Обеспечение безопасности информации от несанкционированного доступа в сетях подвижной радиосвязи стандарта TETRA

ДКА может использовать как выбранные, так и известные открытые тексты [2].

Успех таких попыток вскрытия r-циклического шифра зависит от существования дифференциалов (r-1)-го цикла, которые имеют большую вероятность. Дифференциал i-го цикла определяется как пара (a, b) i такая, что пара различных открытых текстов x, x* c разностью a может привести к паре выходных текстов y, y* после i-го цикла, имеющих разность b (для соответствующего понятия разности). Вероятность i-циклового дифференциала (a, b) i — это условная вероятность P (D y (i) = b-Dx = a) того, что разность D y (i) пары шифртекстов (y, y*) после i-го цикла равна b при условии, что пара текстов (x, x*) имеет разность Dx = a; открытый текст x и подключи циклов к (1), к (2) ,…, к (i) независимыми и равновероятными.

Основная процедура ДКА rциклического шифра с использованием выбранных открытых текстов может быть следующей :

1. На этапе предвычислений ищем множество (r-1)-цикловых дифференциалов (a 1, b 1) r-1, (a 2, b 2) r-1 ,… (a s, b s) r-1. Упорядочиваем это множество дифференциалов по величине их вероятности.

2. Выбираем открытый текст x произвольным образом и вычисляем x* так, чтобы разность между x и x* была равна a 1. Тексты x и x* шифруется на подлинном ключе и после r циклов получаем пару шифртекстов y®, y*®. Предполагаем, что на выходе предпоследнего (r-1)-ого цикла разность шифртекстов равна наиболее вероятной: D y (r-1) = b 1. Для тройки (Dy (r-1), y®, y*®) находим каждое возможное (если их несколько) значение подключа последнего цикла к®. Добавляем его к количеству появлений каждого такого значения подключа к®.

3. Повторяем п. 2 до тех пор, пока одно или несколько значений подключа к® не станет появляться чаще других. Берем этот подключ или множество таких подключей в качестве криптографического решения для подключа к®.

4. Повторяем пп.1−3 для предпоследнего цикла, при этом значения y (r-1) вычисляются расшифрованием шифртекстов на найденном подключе последнего цикла к®. Далее действуем аналогично, пока не будут раскрыты ключи всех циклов шифрования.

Предложенный впервые для анализа конкретного шифра, ДКА оказался применимым для анализа широкого класса марковских шифров. Марковским называется шифр, у которого уравнение шифрования на одном цикле удовлетворяет условию: вероятность дифференциала не зависит от выбора открытых текстов. Тогда, если подключи циклов независимы, то последовательность разностей после каждого цикла образует марковскую цепь, где последующее состояние определяется только предыдущим. Примерами марковских шифров являются DES и FEAL .

Можно показать, что марковский r-цикловый шифр с независимыми подключами является уязвимым для ДКА тогда и только тогда, когда для одного цикла шифрования ключ по известной тройке (y, y*, Dx) может быть легко вычислен, и существует (r-1) — цикловый дифференциал (a, b) к-1 такой, что его вероятность удовлетворяет условию

P (D y (r-1) = b-D x = a)>>2-n ,

где n-количество бит в блоке шифруемого текста.

Сложность раскрытия ключа r-циклического шифра Q® определяется как число используемых шифрований с последующим вычислением ключа [9]:

Q®і 2/ (Pmax — 1/(2n-1)),

где Pmax = max (a)max (b)(P (D y (r-1) = b-D x = a)).

В частности, если Pmax «1/(2n-1), то атака не будет успешной. Поскольку вычисление подключа — более трудоемкая операция, чем шифрование, то единицей измерения сложности является сложность нахождения возможных подключей одного цикла по известным (D y (r-1), y®, y*®).

Отличительной чертой дифференциального анализа является то, что он практически не использует алгебраические свойства шифра (линейность, аффинность, транзитивность, замкнутость и т. п.), а основан лишь на неравномерности распределения вероятности дифференциалов.

2.

6. Линейный метод криптоанализа

В открытой печати линейной метод криптоанализа впервые был предложен японским математиком Мацуи. Метод предполагает, что криптоаналитик знает открытые и соответствующие зашифрованные тексты.

