чіпу ВІС. Конкретні відомості про засоби захисту інформації в системі GSM містяться в специфікаціях/19/.
ETS 300506 (GSM 02.09). Аспекти безпеки.
У наземній мережі первинного сотового радіозвязку GSM як користувачі, так і оператор мережі повинні бути захищені від несанкціонованого втручання третіх осіб. Заходи для забезпечення безпеки звязку розглядаються як додаткові послуги, що вибираються користувачем або включаються у функції мережі при наданні загальних послуг звязку. Метою цього стандарту є визначення особливостей забезпечення безпеки і відповідних рівнів захисту.
ETS 300534 (GSM 03. 20). Функції мережі для забезпечення безпеки.
Стандарт визначає функції мережі GSM, необхідні для забезпечення безпеки служб і функцій, описаних у рекомендаціях GSM 02.09.
При розробці й експлуатації сучасних систем супутникового звязку особлива увага приділяється використанню технічних засобів захисту інформації. Найбільше часто використовується стандарт DES, у тому числі і для урядового звязку. Стандарт DES використовується також у недержавних структурах, у тому числі для обслуговування банків і інших служб обертання грошей. У ряді випадків знаходить застосування метод захисту з відкритим ключем RSA.
Поряд із багатоканальними системами супутникового звязку типу INTELSAT широко використовуються мережі звязку з малими станціями VSAT (Very Small Aperture Terminal термінал із малою апертурою антени), що забезпечують малоканальний (персональний) супутниковий звязок. Обмін даними через супутник ретранслятор забезпечується з застосуванням ефективних засобів технічного захисту. У мережах малих станцій, що впроваджуються в Росії, часто застосовується алгоритм, обумовлений стандартом ГОСТСТАНДАРТ 2814789 [5, 6, 7]. Він перевершує стандарт DES по ряду показників, проте потребує великих обчислювальних витрат.
2. Математичні основи шифрування-дешифрування діскретних повідомлень
2.1. Прийняті позначення
М - алфавіт джерела повідомлення, - обєм алфавіта джерела, - послідовність довжини n із символів алфавіта джерела повідомлення,
- послідовність із символів алфавіта джерела повідомлення,
М - символи алфавіта джерела повідомлення,
- численність усіх можливих послідовностей довжини n,
К - алфавіт ключів (ключових даних), - обєм алфавіта ключа,
- послідовність довжини N із символів алфавіта ключа,
- послідовність із символів алфавіта ключа,
К - символ алфавіта ключа,
- численність усіх можливих послідовностей ключа довжиной N,
- обєм численності усіх можливих послідовностей ключів довжини N,
- ключова послідовність, яку використовують для шифрування,
- ключова послідовність, яку використовують для дешифрування,
Е - алфавіт джерела кріптограми, - обєм алфавіта кріптограми,
- послідовність довжини n із символів алфавіта Е,
- послідовність із символів алфавіта кріптограми,
Е - символ алфавіта кріптограми,
- численність усіх можливих послідовностей кріптограми довжиной n,
- обєм численності усіх можливих послідовностей довжини n,
- додавання по модулю 2 (mod2).
2.2. Модель шифрування-дешифрування діскретних повідомлень
Будемо далі, як правило, розглядати шифрування-дешифрування так званих діскретних повідомлень, які можуть бути представлені сигналами, які мають кінцеве число станів. Це дані, печатні тексти, а також речові сигнали та зображення, якщо вони попередньо перетворені у діскретні (цифрові) сигнали. У випадку аналогового сигнала (як правило) використовують інші методи, які будуть розглядатися далі.
Математичною моделлю системи шифрування-дешифрування називають пару функцій
(2.1)
які перетворюють повідомлення у кріптограму за допомогою ключа шифрування та навпаки, кріптограму у повідомлення за допомогою ключа дешифрування . Обидві функції, які задають кріптосистему, повинні задовольнити таким вимогам:
функція f(,) та g(,) при відомих аргементах розраховуються просто.
функція g(,?) при невідомому ключі розраховується складно.
Передбачається, що ключ дешифрування невідомий нелегальним користувачам, хоч вони і можуть знати функції f(,) та g(,), а також ключ шифрування . (Остання умова складає так званий принцип Казиски).
