1 УДК 004.421.5: 519.2 РАСПОЗНАВАНИЕ И ОЦЕНИВАНИЕ ПАРАМЕТРОВ КРИПТОГРАФИЧЕСКИХ ГЕНЕРАТОРОВ Палуха Владимир Юрьевич, выпускник магистратуры Руководитель: Харин Юрий Семёнович, зав. кафедрой ММАД, доктор физ.-мат. наук, профессор, чл.-корр. НАН Беларуси ВВЕДЕНИЕ Современные средства криптографической защиты информации используют случайные и псевдослучайные последовательности 1 2 , , ... {0, 1} x x V [1]. Случайные последовательности генерируются при помощи физических генераторов, а псевдослучайные – при помощи программных генераторов. Практическую значимость имеют генераторы последовательностей, близких по своим свойствам к равномерно распределённой случайной последовательности (РРСП). РРСП – это случайная последовательность x 1 , …, x t , …, определённая на вероятностном пространстве (Ω, F, P) и удовлетворяющая требованиям [1]: C 1 : Для любого n и произвольных значений индексов 1 ≤ t 1 < … < t n случайные величины 1 ,..., n t t x x независимы в совокупности. C 2 : Для любого номера t случайная величина x t является бернуллиевской и имеет равномерное распределение вероятностей { } 1 2, t Px i i V . Гипотезу о том, что выходная последовательность генератора {x t } является равномерно распределённой, будем обозначать * H = {{x t } есть РРСП}. Более подробно требования к генераторам описаны в [2]. В современной криптографии стойкость генератора часто определяется в терминах теории вероятностей и математической статистики. Поэтому в качестве направления исследований выбрана теория вероятностей, а для решения поставленных и сформулированных ниже задач исследования используются методы математической статистики. Дадим краткое описание задач криптоанализа, из которых вытекают поставленные в исследовании задачи. В условиях атак на криптосистемы при известных, выбранном и выбираемом открытых текстах криптоаналитику становится известен отрезок последовательности x 1 , x 2 , …, x T [1]. Требуется решить одну из следующих задач: 1) определить ключ; 2) не определяя ключа, построить алгоритм вычисления последующих значений x T + 1 , x T + 2 , …. В [1] эти задачи обозначены как задачи S1 и S2. Для решения этих задач необходимо определить, какой тип генератора случайной или псевдослучайной последовательности использовался. При проведении испытаний СКЗИ [1, 3] с целью оценки их надёжности возникает задача обнаружить, не ухудшились ли криптографические свойства генератора с течением времени. В [1] эта задача обозначена как задача S3. Математической сущностью этих практических задач криптоанализа является задача статистического распознавания генераторов случайных и псевдослучайных последовательностей, т.е. задача отнесения (классификации) наблюдаемой выходной последовательности генератора 1 2 , , ..., T x x x V некоторой конечной длительности T к одному из L (2 ≤ L < +∞) классов Ω 1 , …, Ω L . Как известно, при решении задачи статистического распознавания образов [4] выделяются два этапа: наиболее трудный этап построения пространства M информативных признаков ρ 1 , …, ρ M , несущих информацию о разделимости классов {Ω i }; этап построения решающего правила (разделяющих поверхностей) в пространстве найденных информативных признаков ρ 1 , …, ρ M . Информативные признаки для распознавания генераторов можно строить на основе различных величин [1-A, 5-A, 11-A]. Для полного решения описанных выше криптоаналитических задач S1, S2, S3 необходимо не только определить тип генератора, но и оценить его параметры. В [14-A] был изложен подход к
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
УДК 004.421.5: 519.2
РАСПОЗНАВАНИЕ И ОЦЕНИВАНИЕ ПАРАМЕТРОВ КРИПТОГРАФИЧЕСКИХ
ГЕНЕРАТОРОВ
Палуха Владимир Юрьевич, выпускник магистратуры
Руководитель: Харин Юрий Семёнович,
зав. кафедрой ММАД, доктор физ.-мат. наук, профессор, чл.-корр. НАН Беларуси
ВВЕДЕНИЕ
Современные средства криптографической защиты информации используют случайные и
псевдослучайные последовательности 1 2, , ... {0,1}x x V [1]. Случайные последовательности
генерируются при помощи физических генераторов, а псевдослучайные – при помощи
программных генераторов. Практическую значимость имеют генераторы последовательностей,
близких по своим свойствам к равномерно распределённой случайной последовательности
(РРСП). РРСП – это случайная последовательность x1, …, xt, …, определённая на вероятностном
пространстве (Ω, F, P) и удовлетворяющая требованиям [1]:
C1: Для любого n и произвольных значений индексов 1 ≤ t1 < … < tn случайные
величины 1,...,
nt tx x независимы в совокупности.