Обычно при шифровании используется сложение по модулю 2 текста с ключом и операции рассеивания и перемешивания. Задача криптоаналитика — найти наилучшую линейную аппроксимацию (после всех циклов шифрования) выражения

xi1+ … + xir + yj1 + yjs = zk1 + … + zk t

Пусть pL — вероятность того, что выражение выполняется, при этом необходимо, чтобы pL № ½ и величина — pL-½ — должна быть максимальна. Если — pL-½ — достаточно велика и криптоаналитику известно достаточное число пар открытых и соответствующих зашифрованных текстов, то сумма по модулю 2 бит ключа на соответствующей позиции в правой части выражения равна наиболее вероятному значению суммы по модулю 2 соответствующих бит открытых и зашифрованных текстов в левой части. Если pL > ½, то сумма бит ключа в правой части равна нулю, если сумма бит в левой части равна нулю больше, чем для половины пар зашифрованных текстов, и сумма бит ключа в правой части равна единице, если сумма бит в левой части равна единице больше, чем для половины текстов. Если pL< ½, то наоборот: сумма бит ключа в правой части равна нулю, если сумма бит в левой части равна единице больше, чем для половины пар открытых и зашифрованных текстов, и сумма бит ключа в правой части равна единице, если сумма бит в левой части равна нулю больше, чем для половины текстов [9]. Для нахождения каждого бита собственно ключа теперь нужно решить систему линейных уравнений для известных линейных комбинаций этих бит, но эта процедура не представляет сложности, так как сложность решения системы линейных уравнений описывается полиномом не более третьей степени от длины ключа.

Требуемое для раскрытия ключа количество N пар открытых и зашифрованных текстов (блоков) оценивается выражением

N «- pL-½ — -2 .

Для раскрытия ключа шифра DES этим методом необходимо 247 пар известных открытых и зашифрованных текстов.

2.

7. Инструменты криптоанализа

Для анализа шифров могут использоваться различные математические инструменты. Однако существуют общие принципы решения сложных вычислительных задач.

Обычно задачу вычисления ключа можно переформулировать как задачу поиска внутри большого конечного множества М элемента m, обладающего нужными свойствами [9]. Один из подходов к решению этой задачи получил название «разделяй и властвуй». Суть его заключается в том, что исходная сложна задача поиска разделяется на две подзадачи. Для этого множество элементов разбивается на пересекающиеся или слабо пересекающиеся перечислимые подмножества, распознаваемые по отношению к свойствам, которыми обладает данный элемент. На первом этапе ищется подмножество, в котором находится требуемый элемент (решается первая подзадача), затем ищется требуемый элемент внутри найденного подмножества (решается вторая подзадача). Такого рода разбиение может применяться многократно. Примером такого подхода является известный способ угадывания произвольного слова из многотомной энциклопедии, если отгадывающий может задать 20 вопросов и получать на них ответы «да» или «нет».

Подход «разделяй и властвуй» может быть использован и при проведении анализа шифров. Естественно, его применение должно быть индивидуальным для каждого криптоалгоритма. Например, если множество М допускает разбиение на подмножества, распознаваемые в части свойства А, и существует сжимающее отображение, действующее на этих подмножествах и сохраняющее данное свойство А, то метод Полларда может быть применен не к элементам множества М, а к подмножествам, содержащим данный элемент.

Другой эффективный метод решения вычислительных задач заключается в том, что множество М упорядочивается в порядке убывания вероятности того, что данный элемент обладает нужным свойством. Далее происходит опробование элементов М (перебор), начиная с наиболее вероятных. Это техника использована в дифференциальном методе анализа. Если вероятности распределены существенно неравномерно, то получается большой выигрыш по сложности. В частности, если вероятности образуют геометрическую прогрессию, то сложность нахождения нужного элемента оказывается линейной от размера задачи (логарифма мощности исходного множества).

Общепринятым инструментом является также линеаризация задачи [2]. Это часто обусловлено тем, что аффинные аппроксимации преобразований образуют полугруппу относительно композиции и имеют простые описания. Однако такую полугруппу образуют не только аффинные преобразования, но и другие объекты, например симметрические полиномы, решетки, некоторые классы форм (однородных полиномов, все слагаемые которых имеют одинаковую степень). Под композицией полиномов понимается подстановка полинома в качестве переменной в другой полином.