Слід розрізняти три основних вида нападу (атаки) опонентів на кріптограму:
Напад при відомій кріптограмі .
Напад при відомій частині кріптограми та повідомлення , яка відповідає певній частині криптограми, яку отримали при використанні того ж самого ключа (атака при частково відомому відкритому повідомлені).
Напад при відомій криптограмі та спеціально вибраній частині повідомлення, яка відповідає цій частині кріптограми, яку отримали на тому ж ключі (атака з частково вибраними відкритими повідомленнями).
Сучасні кріптосистеми важаються стійкими, якщо вони стійки до всіх трьох атак.
Для кріптосистем, які шифрують повідомлення з невисокими вимогами до ймовірності помилки при передачі (цифрова реч, цифрове зображення), необхідно дати четверту, додаткову вимогу.
Дешифрування після передачі кріптограми по каналам зі спотвореннями не повинно збільшувати число помилок у порівнянні з тим числом помилок, які виникли у каналі звязку внаслідок спотворень, іншими словами не повинно відбуватися розмноження помилок.
Пояснемо суть поняття розмноження помилок. Нехай при передачі кріптограми по каналу звязку виникли помилки (див. мал.2.1).
,t
Мал.2.1. Система шифрування-дешифрування.
Місцезнаходження та величина помилок визначаються вектором помилок . При двоїчній системі передачі прийнята криптограма буде мати вигляд , де знак означає побітне додавання по модуля два, а загальне число помилок t дорівнює нормі векторів помилок , тобто t=. Число помилок t у розшифрованому повідомлені підраховується як
(2.2)
Помилки не розмножуються при умові, що t=t.
Якщо ключ шифрування дорівнює ключу дешифрування, тобто
==, (2.3)
то система називається сіметричною (одноключовою). Тоді у пункти шифрування та дешифрування повинні бути доставлені однакові ключі. Якщо , то система шифрування називається несіметричною (двоключовою). У цьому випадку ключ доставляється у пункт шифрування, а - у пункт дешифрування. Оба ключа повинні бути звязані функціональною залежністю =(), але такою, щоб відомому ключу шифрування неможливо було б відтворити ключ дешифрування. Для несиметричних систем шифрування () повинна бути складно розрахуємою функцією. У такій системі є можливість секретним чином розподіляти серед законних користувачів тільки їх ключі дешифрування, а ключі шифрування зробити відкритими та оприлюднити, наприклад у загальнодоступному довіднику. Розглядаєма система тому називається системою з відкритим (загальнодоступним) ключом . Кріптосистема з загальнодоступним ключом (Public key criptosystem) була вперше запропанована Діффі та Хелманом у 1978р.
У цій частині курсу будуть розглядатися тільки одноключові системи.
2.3 Особливі крітерії стійкості кріптосистем
Існують два основних класа стійкості кріптосистем:
Ідеально (безумовно) стійкі, або досконалі системи, для яких стійкість кріптоаналізу (дешифрування) без знання ключа не залежить від розрахункової потужності опонента. Ми будемо називати їх теоретично недешифруємими.
Розрахунково стійкі системи, у якіх стійкість кріптоаналізу залежить від розрахункової потужності опонента.
Система є теоретично недешифруємою, якщо будь-яка криптограма , отримана у ній, при відсутності знання про ключ , не містить ніяких відомостей про повідомлення , зашифроване у цю кріптограму. У відповідності з терією інформації це має місце, коли (при відсутності відомостей про ключ) дорівнює нулю взаємна інформація між численністю повідомлень М та численністю кріптограм Е, тобто І(Е, М) =0, де І(Е, М) =Н(М) - Н(М/Е), Н(м) - ентропія джерела повідомлень, Н(М/Е) - умовна ентропія численності повідомлень М при заданій численності криптограм Е.
При ідеальному шифруванні фактично виникає "обрив канала" від легальних користувачів до опонентів.
Равносильне визначення ідеального шифрування встановлює незалежність будь-якої пари та від численності повідомлень та численності кріптограм, тобто тоді, коли умовна ймовірність передачі визначеного повідомлення при отриманні визначеної криптограми залишається завжди рівною апріорній ймовірності передачі цього повідомлення.
