НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

”КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”

Абабне Оксана Анатоліївна

УДК 004.056.5

ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ ЗАХИСТУ ІНФОРМАЦІЇ В

КОМП’ЮТЕРНИХ СИСТЕМАХ НА ОСНОВІ ВИКОРИСТАННЯ

СТОХАСТИЧНИХ ПАРАМЕТРІВ ЇХ РОБОТИ

Спеціальність 05.13.13 – Обчислювальні машини, системи та мережі

АВТОРЕФЕРАТ

дисертації на здобуття наукового ступеня

кандидата технічних наук

Київ 2007

Дисертацією є рукопис.

Робота виконана в Національному технічному університеті України ”Київський політехнічний інститут” на кафедрі обчислювальної техніки.

Науковий керівник – член –кореспондент Національної Академії Наук

України, доктор технічних наук, професор

Самофалов Костянтин Григорович,

НТУУ ”КПІ”, радник ректора

Офіційні опоненти: доктор технічних наук, професор

Брюхович Євген Іванович,

Інститут кібернетики ім.В.М.Глушкова НАН

України, завідувач лабораторії

кандидат технічних наук, професор

Гузій Микола Миколайович,

Національний авіаційний університет,

Заступник директора Інституту комп’ютерних

технологій.

Захист відбудеться 15 жовтня 2007 р. о 14-30 годині на засіданні спеціалізованої ради Д 26.002.02 у НТУУ ”КПІ” (м. Київ, проспект Перемоги 37, корп.18,ауд.306)

З дисертацією можна ознайомитися в бібліотеці Національного технічного університету України ”Київський політехнічний інститут”.

Відзиви на автореферат у двох примірниках, завірені печаткою установи, просимо надсилати на адресу: 03056, м. Київ, проспект Перемоги 37, вченому секретарю НТУУ ”КПІ”.

Автореферат розісланий 14 вересня 2007 р.

Вчений секретар

спеціалізованої вченої ради Д 26.002.02 Орлова М.М.

кандидат технічних наук, доцент

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Динамічне поглиблення інформаційної інтеграції на основі комп’ютерних мереж відіграє домінуючу роль на сучасному етапі розвитку більшості сфер людської діяльності. Важливою передумовою розширення інформаційної інтеграції є забезпечення надійного захисту даних в комп’ютерних системах та мережах. Розширення сфер застосування комп’ю-тер-них і мережових технологій в управлінні складними технічними системами та фінансовому обігу вимагає адекватного вдосконалення засобів захисту інформації. Однією з складових сучасних систем захисту інформації є випад-кові числа та їх послідовності.

Історія використання випадкових чисел в ЕОМ починається з 50-х років, тобто, фактично з початку практичного застосування обчислювальної техніки. Нині вони широко застосовуються для відтворення зовнішніх навантажень в системах математичного та імітаційного моделювання, а також при тестуванні апаратних засобів обчислювальної техніки. Здебільшого, в комп’ютерних системах замість послідовностей випадкових чисел використовують псевдо-випадкові, які порівняно просто генеруються програмними засобами, хоча для ініціалізації початкового значення таких послідовностей виникає потреба гене-ру-вати випадкове число.

Потужний імпульс розвитку засобів одержання випадкових чисел надав швидкий прогрес систем захисту інформації, в яких такі числа знаходять широке застосування. Переважна більшість протоколів захисту інформації передбачає використання випадкових елементів.

В останні роки, однією з найбільш потенційно небезпечних загроз інформаційній безпеці систем комп’ютерного управління на базі мережових технологій є несанкціонований доступ до даних через вимірювання та аналіз динаміки споживаної потужності термінальних обчислювальних пристроїв. В сучасних комп’ютерних мережах значну частину термінальних пристроїв становлять мікроконтролери, для яких проблема вимірювання динаміки споживаної потужності та співставлення її з виконанням програми вирішується порівняно просто. Разом з тим, такі термінальні пристрої підтримують мережові протоколи захисту інформації, при реалізації яких використовуються секретні дані: паролі та ключі криптографічних алгоритмів. Сучасні технології дозволяють виконати статистичне реконструювання таких даних на основі аналізу динаміки потужності, споживаної обчислювальним пристроєм при реалізації алгоритмів та протоколів захисту інформації.

Для запобігання цьому виду порушення захисту інформації може бути використане маскування обчислень за допомогою випадкових послідовностей. Для цього потрібно вирішити низку складних задач, пов’язаних з отриманням, нормалізацією, тестуванням та використанням випадкових чисел для маскування обчислень в комп’ютерних системах.

Таким чином проблема використання випадкових чисел для підвищення ефективності захисту інформації в комп’ютерних системах є важливою та актуальної на сучасному етапі розвитку інформаційних технологій.

Зв’язок роботи з науковими програми, планами, темами. Дисер-таційне дослід-ження проводилось в рамках держбюджетної теми ”Розробка цифрових систем обробки даних з високошвидкісними комутаторами” (номер держреєстрації 0102U000222).

Мета і завдання дослідження. Метою роботи є підвищення ефектив-ності підвищення ефективності захисту інформації з застосуванням випадкових чисел за рахунок вдосконалення способів їх формування на основі вимірювання стохастичних параметрів роботи апаратних засобів комп’ютера та зовнішнього сере-довища, поліпшення статистичних характеристик послідовностей випад-кових чисел, підвищення достовірності і оперативності оцінки їх якості, а також вдосконалення способів їх використання для захисту даних в комп’ютерних системах та мережах.