C2: Для любого номера t случайная величина xt является бернуллиевской и имеет
равномерное распределение вероятностей { } 1 2,tP x i i V .
Гипотезу о том, что выходная последовательность генератора {xt} является равномерно
распределённой, будем обозначать *H = {{xt} есть РРСП}.
Более подробно требования к генераторам описаны в [2]. В современной криптографии
стойкость генератора часто определяется в терминах теории вероятностей и математической
статистики. Поэтому в качестве направления исследований выбрана теория вероятностей, а для
решения поставленных и сформулированных ниже задач исследования используются методы
математической статистики. Дадим краткое описание задач криптоанализа, из которых вытекают
поставленные в исследовании задачи.
В условиях атак на криптосистемы при известных, выбранном и выбираемом открытых
текстах криптоаналитику становится известен отрезок последовательности x1, x2, …, xT [1].
Требуется решить одну из следующих задач: 1) определить ключ; 2) не определяя ключа,
построить алгоритм вычисления последующих значений xT + 1, xT + 2, …. В [1] эти задачи
обозначены как задачи S1 и S2. Для решения этих задач необходимо определить, какой тип
генератора случайной или псевдослучайной последовательности использовался. При проведении
испытаний СКЗИ [1, 3] с целью оценки их надёжности возникает задача обнаружить, не
ухудшились ли криптографические свойства генератора с течением времени. В [1] эта задача
обозначена как задача S3. Математической сущностью этих практических задач криптоанализа
является задача статистического распознавания генераторов случайных и псевдослучайных
последовательностей, т.е. задача отнесения (классификации) наблюдаемой выходной
последовательности генератора 1 2, , ..., Tx x x V некоторой конечной длительности T к одному из
L (2 ≤ L < +∞) классов Ω1, …, ΩL. Как известно, при решении задачи статистического
распознавания образов [4] выделяются два этапа: наиболее трудный этап построения пространства
M информативных признаков ρ1, …, ρM, несущих информацию о разделимости классов {Ωi}; этап
построения решающего правила (разделяющих поверхностей) в пространстве найденных
информативных признаков ρ1, …, ρM. Информативные признаки для распознавания генераторов
можно строить на основе различных величин [1-A, 5-A, 11-A].
Для полного решения описанных выше криптоаналитических задач S1, S2, S3 необходимо не
только определить тип генератора, но и оценить его параметры. В [14-A] был изложен подход к
2
«прямому» оцениванию параметров генератора псевдослучайных последовательностей, т.е.
оцениванию параметров его математической модели. Однако в большинстве случаев эта задача
является трудоёмкой. При рассмотрении элементов выходной последовательности как реализаций
некоторой случайной величины на вероятностном пространстве естественной является
аппроксимация детерминированной математической модели генератора вероятностной моделью.
В теории вероятностей аналогом генераторов псевдослучайных последовательностей являются
цепи Маркова высокого порядка. Существуют различные малопараметрические модели цепей
Маркова, для которых известны алгоритмы оценивания их параметров.
Целью данного исследования является построение информативных признаков, описание их
вероятностных свойств, построение алгоритмов распознавания криптографических генераторов, а
также аппроксимация криптографических генераторов малопараметрическими марковскими
моделями. Поставлены задачи реализации на компьютере построенных признаков и их
применения для распознавания генераторов по выходным последовательностям, оценивания при
помощи программных средств параметров аппроксимационной марковской модели для
построения статистической оценки параметров исходного генератора псевдослучайных
последовательностей.