Андельман и Ридс для анализа шифров предложили использовать переход от исходного дискретного шифратора к «непрерывному» шифратору, который совпадает с исходным на вершинах n-мерного единичного куба, и далее искать непрерывный ключ с использованием техники поиска экстремумов непрерывных отображений. Заметим, что здесь кроется определенная сложность. Это вызвано тем, что все элементы кольца полиномов Жегалкина или кольца булевых функций с операциями И, ИЛИ, НЕ является идемпотентными. Пусть переменные принимают значения из некоторого непрерывного подмножества, А вещественных чисел. Для численных значений вещественных аналогов булевых формул необходимо обеспечить x2=x, для любого рационального числа r. Таким образом, все вещественные числа, А оказываются равными, то есть элементы, А являются элементами факторгруппы R/Q. Нетрудно видеть, что ни в одной вычислительной модели с конечной разрядностью числа из, А непредставимы, поэтому такой метод не работает (по крайней мере, для вещественных и, следовательно, для комплексных чисел).

Каждый новый метод криптоанализа приводит к пересмотру безопасности шифров, к которым он применим. Если целью криптоаналитика является раскрытие возможно большего числа шифров (независимо от того, хочет ли он этим нанести ущерб обществу, предупредить его о возможной опасности или просто получить известность), то для него наилучшей стратегией является разработка универсальных методов анализа. Но эта задача является также и наиболее сложной.

Алгоритмы (стандарты) шифрования периодически меняются (что видно на примере шифров LUCIFER, DES, FEAL, клипперчипов), а секретная информация часто имеет свойство стареть, то есть не представляет большого интереса для нарушителя спустя какое-то время после ее передачи по каналам связи в зашифрованном виде. Поэтому зависимость эффекта от нахождения способа раскрытия ключей данного шифра во времени имеет максимум: в начале срока своего действия криптоалгоритм не имеет широкого распространения, а в конце срока он перестает быть популярным, а основной объем зашифрованной информации не представляет интереса.

Глава 3. Реализация новых алгоритмов криптозащиты для Tetra

3.

1. Криптографические стандарты DES и ГОСТ

Стандарт шифрования данных DES (Data Encryption Standard), который ANSI называет алгоритмом шифрования данных DEA (Data Encryption Algorithm), a ISO — DEA-1, за 20 лет стал мировым стандартом. За годы своего существования он выдержал натиск различных атак и при известных ограничениях все еще считается криптостойким [9].

Рисунок 5. Алгоритм шифрования по DES

DES представляет собой блочный шифр, шифрующий данные 64-битовыми блоками. С одного конца алгоритма вводится 64-битовый блок открытого текста, а с другого конца выходит 64-битовый блок шифротекста. DES является симметричным алгоритмом: для шифрования и дешифрования используются одинаковые алгоритм и ключ (за исключением небольших различий в использовании ключа). Длина ключа равна 56 битам. (Ключ обычно представляется 64-битовым числом, но каждый восьмой бит используется для проверки четности и игнорируется. Биты четности являются наименьшими значащими битами байтов ключа.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент времени.

Криптостойкость полностью определяется ключом. Фундаментальным строительным блоком DES является комбинация подстановок и перестановок. DES состоит из 16 циклов.

Oбщий вид цикла преобразования показан на рис. 6.

Рисунок 6. Цикл преобразования для стандарта DES

Если Li и Ri — левая и правая половины, полученные в результате i-й итерации, Ki — 48-битный ключ для цикла i, а f — функция, выполняющая все подстановки, перестановки и XOR с ключом, то один цикл преобразования можно представить как:

(Li, Ri) = (Ri−1,Li−1) ⊕ f (Ri−1, K)

Учитывая подстановку Fi (*) и перестановку Т (*), цикл преобразования можно представить следующим образом:

Видно, что каждый цикл DES представляет собой композиционный шифр с двумя последовательными преобразованиями — подстановкой Fi (*) и перестановкой Т (*) (за исключением последнего, шестнадцатого цикла, где перестановка опускается) [9].

Подстановка:

(Li, Ri) = (Ri−1, Li−1) ⊕ f (Ri−1, K)

является инволюцией, так как

Fi (Fi (Li−1, Ri−1)) = Fi (Ri−1, Li−1) ⊕ (f (Ri−1, Ki))) = (Ri−1, Li−1⊕(f (Ri−1, Ki)) ⊕ (f (Ri−1, Ki))) = (Li−1, Ri−1)

А подстановка

T (Li′, Ri′) = (Ri′, Li′),

так же является инволюцией, так как

T (T (Li′, Ri′)) = T (Ri′, Li′) = Li′, Ri′

Если обозначить начальную и завершающую перестановки как (IP) и (IР)−1, то прямое DES-преобразование (шифрование) реализует функцию:

DES = (IP)F1TF2T…F15TF16(IP)−1,

а обратное DES-преобразование (дешифрование) реализует функцию:

DES−1 = (IP)−1F16TF15T…F2TF1(IP).