Об’єкт дослідження - процеси одержання випадкових чисел, їх нормування, оцінка якості та способи використання для захисту інформації в комп’ютерних системах і мережах.

Предмет дослідження - способи використання випадкових чисел для підвищення ефективності захисту інформації, методики їх одержання на основі стохастичних параметрів роботи апаратних засобів комп’ютера, методи нормування та оцінки їх якості з точки зору використання в системах захисту даних.

Основні задачі дослідження у відповідності до поставленої мети полягають у наступному:

1. Аналіз використання випадкових чисел та їх послідовностей для захисту інформації в комп’ютерних системах і мережах. Обгрунтування на основі результатів аналізу вимог до випадкових послідовностей, орієнтованих на використання для захисту інформації, а також до засобів їх формування.

2. Оглядовий аналіз сучасних методів отримання, нормалізації та оцінки якості послідовностей випадкових чисел на основі вимірювання стохастичних параметрів роботи апаратних засобів комп’ютерних систем і зовнішнього середовища. Виявлення можливостей підвищення ефективності отримання, нормування та тестування послідовностей випадкових чисел.

3. Дослідження можливостей вдосконалення одержання випадкових чисел шляхом вимірювання стохастичних за фізичною природою параметрів роботи жорсткого диску. Розробка способу одержання випадкових величин шляхом спеціального форматування доріжок жорсткого диску.

4. Дослідження способів одержання випадкових величин на основі вимірювання зовнішнього шуму за допомогою вбудованого мікрофону, вдосконалення відповідної методики та розробка програмних засобів і рекомен-дацій по їх використанні на практиці.

5. Теоретичні дослідження можливостей спрощення стандартизованих хеш-алгоритмів MD-5 і SHA-1 при їх застосуванні для нормалізації результатів вимірювання випадкових за фізичною природою параметрів роботи апаратних засобів комп’ютерних систем та зовнішнього середовища.

6. Дослідження характеру розподілу випадкових за фізичною природою чисел, одержаних в результаті вимірів параметрів роботи комп’ютерних систем та зовнішнього середовища і розробка методу та програмних засобів нормалізації цих чисел.

7. Теоретичне дослідження використання нелінійної відтворю-ючої моделі для оцінки можливості наближеної екстраполяції випадкових двійкових послідов-ностей при їх тестуванні для використання в системах захисту інформації. Розробка методу тестування випадкових послідов-ностей з використанням нелінійної відтворюючої моделі, порівняльний аналіз характеристик методу з відомими.

8. Дослідження обчислювальних процедур алгоритму ГОСТ 28.147-89 і розробка способу маскування випадковими числами проміжних результатів з метою протидії реконструкції ключів шляхом вимірювання та аналізу динаміки потужності, споживаної обчислювальною платформою при реалізації алгоритму.

Методи дослідження базуються на теорії імовірностей та математичної статистики, теорії булевих функцій та комбінаторики, теорії організації обчислювальних процесів, а також на використанні методів моделювання.

Наукова новизна одержаних результатів полягає в наступному:

- розвинуті методи одержання випадкових чисел шляхом вимірювання зовнішнього шуму в частині розробки рекомендацій для вибору частоти дискретизації при зверненні до вбудованого мікрофону, що дозволяє оптимізувати параметри продуктивності генерації випадкових чисел та їх статистичні характеристики;

- вдосконалено використання хеш-алгоритмів MD-5 і SHA-1 для нормалізації результатів вимірів випадкових за фізичною природою пара-метрів роботи обчислювальних систем та зовнішнього середовища шляхом спрощення їх структури, що забезпечує підвищення продуктивності формування випадкових чисел з рівномірним розподілом;

- запропоновано спосіб отримання випадкових чисел шляхом спеціального форматування жорсткого диску, що дозволило покращити статистичні харак-терис-тики розподілу випадкових чисел;

- розроблено метод та процедуру нормування випадкових бітових послідов-ностей, які відрізняється збільшеною продуктив-ністю програмної реалізації за рахунок оптимізації процедури перемішування бітів;

- розроблено метод тестування якості двійкових випадкових послідов-ностей, а саме оцінки можливості їх наближеної екстраполяції, який відрізняється використанням нелінійної відтворюючої моделі і забезпечує, за рахунок цього, суттєво меншу обчислю-вальну складність тестування в порівнянні зі способами, основаними за застосуванні лінійної моделі, що дозволяє підвищити достовірність та оперативність оцінки якості засобів генерації випадкових послідовностей;

- запропоновано спосіб використання випадкових чисел для захисту ключів криптографіч-ного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки потужності споживаною обчислювальною платформою під час виконання алгоритму. Спосіб полягає в спеціальному маскуванні з застосуванням випадкових чисел всіх проміжних результатів під час реалізації алгоритму ГОСТ 28147-89 та знятті маски після закінчення його виконання і забезпечує суттєве підвищення рівня захищеності інформації в комп’ютерних системах і мережах, що використовують в якості термінальних пристроїв мікроконтролери та вбудовані мікропроцесори.

Практичне значення одержаних результатів роботи визначається розробкою на основі запропонованих способів одержання, нормалізації, тестуван-ня та використання випадкових чисел програмних засобів і рекомендацій щодо їх ефективного застосування для захисту інформації в компютерних системах та мережах. Практичне значення має запропонований спосіб тестування засобів генерації випадкових послідовностей, застосування якого дозволяє суттєво підвищити достовірність оцінки ефективності згаданих засобів в системах захисту інформації.