(2.4)
З визначення ТНДШ видно, що найкращій засіб кріптоаналізу для такої системи при невідомому ключі дешифрування складається в ігноруванні кріптограми та в випадковому угадуванні повідомлень по відомій апріорно ймовірності.
Розглянемо приклад побудови теоретично недешифруємих систем (див. мал.2.2).
Припустимо, що повідомлення є двоїчною послідовністю довжини n. Тоді можна формувати кріптограму як двоїчну послідовність такої ж довжини n за наступним правилом:
(2.5)
використовуючи побітне додавання з ключем , який також є двоїчною послідовністю довжини n.
Наприклад,
011001101111010001110
010011110101100110101
___________________________
001010011010110111011
При відомому ключі , який повинен бути переданий на сторону прийому будь-яким секретним чином, повідомлення легко відновлюється по тій же формулі, по якій прводилося шифрування
(2.6)
Покажемо, що якщо двоїчні елементи ключа вибираються взіємнонезалежними та равноймовірними, то цього достатньо, щоб описана вище система була ТНДШ.
Елементи ключа вибирають незалежно, тому достатньо довести рівність Р(МЕ) =Р(М) для одного елемента. По формулі Бейеса
(2.7)
Із графа, який представлено на мал.2.3. і який показує можливості шифрування при рівноймовірних символах ключа слідчить, що , .
Звідси р(Е) =р(М=0) р(ЕМ=0) +р(М=1) р(ЕМ=1) =0.5(р(М=0) +р(М=1)) = 0.5 і отимаємо
(2.8)
Останнє рівняння і є умовою теоретичної недешифруємості.
Відзначимо, що дана система має суттєвий недолік, який полягає у тому, що потрібна довжина ключа N повинна дорівнювати довжині повідомлення, тому необхідна генерація, передача у секреті, зберігання великого числа біт ключа, що робить розглядаєму систему дорогою та непридатною для масового використання, доступною лише для привілейованих користувачів. Але поки на доведено, що умова n=N є необхідною для побудови ТНДШ.
Доведемо: необхідна умова ТНДШ складається з того, що число можливих кодів, використовуємих у ТНДШ повинно бути не менш, ніж число повідомлень, які засекречуються на цих ключах. Дійсно, нехай є L можливих повідомлень . Виберемо фіксований ключ . При одному й тому ж ключі різні повідомлення переходять у різні кріптограми з ймовірністю (граф такої системи
шифрування - на мал.2.5.
|
|
Мал.2.5. Граф шифрування одним ключом.
|
|
Мал.2.6. Граф шифрування в одну криптограму.
|
|
|
Оскільки передбачається, що система є ідеальною, то по визначенню для будь-якого повідомлення та кріптограми повинна виконуватися умова: , з якого, враховуючи, що
(2.9)
і виходить, що . Тоді для будь-якої обраної кріптограми (наприклад ) існують нульові ймовірності переходу у неї з будь-якого повідомлення , але оскільки різні повідомлення можуть переходити в одну й ту ж саму кріптограму тільки на різних ключах, то кожному такому переходу можуть відповідати різні ключі .
Відповідний граф для отримання кріптограми представлений на мал.2.6. Тоді ми отримаємо стільки ж ключів, скільки є повідомлень, тобто R.
Нехай ключ представляє собою послідовність довжиною N із алфавіта К обємом . Тоді загальне число ключів буде дорівнювати . Порівнюючи це число ключів з числом повідомлень , де m - обєм алфавіта джерела, n - довжина повідомлення, отримаємо, що необхідна умова ТНДШ приймає вигляд
, або (2.10)
У частному випадку, коли L=m, отримаємо, що N=n, що співпадає з достатньою умовою, яку отримали вище для прикладу двоїчного кодування по модулю два.
Але нема необхідності шифрувати усі послідовності, які можна скласти із символів джерела повідомлень. У дійсності можна шифрувати тільки так звані "типічні" послідовності, які зявляються з ненульовою ймовірністю.