Таким образом, DES является шифром Фейстеля и сконструирован так, чтобы выполнялось полезное свойство: для шифрования и дешифрования используется один и тот же алгоритм. Единственное отличие состоит в том, что ключи должны использоваться в обратном порядке.

То есть если при шифровании использовались ключи K1, K2, K3, …, K16, то ключами дешифрования будут K16, K15, K14, …, K1. Алгоритм использует только стандартную арифметику 64-битовых чисел и логические операции, поэтому легко реализуется на аппаратном уровне.

DES работает с 64-битовым блоком открытого текста. После первоначальной перестановки блок разбивается на правую и левую половины длиной по 32 бита. Затем выполняется 16 преобразований (функция f), в которых данные объединяются с ключом. После шестнадцатого цикла правая и левая половины объединяются, и алгоритм завершается заключительной перестановкой (обратной по отношению к первоначальной). На каждом цикле (см. рис.

7) биты ключа сдвигаются, и затем из 56 битов ключа выбираются 48 битов. Правая половина данных увеличивается до 48 битов с помощью перестановки с расширением, объединяется посредством XOR с 48 битами смещенного и переставленного ключа, проходит через 8 S-блоков, образуя 32 новых бита, и переставляется снова. Эти четыре операции и выполняются функцией f.

Рисунок 7. Цикл обработки данных Затем результат функции f объединяется с левой половиной с помощью другого XOR. В итоге этих действий появляется новая правая половина, а старая правая становится новой левой половиной. Эти действия повторяются 16 раз, образуя 16 циклов DES.

Алгоритм ГОСТ — это блочный шифр с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. В криптоалгоритме также используется дополнительный ключ, который рассматривается ниже.

Рисунок 8. Цикл шифрования

Для шифрования открытый текст сначала разбивается на левую и правую половины L и R. На i-м цикле используется подключ Кi:

Li = Ri−1,Ri = Li−1 ⊕ (f (Ri−1, Ki)).

Функция f реализована следующим образом. Сначала правая половина и i-й подключ складываются по модулю 232. Результат разбивается на восемь 4-битовых подпоследовательностей, каждая из которых поступает на вход своего S-блока. ГОСТ использует восемь различных S-блоков, первые 4 бита попадают в первый S-блок, вторые 4 бита — во второй S-блок и т. д.

Каждый S-блок представляет собой перестановку чисел от 0 до 15. Например, S-блок может выглядеть как: 7,10,2,4,15,9,0,3,6,12,5,13,1,8,11. В этом случае, если на входе S-блока 0, то на выходе 7. Если на входе 1, на выходе 10 и т. д. Все восемь S-блоков различны, они фактически являются дополнительным ключевым материалом. Выходы всех восьми S-блоков объединяются в 32-битовое слово, затем все слово циклически сдвигается влево на 11 битов. Наконец, результат объединяется с помощью операции XOR с левой половиной, и получается новая правая половина, а правая половина становится новой левой половиной.

Для генерации подключей исходный 256-битный ключ разбивается на восемь 32-битных блоков: k1, k2, …, k8. На каждом цикле используется свой подключ. Дешифрование выполняется так же, как и шифрование, но инвертируется порядок подключей ki. Стандарт не определяет способ генерации S-блоков [12].

Главные различия между DES и ГОСТом заключаются в следующем [9]:

— DES использует сложную процедуру для генерации подключей из ключей. В ГОСТе эта процедура очень проста;

— в DES 56-битный ключ, а в ГОСТе — 256-битный. Если добавить секретные перестановки S-блоков, то полный объем секретной информации ГОСТа составит примерно 610 бит;

— у S-блоков DES 6-битные входы и 4-битные выходы, а у S-блоков ГОСТа 4-битные входы и выходы. В обоих алгоритмах используется по восемь S-блоков, но размер S-блока ГОСТа равен четверти размера S-блока DES;

— в DES используются нерегулярные перестановки, названные Р-блоком, а в ГОСТе используется 11-битный циклический сдвиг влево;

— в DES 16 циклов, а в ГОСТе — 32.