Найбільш практично вагомим є способ використання випадкових чисел для захисту ключової інформації стандартизованого в Україні криптографіч-ного алгоритму ГОСТ 28.147-89 від її статистичної реконструкції шляхом вимірювання та аналізу динаміки споживання потужності мікро-контролерами і мікропроцесорами при програмній реалізації згаданого алго-рит-му. Проведене модулювання довело, що застосування запропонованого способу практично виключає можливість порушення захисту інформації шляхом аналізу споживаної потужності в компютерних системах і мережах, термінальними приястроями якиї є мікроконтролери і вбудовані мікропроцесори.

Особистий внесок здобувача полягає в теоретичному обґрунтуванні одержаних результатів, експериментальній їх перевірці та дослідженні, а також в створенні програмних продуктів для практичного використання одержаних результатів. У роботах, що написані в співавторстві, автору належать: [2] – дослідження шляхів вдосконалення та оптимізації отримання випадкових чисел на основі вимірювання зовнішнього шуму, розробка реко-мендацій щодо вибору частоти квантування вимірів; [3] – розробка методу тестування якості двійкових випадкових послідовностей через оцінку мож-ливості їх екстра-поляції на основі нелінійної відтворю-ючої моделі; [4] – роз-роб-ка способу використання випадкових чисел для захисту ключів крипто-гра-фіч-ного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки споживаної потужності; [5] – теоретичне обґрунтування способу нормування випадкових бітових послідовностей, а також розробка процедури його реалізації; [6] - спосіб одержання випадкових чисел на основі нестандартного форматування жорсткого магнітного диску.

Апробація результатів дисертації. Основні результати дисертації доповіда-лись та обговорювались на:

1. II Міжнародній науково-технічній конференції ”Моделювання-2006”, 16-18 травня 2006 р., м. Київ.

2. VІ Міжнародній науково-практичній конференції Современные информа-ционные и электронные технологии, 21-24 травня 2005 р. м. Одеса.

3. VI Міжнародній науково-практичній конференції ”Проблеми впровад-ження інформаційних технологій в економіці”, 31 травня -1 червня 2007 р., м. Ірпінь.

Публікації Основні результати роботи викладені в 6 публікаціях, з них 4 статті в провідних фахових виданнях.

Структура та об’єм роботи. Дисертаційна робота складається з вступу, чотирьох розділів, висновків та додатків. Загальний обсяг роботи складає 151 сторінки, робота містить 14 малюнків, 8 таблиць та список використаної літера-тури на 96 найменувань, 2 додатки.

ОСНОВНИЙ ЗМІСТ

У вступі обґрунтована актуальність проблеми підвищення ефективності засобів захисту інформації, в яких використовуються випадкові числа, шляхом вдосконалення способів їх отримання, нормалізації і тестування, а також за рахунок розробки нових способів їх використання для вирішення важливих для практики задач захисту даних. Формулюються мета та задачі дослідження, визначені наукова новизна та практичне значення одержаних результатів.

У першому розділі дисертації виконано аналіз сучасного стану проблеми використання випадкових чисел в системах захисту інформації.

Випадкові числа широко застосовуються в сучасних системах захисту інформації поряд з псевдовипадковими. Основною відмінністю випадкових чисел від останніх є принципова неможливість закону їх відтворення. Відповідно, випадкові числа використовуються: для генерації паролів в протоколах автентифікації, ключів криптографічних алгоритмів, випадкових елементів для взаємної автентифікації віддалених абонентів, початкових кодів для засобів генерації псевдовипадкових послідовностей.

В останні роки однією з найбільш потенційно небезпечних видів загроз інформаційній безпеці комп’ютерних систем є несанкціонований доступ до даних шляхом вимірювання та аналізу динаміки параметрів технічної реалізації обчислень цих даних. Найбільшу небезпеку становлять технології несанкціонованої реконструкції закритої інформації через аналіз динаміки споживаної потужності. Ця проблема загострюється тим, що значна частина термінальних пристроїв комп’ютерних систем та мереж являє собою вбудовані мікроконтролери та мікропроцесори, для яких виконати вимірюван-ня динаміки споживання потужності та співставити її з командами програми відносно просто.

З іншого боку, ці термінальні пристрої підтримують протоколи захисту мереж, при реалізації яких використовуються секретні дані: паролі, ключі криптографічних алгоритмів. Таким чином, існує технологічна можливість реконструкції вказаних даних шляхом аналізу динаміки споживання потужності.

На сьогоднішній день існує дві технології такої реконструкції: простий аналіз споживання потужності (SPA-Simple Power Analysis) та диференційний аналіз споживання потужності (DPA- Differentional Power Analysis).

Найбільш ефективні на сьогоднішній день методи протидії вказаним технологіям пов’язані з використанням випадкових чисел. Зокрема вони можуть використовуватися для: маскування проміжних результатів, для випадкової зміни порядку виконання команд, вставок додаткових команд в код програми. Вказані застосування випадкових чисел для захисту від SPA та DPA вимагають підвищення ефективності засобів генерації таких чисел, а також розробки способів їх використання для конкретних механізмів захисту інформації. Для України актуальним є розробка способів протидії реконструкції ключів стандартизованого в країні криптографічного алгоритму ГОСТ 28.147-89.