Із теорії інформації бачимо, що при число типових послідовностей , де H(M) - ентропія джерела повідомлення. Типові послідовності приблизно рівноймовірні, їх сумарна ймовірність збігається до одиниці. На підставі раніше доведеного твердження, шифруючи тільки типові послідовності, отримаємо необхідну умову ТНДШ:
, або (2.11)
Оскільки для будь-яких джерел Н(М) <logm, то (7) дає меньш жорсткі умови, ніж (6). Чим більше надлишок джерела, тим менше його ентропія. Таким чином для забезпечення найбільш економного з точки зору ключа ідеального шифра, необхідно попередньо стиснути повідомлення, а потім провести додавання по модулю два з ключовою послідовністю.
Таким чином, необхідною умовою ТНДШ є пропорційність довжини ключа довжині послідовності. Тільки коефіцієнт цієї пропорційності для надлишкових джерел може бути декілька зменшений в порівнянні з одиницею.
Приклад: нехай задані такі параметри джерела повідомлень та ключа: L=2, m=32, ентропія джерела Н(М) =0.5 біта на букву. Тоді при шифруванні усіх послідовностей джерела довжина ключа повинна бути N=5n, тоді як після стиснення повідомлення такого джерела вони можуть бути зменшені вдвічи.
2.4. Поняття про відстань єдиності
Розглянемо декілька інший підхід до поняття стійкості кріптосистеми, яка не залежить від розрахункової потужності опонента, який звязан з невизначеністю дешифрування при відомому ключі.
Будемо вважати, що опоненту відома кріптограма Е та опис системи шифрування-дешифрування симетричної кріптосистеми, тобто функції f(M,K) та g(E,K), але невідомий ключ К. Використовуючи до прийнятої кріптограми Е усі можливі ключі К, можна спробувати відновити повідомлення, коли серед численності ключів тільки один є вірним, тоді як інші - помилкові. Відбраковку ключів можна виконувати, використовуючи крітерій, який полягає у отриманні осмисленного текста. Однак може статися, що одній кріптограмі будуть відповідати декілька осмисленних розшифровок. У цьому випадку навіть при необмеженій розрахунковій потужності опонента немає засобу, щоб знайти істиний ключ та відновити дійсно зашифроване повідомлення.
|
- осмислених "типічних" повідомлень.
- безглуздих повідомлень.
|
|
|
|
Мал.2.7. Розшифровка кріптограми тотальним перебором ключів.
Нехай одній кріптограмі відповідає S осмислених розшифровок (мал.2.7). З них очевидно будуть помилкові, та одна істинна. Передбачемо також, що алфавіти повідомлень та кріптограм, а також довжини послідовностей повідомлень та кріптограм співпадають.
Якщо вдасться побудувати кріптосистему, яка для кожної кріптограми дає дуже велике число помилкових розшифровок, то її можна буде також важати стійкою, оскільки при будь-якій розрахунковій потужності стане неможливим визначити, яка з припущених розшифровок є істинною. Нижня межа для середнього числа помилкових розшифровок у випадку використання кріптосистеми з ключом довжини N, з обємом алфавіта ключових даних L, при шифруванні джерела повідомлення з ентропією Н(М) визначається теоремою Шеннона-Хелмна:
(2.15)
де m - обєм алфавіта, n - довжина повідомлення (кріптограма). Із даного відношення видно, що якщо показник степені більше нуля та достатньо великий, то середнє число помилкових розшифровок буде дуже великим і систему шифрування можна вважати стійкою.
Але з ростом довжини прийнятої кріптограми та при фіксованому числі ключів, показник степені буде падати і коли він наблизиться до нуля, то можна важати, що помилкових розшифровок не буде, тобто нульове значення показника степені є критичним: при довжині кріптограми , де - довжина кріптограми, яка обертає в нуль показник степені, кожна кріптограма може бути розсекречена єдиним чином, а прі це не так. Величина дає ту мінімальну довжину кріптограми, починаючи з якої помилкові розшифровки будуть відсутні, отже, при переборі всіх ключів кожній кріптограмі буде відповідати єдине повідомлення, яке дійсно передавалося. Така довжина кріптограми називається відстанью єдиності . Знайдемо цю відстань, прирівнюючи до нуля показник степені у (2.15). Розвязуючи отримане рівняння, знаходимо формулу Шеннона для відстані єдиності.