Силовая атака на ГОСТ абсолютно бесперспективна. ГОСТ использует 256-битовый ключ, а если учитывать секретные S-блоки, то длина ключа будет еще больше. ГОСТ, по-видимому, более устойчив к дифференциальному и линейному криптоанализу, чем DES. Хотя случайные S-блоки ГОСТа при некотором выборе не гарантируют высокой криптостойкости по сравнению с фиксированными S-блоками DES, их секретность увеличивает устойчивость ГОСТа к дифференциальному и линейному криптоанализу. К тому же эффективность этих криптоаналитических методов зависит от количества циклов преобразования — чем больше циклов, тем труднее криптоанализ. ГОСТ использует в два раза больше циклов, чем DES, что, возможно, приводит к несостоятельности дифференциального и линейного криптоанализа.

ГОСТ не использует существующую в DES перестановку с расширением. Удаление этой перестановки из DES ослабляет его из-за уменьшения лавинного эффекта; разумно предположить, что отсутствие такой операции в ГОСТе отрицательно сказывается на его криптостойкости. С точки зрения криптостойкости операция арифметического сложения, используемая в ГОСТе, не хуже, чем операция XOR в DES.

Основным различием представляется использование в ГОСТе циклического сдвига вместо перестановки [12]. Перестановка DES увеличивает лавинный эффект. В ГОСТе изменение одного входного бита влияет на один S-блок одного цикла преобразования, который затем влияет на два S-блока следующего цикла, затем на три блока следующего цикла и т. д. Потребуется восемь циклов, прежде чем изменение одного входного бита повлияет на каждый бит результата; в DES для этого нужно только пять циклов. Однако ГОСТ состоит из 32 циклов, a DES только из 16.

Разработчики ГОСТа пытались достигнуть равновесия между криптостойкостью и эффективностью. Взяв за основу конструкцию Фейстеля, они разработали криптоалгоритм, который лучше, чем DES, подходит для программной реализации. Для повышения криптостойкости введен сверхдлинный ключ и удвоено количество циклов. Однако вопрос, увенчались ли усилия разработчиков созданием более криптостойкого, чем DES, криптоалгоритма, остается открытым.

3.

2. Анализ алгоритмов хеширования по ГОСТ Р 34.11 — 94

Создатели ГОСТ Р 34.11 — 94 использовали метод последовательного хэширования, применяющий хэш функцию с фиксированным размером входа h:{01}2n → {01}" (см. рис. 9), то есть функцию сжатия с коэффициентом 2.

Рис. 9. Метод последовательного хэширования Если необходимо хэшировать сообщение m = (m1, m2,…, mi), то хэширование выполняется следующим образом:

h0 ← IV,

hi ← H (mi, hi-1), для i = 1,2,…i

hитог ← hi.

Здесь Hi — функция сжатия, а hi — переменная сцепления.

Если последний блок меньше чем п бит, то он набивается одним из существующих методов до достижения длины кратной п [12]. В отличие от стандартных предпосылок, что сообщение разбито на блоки и произведена набивка последнего блока (форматирование входа априори), если необходимо, до начала хэширования, то в ГОСТ Р 34.11 — 94 процедура хэширования ожидает конца сообщения (форматирование входного сообщения постериори). Набивка производится следующим образом: последний блок сдвигается вправо, а затем набивается нулями до достижения длины в 256 бит.

На первый взгляд алгоритм хэширования по ГОСТ Р 34.11 — 94 можно классифицировать как устойчивый к столкновениям (n = 256, следовательно атака по парадоксу дней рождения потребует приблизительно 2256/2 операций хэширования) код выявляющий модификации (Collision Resistant Hash Function, CRHF). Нельзя забывать, что хэш функцию по ГОСТ Р 34.11 — 94 можно легко преобразовать в код аутентификации сообщения любым известным методом (например, HMAC, методом секретного префикса, суффикса, оболочки и т. д.). Однако конструкторы предусмотрели дополнительные меры защиты: параллельно рассчитываются контрольная сумма представляющая собой сумму всех блоков сообщения (последний суммируется уже набитым) по правилу A + B mod2k, где k = -A-, аAиBбитовые длины слов A и B (далее на рисунках и в тексте эту операцию будем обозначать значком ⊗), и битовая длина хэшируемого сообщения приводимая по mod 2256 (MD — усиление), которые в финальной функции сжатия используются для вычисления итогового хэша [9] (см. рис. 10).