Аналіз наведених використань випадкових чисел в системах захисту інформації свідчить про те, що основним критерієм якості засобів одержання випадкових чисел та послідовностей є виключення можливості побудови відтворюючої моделі.

Виходячи з цього актуальною проблемою є розвиток засобів тестування випадкових послідовностей.

В другому розділі роботи досліджуються можливості вдосконалення одержання первинних випадкових чисел шляхом вимірювання стохастичних за фізичною природою параметрів роботи комп’ютерних систем та зовнішнього середовища.

Для значної частини задач, пов’язаних з захистом інформації, найбільш прийнятним джерелом випадкових чисел є зовнішнє середовище і, зокрема, зовнішній шум. Вбудований мікрофон входить до штатної комплектації широкого кругу обчислювальних платформ. Як показали експериментальні дослідження, сигнал на виході мікрофону залежить не тільки від зовнішнього шуму, який сам по собі є результатом накладання шумових ефектів різних джерел, але й від місця встановлення мікрофону та характеристик остан-нього. Структура отримання випадкових чисел з використанням мікрофону показана на рис.1.

Зовнішній шум (ЗШ), у вигляді неперервного сигналу W(t) поступає на вхід мікрофону (М), сигнал якого дискретизується аналого-цифровим перетво-рювачем (АЦП) по часу та рівню. Якщо позначити через M(X)- перетворення, що реалізується М та АЦП, то код G(t)= M(W(t)). Коди G(t) накопичуються в пам’яті (П) у вигляді блоку з NS відліків за час t: S(t,t)={M(W(t)),M(W(t+)), M(W(t+2)),…,M(W(t+t))}, де -іниервал часо-вої дискретизації, так, що t=NS. В подальшому, над блоком S(t,t) вико-нуєть-ся нормуюче перетворення (НП), яке формує блок рівномірно розподілених кодів - R(t,t):

,

де F(X) – функція НП. Якщо об’єм блоку R(t,t) становить VR біт, для того, щоб цей блок включав істинно випадкові числа, його ентропія НR має бути близькою до VR. З іншого боку, значення НR залежить від ентропії HS блоку S(t,t): HS HR. Значення ентропії HS блоку S(t,t) k-розрядних відліків визначається його об’ємом Vs та ентропією одного байту дискретизованого шуму - hS:

, (1)

Із (1) випливає, що при фіксованому об’ємі VR, об’єм Vs блоку S(t,t), і відповідно час t його накопичення, а, значить і продуктивність генерації випад-кових чисел залежить від типу зовнішнього шуму. Для визначення середнього значення ентропії байту були проведені експериментальні дослід-ження, результати яких наведені в таблиці 1.

Таблиця 1.

Результати дослідженні зовнішніх шумів різних типів

Тип шуму | Кореляция між відліками | Ентропія байту, біт | Фоновий шум | 0.43 | 3.5 | Мовний шум | 0.01 | 7.2 | Медійний шум | 0.005 | 7.9 | Основним джерелом випадкових величин фізичної природи в роботі апаратних засобів обчислювальних систем є пристрої, що мають механічні компоненти. До таких пристроїв відноситься магнітний диск. основним механічним рухом диску є його швидке обертання. Швидкість обертання залежить від багатьох параметрів і фактично є величиною випадковою. В порівнянні з часом виконання команди звернення до диску його обертання відбувається повільно, тому його положення є також випадковою величиною.

Відомо, що в якості джерела випадковості може слугувати накладення двох асинхронних процесів, один з яких більш швидкий, а інший - повільніший. Часові флуктуації повільного процесу сприймаються в часовому просторі іншого процесу, як випадкові величини. Справедливим є і зворотне: значення параметру швидкого процесу, що вимірюються в більш повільному також є випадковою величиною. Конкретизація цього відомого теоретичного положення дає два способи отримання випадкових чисел, пов’язаних з обертанням диску.

Перший спосіб полягає в тому, щоб читати час Т від початку виконання команди читання сектору до отримання результату. Цей час складається з двох складових: , де tS – час встановлення головки на сектор с заданим маркером, цей час залежить від положення диску і фактично є випадковим, tR – час читання сектору, що є сталою величиною. Таким чином, для отримання випадкової величини потрібно за допомогою відповідних програмних засобів виміряти час Т.

Другий спосіб значно простіший в реалізації і полягає в тому, що випадкове число читається з сектору, вибір якого є випадковим. Для реалізації цього способу пропонується виконувати форматування доріжки на низькому рівні таким чином, що маркери всіх секторів доріжки будуть однакові і міститимуть однаковий номер сектору - N. В самих секторах послідовно записуються числа 1,2,…,nm, де nm – максимальний номер сектору на доріжці. При виконанні команди на читання сектору N, згідно з механізмом роботи диску, буде прочитаний перший, відносно поточного положення головки, сектор, маркер якого містить номер N. Прочитаний з сектору код буде з рівною ймовірністю приймати значення з множини {1,2,…,nm}. Проведені експериментальні дослідження підтвердили наведені теоретичні посилки. Основною перевагою запропонованого способу є високі статистичні харак-теристики чисел, що генеруються в такий спосіб.

Важливим чинником ефективного використання випадкових чисел в системах захисту інформації виступає процедура нормування результатів вимірювання стохастичних параметрів.