(2.16)
Важливий висновок, вірний для будь-яких кріптосистем, складається у тому, що якщо опонент перехватив кріптограму довжини , то він завжди зможе без знання ключа розшифрувати її єдиним правильним чином.
Аналіз формули для відстані єдиності показує, що чим менш надлишковим є джерело, тобто чим більше Н(М) до logm, тим більше відстань єдиності. Використовуючи дану формулу неважко побачити, що для дійсних повідомлень з надлишковістю та при відносно невеликій довжині ключа відстань єдиності є прийнятною для аналізу з боку опонента.
Пример. Пусть алфавит сообщения содержит 32 буквы, а энтропия сообщения H(M) = 1,5 (что примерно соответствует энтропии русского языка). Тогда при двоичном ключе длиною N = 128 символов, расстояние единственности составляет 40 букв.
Зазначимо, що хоча висновок для величини відстані єдиності був приблизним, практичний досвід свідчить, що відстань єдиності має величину того ж порядку, що дає формула Шеннона.
В заключение следует сделать общий вывод о том, что стойкие системы шифрования, криптоанализ которых не зависит от вычислительных или аппаратных возможностей оппонента, к сожалению не реализуемы на коротких ключах (N << n).
2.5. Вычислительно стойкие криптосистемы
Криптосистема называется вычислительно стойкой, если наилучший алгоритм дешифрования требует времени (или оборудования) больше, чем имеется в распоряжении оппонента.
В частности может оказаться, что требуемое время криптоанализа превышает то время в течение которого рассматриваемое сообщение перестает быть актуальным, либо получение даже правильного сообщения не окупает затрат затраченных на процедуру криптоанализа.
Существенная сложность при разработке вычислительно стойких криптосистем возникает в связи с определением наилучшего алгоритма криптоанализа. В действительности эта задача не решена ни для одной мощной криптосистемы, т.е. для достаточно мощных шифров наилучшие такие алгоритмы просто не известны. Поэтому можно говорить лишь об известных в настоящее время наилучших методах криптоанализа, которые применимы к отдельным классам шифров или разработаны для конкретных шифров. (Обычно ограничиваются наилучшими известными в настоящее время алгоритмами криптоанализа и берут значительный запас на быстродействие и количество вычислительных средств) Поэтому теоретически всегда существует возможность, что будет найден некоторый новый метод криптоанализа, который позволит решить задачу "в реальном времени". Однако для современных шифров вероятность такого "прорыва" весьма мала, поскольку он требует решения весьма сложных, и обычно давно известных в математике задач. Это особенно верно для систем с открытым ключом, для которых задача криптоанализа может быть четко сформулирована как некоторая вполне конкретная математическая задача.
В современной математике существует область "Теория сложности алгоритмов", где различают "простые" и "сложные" задачи. Задачи полиномиальной сложности, для решения которых необходимое число элементарных операций является полиномиальной функцией от размерности задачи, относятся к простым. Время T(N) для их решения N n, где N - размерность задачи. Наиболее сложные (трудные) задачи требуют для своего решения числа операций, которое экспоненциально зависит от размерности задачи, т.е. T(N) abN, где aиb>0 некоторые постоянные, в силу чего весь класс таких задач называется EXPTIME.
Нужно избегать построения криптосистем с полиномиальным временем криптоанализа и стараться строить криптосистемы так, чтобы их вскрытие относилось к задачам второго класса сложности.
Помимо двух уже рассмотренных классов задач в теории сложности выделяют еще один важный класс задач, называемых недетерминистско - полиномиальными (NP задачами). NP - задачи - это задачи, для которых пока неизвестны алгоритмы решения с полиномиальной сложностью (это не означает, что они вообще не существуют). Однако, если решение такой задачи найдено, то проверка его правильности это задача полиномиальной сложности.