Рисунок 10. Общая схема функции хэширования по ГОСТ Р 34.11

Указывать в передаваемом сообщении сколько было добавлено нулей к последнему блоку не требуется, так как длина сообщения участвует в хэшировании. Согласно ГОСТ Р 34.11 — 94 IV — произвольное фиксированное слово длиной 256 бит (IV Е {01}256). В таком случае, если он априорно не известен верифицирующему целостность сообщения, то он должен передаваться вместе с сообщением с гарантией целостности. При небольших сообщениях можно усложнить задачу противнику, если IV выбирается из небольшого множества допустимых величин (но при этом увеличивается вероятность угадывания хэш величины противником). Также он может задаваться в рамках организации, домена как константа [9].

Функция сжатия внутренних итераций Х («шаговая функция хэширования») отображает два слова длиной 256 бит в одно слово длиной 256 бит:

X: {01}256 х {01}256 → -01}256 ,

и состоит из трех процедур (см. рис. 11):

— Перемешивающего преобразования (по существу модифицированной схемы Фейстеля),

— Шифрующего преобразования;

— Генерирования ключей.

Рисунок 11. Структура функции сжатия в ГОСТ Р 34.11 — 94

3.

3. Выводы по результатам анализа

Из приведенного выше анализа хэш функции по ГОСТ Р 34.11 — 94 можно сделать следующие выводы:

— Булева функция перемешивающего преобразования линейна и ее применение неоправданно — это приводит к снижению скорости обработки данных из-за большого числа повторений перемешивающего преобразования для достижения «заданного» уровня безопасности (в первую очередь SAC);

— Шифрующее преобразование, при определенных допущениях, невозможно атаковать по частям, а, следовательно, функцию сжатия можно считать стойкой к столкновениям (CRHF);

— Алгоритм хэширования является методом последовательного хэширования с MDусилением (коэффициент сжатия 2);

— Используется постериорное форматирование сообщения;

— Стойкость хэш функции в известной мере зависит от выбора блоков замен в шифрующем преобразовании, к тому же они один из параметров инициализации алгоритма хэширования;

— IV в стандарте не фиксирован, а это подразумевает, что необходимо выработать правила его использования, к тому же имеется большой класс атак на псевдостолкновения при не фиксированном IV ;

— скорость обработки данных хэш функцией значительно меньше чем у аналогичных по внешним параметрам HAVAL, SHA-256, а тем более остального MDсемейства, изза попыток ликвидировать очевидные оплошности конструирования усложнением функции сжатия;

— приблизительная скорость реализации 4/5 от скорости реализации лежащего в основе алгоритма шифрования;

— зависимость получаемой хэш величины от длины исходного сообщения исключает возможность проведения атаки на длинные сообщения для второго прообраза;

— нет обоснования выбора конструкции, функций, констант.

3.

4. Реализация криплоалгоритма ГОСТ в радиосвязи Tetra

Структурная схема передающей и принимающей частей приведена на рисунках 12 и 13 соответственно. Вход слева в блок криптоалгоритма обозначает данные, а вход сверху или снизу — ключ.

Рисунок 12. Схема передающей части

Рисунок 13. Схема принимающей части Данные для шифрования, ключи и таблицы должны считываться из памяти симкарты. Для каждого адресата используется свой файл главного ключа.

Криптосистема предоставляет возможность шифрования файлов в режимах простой замены, гаммирования и гаммирования с обратной связью, при этом наиболее предпочтительным является режим наммирования с обратной связью. При необходимости размер файла должен автоматически увеличиваться до нужной величины при шифровании, а при расшифровке — восстанавливаться до первоначального.

Целостность и аутентичность сообщения должна гарантироваться имитозащитой. При расшифровке необходимо сообщить результат проверки имитозащиты.

Генератор случайных чисел должен быть инициализирован действительно случайной информацией, полученной от пользователя.

Отправляемый файл должен содержать шифротекст, зашифрованный сеансовый ключ, идентификатор использованного режима шифрования, синхропосылку для режимов гаммирования и гаммирования с обратной связью, размер исходного файла и имитовставку (не обязательно именно в таком порядке).

Для защиты главного ключа используется хранение его в файле, зашифрованном на ключе, полученном из значения хеш-функции ключевой фразы. В каждом сеансе шифрования/расшифровки необходимо ввести ключевую фразу для используемого главного ключа. Для всех главных ключей используемая ключевая фраза может быть одинаковой.