З точки зору критеріїв ефективності нормування n-бітової випадкової послідовності S={s1,s2,…sn}, вихідна послідовність R={r1,r2,…,rn} повинна задовольняти наступним умовам: Для будь-якого j-го біту rj , j{0,…,n} ймовірність того, що він дорівнює одиниці має практично дорівнювати 0.5 при будь-яких значення послідовності S. При цьому, кожен з бітів R має не залежати від інших. Для будь-якої пари <i,j>, i,j{0,…,n},ij бітів ri та rj , ймовір-ність P(ri rj =1) 0.5. Кожен біт rj з ймовірністю, близькою до 0.5 має змінюватися при зміні будь-якої підмножини бітів вхідної послідовності.

Сформульовані умови можуть бути виконані, якщо кожен j-тий біт rj формується у вигляді суми за модулем 2 підмножини j , яка складається з n/2 бітів S: j = {sj1,sj2,…,sjn/2}, причому симетрична різниця будь-якої пари <i, j} має включати також n/2 бітів вхідної послідовності.

В основі способу нормалізації, що задовольняє викладеним вище умовам лежить базова процедура, яка складається з t=log2n-1 циклів виконання наступної послідовності операцій:

1. Скопіювати : R=S. Встановити номер k циклу в одиницю: k=1.

2. Скопіювати бітову послідовність R в Т: T=R.

3. Якщо k=1, то виконати циклічний зсув вліво послідовності Т на один біт:

T=T<<1, інакше на q = 2k – 2k-2 бітів: T<<q.

4. Виконати логічне додавання послідовностей R і Т : R = R T.

5. k=k+1. Якщо k t, то повернення на п. 2, інакше – кінець.

В третьому розділі роботи досліджуються шляхи підвищення достовір-ності оцінки якості випадкових послідовностей з точки зору ефективності їх використання в системах захисту інформації.

З ціллю зменшення обчислювальної складності оцінки можливості наближеної екстраполяції довгих послідовностей і розширення тим самим достовірності тестування запропоновано спосіб, що базується на викорис-танні нелінійної відтворюючої моделі, у вигляді зсувного регістру поточні значення розрядів якого утворюють вектор X={x1,x2,…,xm}, з нелінійною, частково-визначеною функцією f(X) зворотного зв’язку. Обчислювальна складність алгоритму формування нелінійної моделі складає O(nlog2n). Сутність алгоритму полягає в побудові бінарного дерева G, число ярусів якого відповідає значенню нелінійної складності.

Аналіз можливостей застосування нелінійної відтворюючої моделі для визначення складності n-бітовой двійкової послідовності S з k-кратною похибкою дозволяє виділити два способи вирішення цієї задачі.

Перший спосіб дозволяє оцінити можливість спрощення відтворюючої моделі при заміні k бітів послідовності на якісному рівні, другий - дозволяє виконати кількісну оцінку.

Сутність першого способу полягає в оцінці отриманого значення нелінійної складності M(S): перевищення значення M(S) рівня 2log2n непрямо пов’язано з незбалансованістю бінарного дерева G. В свою чергу, незбалан-сованість дерева G свідчить при можливість зменшення числа його ярусів за рахунок балансування шляхом зміни k кінцевих вершин, що є тотожним інвертуванню відповідних k бітів заданої послідовності S. Доведено, що нелінійна складність розподілена на нормальним законом с математичним очікуванням 2log2n та середньоквадратичним відхиленням 0.5log2n. Відповідно, ймовірність Р1 того, що для випадкової послідовності значення нелінійної складності M(S) перевищить 2log2n визначається як:

Обчислене за допомогою функції Лапласа значення Р1 порівнюється з пороговим значенням РП і при умові Р1>PП приймається рішення щодо невідповідності послідовності, що проходить тестування, критерію немож-ливості екстраполяції з невеликою помилкою.

Запропонований спосіб простий в реалізації і може бути, в принципі, модифікований для лінійної відтво-рюючої моделі.

Сутність другого способу полягає в обчисленні ваги Хемінга диференціалу частково визначеної булевої нелінійної функції f(X) зворот-ного зв’язку по змінній х1. Визначений диференціал порівнюється зі значенням k - кількості помилок апроксимації.

Хемінгова вага диференціалу частково визначеної функ--ції нелінійної функції f(X) по змінній х1 визначається з виразу:

,

де функція (y1,y2) =y1y2, якщо обидві булеві змінні y1,y2 визначені, тобто y1,y2{0,1} і (y1,y2)=0, якщо значення хоча б однієї з змінних y1,y2 не визначено, Z1 - множина з 2m-1 всіх можливих наборів значень булевих змін-них x2,x3,…,xm. Враховуючи, що нелінійна модель відтворює послідов-ність S, то фактично показує кількість бітів послідовності змінються при зміні функ-ції f(x1,x2,…,xm) зворот-ного зв’язку на функцію f(x11,x2,…,xm). Іншими словами, значення дорівнює кількості бітів послідовності S, які будуть невірно відтворені нелінійною моделлю без врахування старшого розряду х1 зсувного регістру, тобто за допомогою (m-1)-розрядного зсувного регістру. Зі сказано випливає, що якщо , або , то задана послі-дов-ність S може бути апроксимована послідовністю S з помилкою не більше ніж в k бітів, причому нелінійна складність S на одиницю менша за складність заданої послідовності S: M(S)=M(S)-1.