1 РАСПОЗНАВАНИЕ ГЕНЕРАТОРОВ
1.1 Подход к построению информативных признаков
Будем предполагать, что выходная последовательность генератора tx V является
случайной последовательностью на некотором вероятностном пространстве (Ω, F, P). Разобьём
последовательность X = x1, x2, …, xT на l фрагментов длины s(n) ( ) ( )1 , ,n n
lX X . Пусть наблюдается
некоторая статистика a(n) = f(X, n) при различных параметрах длины фрагмента [ , ]n n n ,
1 n n ; **( ) { ( )}Ha n E a n – математическое ожидание этой статистики при истинной гипотезе
*H . Статистика a(n) и её математическое ожидание *( )a n проиллюстрированы на рисунке 1. В
качестве признака предлагается использовать уклонение a(n) от математического ожидания в l1 –
метрике:
*
1| ( ) ( ) |.
1
n
n n
a n a nn n
(1.1)
Чем ρ больше, тем больше свойства генератора отличаются от РРСП.
Признак (1.1) можно модифицировать, взяв нормированное уклонение:
*
*
| ( ) ( ) |1.
1 | ( ) |
n
n n
a n a n
n n a n
(1.2)
Рисунок 1 – Статистика a(n) и её математическое ожидание a*(n)
100 200 300 400 n0.991
0.992
0.993
0.994
0.995
0.996
0.997
0.998
a n
a n
a n
a n
3
1.2 Описание алгоритма статистической классификации
Опишем применение метода дискриминантного анализа для решения задачи распознавания в
случае двух классов, когда признаки имеют нормальное распределение. Обоснованием
предположения нормальности распределения вероятностей признаков является общий вид
признаков (1.1), (1.2), допускающий применение центральной предельной теоремы при 1n .
Пусть по входной последовательности построен признак ρ и имеется mi обучающих реализаций ( ) ( )1 ,
i
i im
, принадлежащих классу Ωi, {1, 2}i . Построим оценки математического ожидания
вектора признаков и ковариационной матрицы для каждого из классов. Оценка для
математического ожидания в классе Ωi есть выборочное среднее:
( )
1
1ˆ ,
imi
i m
mim
(1.3)
а оценка для дисперсии – выборочная дисперсия:
2 ( ) 2
1
1ˆ ˆ( ) ,
1
imi
i m i
mim
(1.4)
Байесовское решающее правило имеет вид [5]:
2 2 2
0{1,2}
ˆ ˆ ˆ ˆ( ) arg min (ln ( ) 2ln ), ,i i i ii
d d
(1.5)
где оценки { ˆi } и { 2ˆ
i } вычисляются по формулам (1.3) и (1.4) соответственно, априорные
вероятности классов полагаем равными, т.е. 1
ˆ { } , {1, 2}2
i iP i .
1.3 Распознавание с использованием признаков на основе рангов матриц
Разбиваем наблюдаемый ряд x1, x2, … на фрагменты длины s(n) = n2
2(1) (2), ,... nX X V :
2 2
( )
( 1) 1( , , )k
k n knX x x
. Используя k-й фрагмент
2
2
( ) ( ) ( )1( , , )k k k n
nX x x V выходной
последовательности, построим (n × n) – матрицу
2
( ) ( )1
( ) ( )
( ) ( )( 1) 1
( ) .
k kn
k k n nij
k kn n n
x x
A a V
x x
(1.6)
Ранг этой матрицы отражает наличие функциональной зависимости в последовательности.
Если rank(A(k)
) = r < n, то в матрице A(k)
имеется n – r линейно зависимых над Vn строк. Обозначим
ранг матрицы (1.6) ( ) ( )( ) {0,1, ..., }k kr rank A n . Пусть наблюдается l фрагментов, т.е. T = l · n
2.
Определим статистику, имеющую смысл среднего относительного ранга:
( )
1
1( ) ,
lk
k
v n rnl
(1.7)
Теорема 1.1. При верной гипотезе *H математическое ожидание и дисперсия статистики
(1.7) имеют вид [1]:
* *
0
1{ ( )} ( ) ,
n
H nj
j
E v n v n q jn
(1.8)
*
2 2 2*2
0
1{ ( )} ( )
n
H nj
j
D v n q j n v nln
,
4
где 2
*
1 2( ) (2 )
0
(1 2 ){ } 2 , {0,1,..., }
1 2
j i nk j n j n
nj H i ji
q P r j j n
.
На основании статистик { ( ) : }v n n n n построим информативные признаки согласно
(1.1):
*
1| ( ) ( ) |.
1
n
n n
v n v nn n
(1.9)
Продемонстрируем применение признаков для распознавания генераторов в случае двух
классов: L = 2. Для этого сначала приведём определения двух типов генераторов.