Для получения значения хеш-функции от ключевой фразы используется криптоалгоритм в режиме генерации имитовставки с известным ключом. Выработку имитовставки необходимо выполнить столько раз, сколько необходимо для получения ключа нужного размера. Если фраза слишком коротка, необходимо увеличить ее, повторив нужное количество раз.

Криптосистема должна иметь функцию преобразования открытого файла с главным ключом в файл, зашифрованный с помощью значения хеш-функции от ключевой фразы (на схемах не указана).

Криптосхема, реализующая алгоритм зашифрования в режиме гаммирования с обратной связью, имеет вид, показанный на рисунке 14. Открытые данные, разбитые на 64-разрядные блоки зашифровываются в режиме гаммирования с обратной связью путем поразрядного суммирования по модулю 2 в сумматоре СМ5 с гаммой шифра, которая вырабатывается блоками по 64 бита каждый. В КЗУ вводится 256 бит ключа. Синхропосылка S из 64 бит вводится в N1 и N2.

Исходное заполнение N1 и N2 зашифровывается в режиме простой замены. Полученное в результате заполнение N1 и N2 образует первый 64-разрядный блок гаммы шифра, который суммируется поразрядно по модулю 2 в сумматоре СМ5 с первым 64-разрядным блоком открытых данных. В результате получается 64-разрядный блок зашифрованных данных.

Рисунок 14. Структурная схема зашифрования в режиме гаммирования с обратной связью Блок зашифрованных данных одновременно является также исходным состоянием N1, N2 для выработки второго блока гаммы шифра и по обратной связи записывается в указанные накопители.

Заполнение N1, N2 зашифровывается в режиме простой замены. Полученное в результате зашифрования заполнение N1, N2 образует второй 64-разрядный блок гаммы шифра, который суммируется поразрядно по модулю 2 в сумматоре СМ5 со вторым блоком открытых данных. Выработка последующих блоков гаммы шифра и зашифрование соответствующих блоков открытых данных производится аналогично. В канал связи или память ЭВМ передаются синхропосылка S и блоки зашифрованных данных.

При расшифровании криптосхема имеет тот же вид, что и при зашифровании. В КЗУ вводятся 256 бит того же ключа, с помощью которого производилось зашифрование данных. Синхропосылка S вводится в N1, N2. Исходное заполнение N1, N2 (синхропосылка) зашифровывается в режиме простой замены. Полученное в результате заполнение N1, N2 образует первый блок гаммы шифра, который суммируется с по модулю 2 в сумматоре СМ5 с блоком зашифрованных данных. В результате получается первый блок открытых данных.

Блок зашифрованных данных является исходным заполнением N1, N2 для выработки второго блока гаммы шифра. Полученное заполнение N1, N2 зашифровывается в режиме простой замены. Полученный в результате блок суммируется поразрядно по модулю 2 в сумматоре СМ5 со вторым блоком зашифрованных данных. В результате получается второй блок открытых данных.

Аналогичным образом производится расшифрование последующих блоков зашифрованных данных.

Для обеспечения имтозащиты открытых данных, состоящих из M 64-разрядных блоков Tо (1), Tо (2),…, Tо (M) где M>2, вырабатывается дополнительный блок из l бит (имитовставка Иl). Процесс выработки имитовставки единообразен для всех режимов шифрования. Первый блок открытых данных записывается в накопители N1, N2. Заполнение N1, N2 подвергается преобразованию, соответствующему первым 16 циклам алгоритма зашифрования в режиме простой замены. В КЗУ при этом находится тот же ключ, которым зашифровываются блоки открытых данных.

Полученное после 16 циклов преобразование заполнение N1, N2 суммируется в сумматоре СМ5 по модулю 2 со вторым блоком открытых данных. Результат суммирования заносится в N1, N2 и подвергается преобразованию, соответствующему первым 16 циклам алгоритма зашифрования в режиме простой замены. Полученное заполнение N1, N2 суммируется в СМ5 по модулю 2 с третьим блоком открытых данных и т. д. Итоговый результат суммирования заносится в N1, N2 и зашифровывается в режиме простой замены по первым 16 циклам работы алгоритма. Из полученного значения накопителей N1 и N2 выбирается отрезок Иl (имитовставка) длиной l бит.

Имитовставка передается по каналу связи или в память ЭВМ в конце зашифрованных данных. Поступившие зашифрованные данные расшифровываются, из полученных блоков открытых данных аналогично описанному выше вырабатывается имитовставка Иl', которая затем сравнивается с имитовставкой Иl полученной вместе с зашифрованными данными.