Важливою є оцінка затрат обчислювальних ресурсів, потрібних на реалі-за-цію запропонованого способу тестування можливого спрощення відтво-рюючої моделі послідовності. Обчислювальна складність форму-вання Хемін-гової ваги диференціалу частково визначеної нелінійної функції f(X) по змін-ній х1 визначається перебором половини таблиці істинності f(X) і дорів-нює O(2m-1)=O(2n). Враховуючи обчислювальну складність побудови нелі-ній-ної моделі - O(nlog2n), в результаті чого формується таблиця функції f(X), отримуємо, що обчислювальна складність визначення можливості зменшення на одиницю складності нелінійної відтворюючої моделі за рахунок d помилок апроксимації заданої двійкової послідовності становить O(n(log2n + 2)). Це означає, що витрати часу на вирішення вказаної задачі незначно перевищує витрати на побудову самої нелінійної відтворюючої моделі. Знайдене значення обчислювальної складності є суттєво меншим від вирішення аналогічної задачі з викорис-танням лінійної відтворюючої моделі, обчислю-вальна складність якої експоненційно залежить від значення k - O(nk). Слід зазначити, що значне зменшення ресурсів часу, потрібного для визначення можливості спрощення відтворюючої моделі за рахунок допустимої похибки інтерполяції послідовності досягається за рахунок трьох факторів:

1. використанням нелінійної відтворюючої моделі, розмірність якої (2log2n) значно менша за розмірність лінійної моделі (n/2);

2. суттєвим збільшенням, а порівнянні з відомими методами, об’єму пам’яті, потрібної для формування таблиці істинності нелінійної булевої функції f(X) зворотного зв’язку. Згаданий об’єм становить 22m = 8n бітів. Наприклад, для типової довжини послідовності 106 бітів, об’єм пам’яті становить близько одного мегабайту, що цілком реалізуємо сучас-ними технічними засобами;

3. звуженням класу задачі тестування: фактично в попередніх розробках виз-на-чалась мінімальна складність відтворюючої лінійної моделі при всіх мож-ли-вих k-бітових помилках апроксимації. Запропоноване рішення дозволяє виявити можливість зменшення складності відтворюючої моделі при всіх можливих k-бітових помилках апроксимації. На практиці тестування визна-чення такої можливості цілком може бути прийнятним результатом.

Для визначення мінімальної складності нелінійної відтворюючої моделі при всіх можливих k-бітових помилках апрок-симації заданої послідовності, запропонована процедура може бути застосована рекурсивно.

Нехай задана послідовність S довжиною n біт і допустима кількість k бітових помилок апроксимації S. Потрібно визначити мінімальну довжину зсувного регістру з нелінійною функцією зворотного зв’язку, який здатен відтворити послідовність S з похибкою не більше k біт.

Рекурсивне використання запропонованої процедури виконується в наступному порядку.

1. Для послідовності S будується нелінійна відтворююча модель і, відпо-відно, функція f(X) зворотного зв’язку, кількість аргументів вказаної функції визначає нелінійну складність -M(S) .

2. Для функції f(X) визначається значення її диференціалу по змінній х1,: . Обчислюється значення .

3. Якщо d k, то в послідовності S інвертуються біти, які зумовлюють залежність функції f(X) від змінної х1. Значення k зменшується на величину d: k:=k-d. Якщо k>0, то повернення на п.1, інакше M(S):=M(S)-1.

4. Якщо M(S) < log2n, то тестування послідовності свідчить про невідпо-відність використанню в системах захисту інформації.

Обчислювальна складність реалізації запропонованої рекурсивної проце-дури визначається кількістю h кроків рекурсії і становить O(h(n+2)log2n). Це значно менше в порівнянні з обчислювальною складністю O(nk+2). вирішення цієї задачі з використанням відомих способів.

Таким чином, запропонований спосіб тестування через визначення склад-ності апроксимації послідовностей дозволяє, за рахунок меншої обчислю-вальної складності, суттєво збільшити довжину послідовностей. Експери-ментальними дослідженнями доведено, що тестування можливості апроксимації послідовностей довжиною 108 відомими методами пов’язане зі значними технічними труднощами, в той час, як запропонований спосіб дозволяє реалізувати тестування таких послідовностей достатньо просто. Можливість тестування довших послідовностей дозволяє підвищити досто-вірність оцінки якості засобів генерації випадкових та псевдовипадкових двійкових послідовностей.

В четвертому розділі роботи досліджується застосування випадкових чисел для захисту від реконструкції інформації шляхом вимірювання та аналізу динаміки споживаної обчислювальною платформою потужності при її обробці на прикладі захисту ключів стандартизованого в Україні криптогра-фіч-ного алгоритму ГОСТ 28.147-89.

Для протидії можливості реконструкції кодів ключів алгоритму ГОСТ 28.147-89 шляхом диференційного аналізу динаміки споживаної потужності при реалізації на мікроконтролерах та вбудованих мікропроцесорах пропонується виконувати маскування проміжних значень випадковими числами. Цей метод є найбільш ефективним для протидії DPA за умови маску-вання всіх проміжних значень, в яких замішані біти ключа.

При організації маскування проміжних результатів програмної реалізації алгоритму ГОСТ 28.147-89 мають виконуватися наступні умови:

1. Результати всіх команд, що виконуються процесором і залежать від розрядів ключа мають бути замасковані.

2. Після виконання всіх операцій, передбачених алгоритмом, необхідно зняти маску, з тим, щоб результат криптографічного перетворення з маскуванням не відрізнявся від результату стандартизованого алгоритму ГОСТ 28.147-89.

3. Реалізація маскування при виконанні алгоритму має використовувати можливо менше додаткових обчислювальних ресурсів.