Рис.2.8. Граф для поиска Гамильтонова цикла
Имеется достаточно широкий класс известных NP-задач, имеющий многовековую историю попыток их полиномиального решения. Так, например, для заданного графа (см. рис 2.8) нужно найти путь (Гамильтонов путь) проходящий по всем вершинам графа только один раз. Не известен алгоритм нахождения Гамильтонова цикла полиномиальной сложности от числа вершин графа. Хотя, если такой цикл найден, то проверить правильность предлагаемого решения всегда можно с помощью алгоритма полиномиальной сложности.
Среди задач NP класса имеется подкласс (см. рис.2.9) наиболее сложных задач, которые называются NP - трудными. Это задачи, обладающие следующим свойством: если для какой - то из них найдется алгоритм решения с полиномиальной сложностью, то это будет означать, что существуют алгоритмы с полиномиальной сложностью для решения всех задач из NP класса.
Рис.2.9. Соотношение между задачами NP и NPC класса.
Таким образом, нужно стремиться строить такие криптографические системы, чтобы их криптоанализ при неизвестном ключе был бы эквивалентен решению NP трудной задачи, для которой существование полиномиального алгоритма означает существование полиномиального алгоритма для решения всех задач из NP класса (что, учитывая огромный список таких задач очень маловероятно).
Отметим, однако, что имеется важное, существенное отличие в подходе к оценке сложности произвольных алгоритмов и сложности криптоанализа. В классической теории сложности оценка производится для самой трудной задачи, т.е. при наихудших входных данных, тогда как во втором - при всех входных данных, в том числе и при наилучших, т.е. при наиболее благоприятных для криптоанализа ключах.
Помимо рассмотренных ранее классов детерминированных алгоритмов, существует еще класс так называемых рандомизированных полиномиальных алгоритмов. К нему принадлежат такие алгоритмы, которые имеют полиномиальную сложность, но дают правильный ответ на поставленную задачу лишь с некоторой вероятностью. Очевидно, что если эта вероятность близка к единице, то с практической точки зрения, рандомизированные алгоритмы не хуже детерминированных.
Поэтому необходимо также исключить такие криптографические схемы, которые имеют рандомизированный алгоритм криптоанализа с полиномиальной сложностью.
Таким образом, основные очевидные требования к вычислительно стойким криптосистемам можно сформулировать в следующем виде:
Число ключей LN должно быть непереборно большим, например при L = 2 нужно иметь N = 64, N = 128 и т.п., поскольку в противном случае, приняв криптограмму длиною больше расстояния единственности (n > nре) можно правильно дешифровать переданное сообщение путем полного перебора ключей.
Недопустимо использование какого - либо метода шифрования, который имел бы известный поліноміально сложный от длины ключа метод криптоанализа. Желательно, чтобы сложность была экспоненциальной. Тогда, увеличивая длину ключа всегда можно обеспечить невозможность дешифровки в реальном времени. В частности, из этого следует, что криптоанализ не должен сводить
Зазначимо, що хоча висновок для величини відстані єдиності був приблизним, практичний досвід свідчить, що відстань єдиності має величину того ж порядку, що дає формула Шеннона.
3. основнi види сучасних методiв шифрування i дешифрування
Класифікація.
Класифікація сучасних методів шифрування і дешифрування може відбуватися по різних ознаках. По стійкості вони діляться на:
1. Ідеальні (досконалі або безумовно стійкі, ТНДШ).
2. Обчислювально стійкі при неозоро великому часі дешифрування, коли при відомих алгоритмах криптоаналізу необхідний час на дешифрування завжди переважає час "старіння" зашифрованої інформації.
3. Обчислювально стійкі з доступним для огляду часом дешифрування, але перевищуючі час старіння визначеної інформації.
По засобах формування криптограми з повідомлення розрізняють:
Блокові шифри.
Потокові шифри.
4. Шифри з відкритим ключем.
5. Маскуватори аналогових повідомлень.
З погляду використання ключа виділяють:
1. Двоключеві системи (несиметричні), .
2. Одноключеві (симетричні), = .
Розглянемо далі класифікацію криптосистем по способах формування криптосистем. Для утворення блокового шифру послідовність символів повідомлень розділяється на блоки одна ...........
Страницы: 1 | [2] | 3 |
|
Заказать