В случае несовпадения имитовставок полученные данные считаются ложными. Выработка имитовставки может производится или перед зашифрованием (после расшифрования) всего сообщения, или параллельно с зашифрованием (расшифрованием) по блокам. Первые блоки открытых данных, которые участвуют в выработке имитовставки, могут содержать служебную информацию (адресную часть, отметку времени, синхропосылку и т. д.) и не зашифровываются.

Значение параметра l (длина двоичных разрядов в имитовставке) определяется требованием к криптографической защите, при этом учитывается, что вероятность навязывания ложных данных равна 2-l.

На рисунке 15 показана схема реализации выбранного криптографического алгоритма защиты передаваемой информации в абонентском модуле.

Рисунок 15. Алгоритм работы хеширования в абонентском модуле Заключение

В рамках дипломной работы были изучены и проанализированы основные методы защиты передаваемой информации от несанкционированного доступа, применение которых возможно в стандарте TETRA. Актуальность выбранной темы обусловлена двумя основными факторами. Одним из предназначений данного стандарта является построение системы связи для спецслужб, требования к безопасности радиосвязи которых являются максимальными и обеспечивают эффективное функционирование государства в целом. Вторым фактором является принятая программа широкого внедрения радиосвязи данного стандарта в России, при этом стандартные процедуры обеспечения безопасности являются недостаточными, так как уже довольно хорошо изучены общественностью в связи с развитием данного вида радиосвязи. Каждый новый метод криптоанализа приводит к пересмотру безопасности шифров, к которым он применим. Если целью криптоаналитика является раскрытие возможно большего числа шифров (независимо от того, хочет ли он этим нанести ущерб обществу, предупредить его о возможной опасности или просто получить известность), то для него наилучшей стратегией является разработка универсальных методов анализа. Но эта задача является также и наиболее сложной.

Алгоритмы (стандарты) шифрования периодически меняются (что видно на примере шифров LUCIFER, DES, FEAL, клипперчипов), а секретная информация часто имеет свойство стареть, то есть не представляет большого интереса для нарушителя спустя какое-то время после ее передачи по каналам связи в зашифрованном виде. Поэтому зависимость эффекта от нахождения способа раскрытия ключей данного шифра во времени имеет максимум: в начале срока своего действия криптоалгоритм не имеет широкого распространения, а в конце срока он перестает быть популярным, а основной объем зашифрованной информации не представляет интереса.

Безусловно, эффективность тех или иных средств защиты информации актуальна в течение сравнительно небольшого периода времени, так как увеличивается мощность вычислительных систем и применяемые средства становятся менее криптостойкими, а сами алгоритмы с течением времени изучаются потенциальными злоцмышленниками и не могут в полной мере гарантировать сохранность конфиденциальной информации.

Рассмотренные и проанализированные в рамках работы алгоритмы хеширования данных на сегодняшний день являются достаточно эффективными, однако необходимо вести постоянную работу в направлении совершенствования данного вида связи, при этом наиболее предпочтительными являются методы защиты, использующие совокупность программноаппаратных средств защиты.

1. Абатуров П. С. Исследование особенностей построения и эксплуатации транкинговых сетей стандарта TETRA для транспорта и общественной безопасности. Автореф. дис. КТН. 2003

2. Воробъева Е. М., Лукъянова А. С. Дискретная математика: стандарты блочного шифрования. М., МГУ, 2003

3. Лапшин Е. В. Оборудование стандарта TETRA для малых систем. М., Компас-Р, 2005

4. Материалы 1-го Российского TETRAконгресса. М., 2002

5. Материалы 2-го Российского TETRAконгресса. М., 2003

6. Материалы 3-го Российского TETRAконгресса. М., 2004

7. Овчинников А. М. Стандарт TETRA в России.//Радио, № 5/2004

8. Правила применения абонентских радиостанций сетей подвижной радиосвязи стандарта TETRA. М., Компас-Р, 2004

9. Ростовцев А. Г., Михайлова Н. В. Методы криптоанализа классических шифров. СПб, СПбГУКиТ, 2002

10. Чивилев С. В. Стандарт профессиональной радиосвязи TETRA. Преимущества и возможности. М., Интегра-про, 2007

11. Чирков В. Ю. Стандарт профессиональной радиосвязи ТЕТРА. М., Арт-электро, 2005

12. Шефановский Д. Б. ГОСТ Р 34.11 — 94. Функция хеширования. Краткий анализ. М., Информзащита, 2001