Стосовно алгоритму ГОСТ 28.147-89 проблема зняття маски усклад-нюється тим, що в цьому алгоритмі використовуються як арифметичні, так і логічні операції. Вирішення проблеми спрощується, якщо після закінчення кож--ного з 32-х циклів алгоритму, дані, що передаються наступному циклу, будуть замасковані з використанням однакової маски. Зняття маски може бути виконане або шляхом відповідної послідовності арифме-тичних і логічних операцій, або з використанням табличних перетворень. Перший варіант забезпечує більшу продуктивність, проте не завжди може бути виконаний так, щоб уникнути появи проміжних незамаскованих результатів.

При маскуванні проміжних результатів програмної реалізації алгоритму ГОСТ 28.147-89 може використовуватися різна кількість масок. Найбільш ефективним є варіант, за яким, додатково до маски Y даних, викорис-товуються маски Х для маскування ключів. При цьому кількість різних масок Х може співпати з кількістью циклів (32) або з кількістю субключів (8).

Для розробки способу маскування проміжних результатів при реалізації алгоритму ГОСТ 28.147-89 доцільно проаналізувати кожне з перетворень, що виконується в циклі згаданого алгоритму. Оскільки алгорит-мом ГОСТ 28.147-89 передбачає арифметичне дода-вання правої частини даних та поточного субключа, то для маскування цих складових доцільно викорис-товувати також арифметичну аддитивну опера-цію.

Маскування нелінійного функціонального перетворення, передбаченого алгоритмом ГОСТ 28.147-89, має бути організовано таким чином, щоб:

- віднімалась арифметична маска Xj+Y від коду Rj+Kj+Xj+Y;

- виконувалося нелінійне функціональне перетворення F(Rj+Kj).

- маскувався результат функціонального перетворення F(Rj+Kj).

Єдиним варіантом реалізації вказаних вище трьох операцій є використання табличного перетворення , яке віднімає маску Xj+Y від коду Rj+Kj+Xj+Y, виконує перетворення F(Rj+Kj) з маскуванням результату. Для маскування коду F(Rj+Kj) доцільно застосовувати логічну операцію, оскільки далі виконується логічна операція – зсув на 11 розрядів вліво, причому в якості логічної маски доцільно вибрати Xj+Y. На виході перетворювача буде отримано код F(Kj+Rj-1)(Y+Xj). Перетворення розділяється на q секцій, що реалізуються послідовно. Кожна секція оброблює d=32/q розрядів двох чисел и сигнал переносу. Загальний об’єм пам’яті таблиць становитиме при цьому q22d+1 d-розрядних слів або 22d+6 біт.

Результат циклічного зсуву F(Kj+Rj-1)(Y+Xj) можна представити у вигляді: ROL(F(Kj+Rj-1),11)ROL(Y+Xj,11). Маску ROL(Y+Xj,11)потрібно зня-ти, замінивши її більш простою – Y. Це може бути виконано логічним дода-ван-ням коду ROL(Y+Xj,11)Y. Отримаємо код ROL(F(Kj+Rj-1),11)Y. Без-по-се-реднє логічне додавання цього коду до Lj-1+Y утруднюється тим, що Y вхо-дить в згадані складові в якості як арифметичного, так і логічного доданку. Тому доцільним є вико-рис-тання таб-личного перетворення від трьох аргу-ментів: Ф(ROL(F(Kj+Rj-1),11)Y, Lj-1+Y, Y). При реалізації табличного перетворення Ф від 3-х 32-розрядних чисел воно ділиться на v секцій, в кожній з яких оброблюється r=32/v розрядів. Об’єм пам’яті таблиць для реалізації Ф складає v23r+2 (r+2)-розрядних чисел або 23r+7 біт.

Об’єм пам’яті, що потребується для реалізації табличного перетворення Ф може бути суттєво зменшено шляхом заміни таблиці від 3-х аргументів до двох таблиць, що залежить від 2-х аргументів. Схематично цей варіант маскування проміжних результатів при програмній реалізації алгоритму ГОСТ 28.147-89 показано на рис. 2.

Всі три табличні перетворювачі виконуються у вигляді q секцій, кодна з яких реалізує обробку d=32/q розрядів. В силу того, що перетворювачі реалізують арифметичні операції, обробка їх секцій виконується послідовно з урахуванням переносу - с. Код Y' розрядністю 32 складається з q d-розрядних фрагментів Y'={Y1',Y2',…,Yq'} і отримується з q d-розрядних фрагментів коду маски Y={Y1,Y2,…,Yq} наступним чином: l{1,…,q}: Yl' = ROL(Yl,d/2).

Перетворювач використовується для переходу від арифметичного маскування лівої частини даних – Lj+Y до логічного: Lj Y. В рамках перетворення виконується операція віднімання коду Y з наступним логічним його додаванням: ((Lj+Y)-Y)Y . Перетворення використовується для заміни логічної маски YY' адитивною – Y.

Таким чином, загальний об’єм V3 пам’яті таблиць для всіх трьох перетворювачів , та , за умови, що вони розділяються на d–розрядні секції становить: , в той час, як при застосуванні двох таблиць об’єм пам’яті складає .

Крім додаткової пам’яті, маскування проміжних результатів при реалізації алгоритму ГОСТ 28.147-89 пов’язано з уповільненням обчислень. При використанні двох таблиць час Т2 виконання одного циклу ГОСТ 28.147-89 визначається формулою:

,

де tADD, tXOR, tROL – час виконання відповідно операцій арифметичного і логічного додавання та циклічного зсуву на 11 розрядів, tT – час звернення до пам’яті таблиць.

При використанні 3-х перетворювачів час Т3 виконання циклу становить:

Вибір найбільш прийнятного для конкретного застосування варіанту маскування може бути виконаний за допомогою таблиці 2.

Таблиця 2.

Порівняльні характеристики двох варіантів реалізації ГОСТ 28.147-89

з маскуванням проміжних результатів та базового варіанту

Схема

маскування | Розрядність

d секцій

таблиць | Об’єм

пам’яті

(біт) | Порівняння з базовою реалізацією

за часом | за об’ємом пам’яті

таблиць

З двома таблицями | 4 | 219 | 2 | 103

8 | 231 | 1 | 107

З трьома

таблицями | 4 | 3214 | 3 | 102

8 | 3222 1.5 | 104 |

Для оцінки ефективності запропонованого способу реалізації алгоритму ГОСТ 28.147-89 в плані протидії DPA були проведені спеціальні експери-мен-тальні дослідження. В якості критерію ефективності реконструкції ключів за технологією DPA вибрано максимальне значення коефіцієнту кореляції між значеннями проміжних результатів та зміною одного розряду ключа.

В рамках проведених експериментів було досліджено 104 реалізацій першого циклу базової реалізації ГОСТ 28.147-89 та варіанту з маскуванням проміжних результатів. В результаті встановлено, що базової реалізації ГОСТ 28.147-89 максимальне значення коефіцієнту кореляції значення про-між-ного результату та зміною біту ключа становить 0.18 при середньому зна-чен-ні 0.06. Експериментальне статистичне дослід-ження для запропонованого варіанту реалізації ГОСТ 28.147-89 показало зниження максимального коефіцієнту кореляції до рівня 0.007 при серед-ньому значенні 0.0026.

ВИСНОВКИ

В дисертаційній роботі, відповідно до поставленої мети, виконано теоретичне обґрунтування і одержано нове вирішення наукової задачі: підвищення ефективності захисту інформації в комп’ютерних системах та мережах за рахунок вдосконалення способів одержання, нормування та тестування істинно випадкових чисел, а також розробки способів їх застосу-вання для захисту даних.

Основні наукові і практичні результати полягають у наступному:

1. Одержав розвиток спосіб отримання послідовностей випадкових чисел на основі вимірювання зовнішнього шуму: вироблені рекомендації щодо оптимізації частоти дискретизації залежно від рівня ентропії та швидкості генерації послідовності, визначені статистичні особливості результатів вимірювань шуму та специфіковані процедури їх нормалізації.

2. Вдосконалено способи одержання випадкових величин з використанням жорсткого диску за рахунок нестандартного форматування його доріжки, що дозволило покращити статистичні характеристики розподілу результатів випадкових послідовностей.

3. Вдосконалено процедури нормування випадкових послідовностей з засто-суван-ням хеш-алгоритмів MD-5 i SHA-1, що дозволило приблизно на 50% підвищити швидкість операцій нормування випадкових послідовностей за рахунок виключення надлишкових циклів та операцій.

4. Теоретично обґрунтовано і розроблено спосіб та процедуру нормування бітовох послідовності, які відрізняється збільшеною продуктив-ністю програм-ної реалізації за рахунок оптимізації процедури перемішування бітів.

5. Розроблено метод тестування якості двійкових випадкових послідовностей, а саме оцінки можливості їх наближеної екстраполяції, який відрізняється використанням нелінійної відтворюючої моделі і забезпечує, за рахунок цього, суттєво меншу обчислю-вальну складність тестування в порівнянні зі способами, основаними за застосуванні лінійної моделі, що дозволяє підвищити достовірність та оперативність оцінки якості засобів генерації випадкових послідовностей.

6. Розроблено метод оцінки можливості наближеної екстраполяції випад-кових двійкових послідовностей, який відрізняється використанням нелінійної відтворюючої моделі і забезпечує, за рахунок цього, суттєво меншу обчислю-вальну складність тестування в порівнянні зі способами, основаними за застосуванні лінійної моделі, що дозволяє підвищити достовірність та оперативність оцінки якості засобів генерації випадкових послідовностей.

7. Запропоновано спосіб використання випадкових чисел для захисту ключів криптографіч-ного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки потужності споживаною обчислювальною платформою під час виконання алгоритму. Спосіб полягає в спеціальному маскуванні з застосуванням випадкових чисел всіх проміжних результатів під час реалізації алгоритму ГОСТ 28147-89 та знятті маски після закінчення його виконання і забезпечує суттєве підвищення рівня захищеності інформації в комп’ютерних системах і мережах, що використовують в якості термінальних пристроїв мікроконтролери та вбудовані мікропроцесори.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ

1. Абабне О.А. Преобразование измерений физически стохастических величин для эффективной генерации случайных чисел // Вісник Націо-наль-ного техніч-ного університету України “КПІ”. Інформатика, управлін-ня та обчислювальна техніка. К.: ТОО „ВЕК+”.- 2006.- № 45.- С. 17-26. (Автором вдосконалено процедури нормування випадкових послідовностей з застосуван-ням хеш-алгоритмів MD-5 i SHA-1 )

2. Марковский А.П., Абабне О.А., Чередник Р.В. Генерация случайных чисел на основе измерения внешнего шума // Вісник Націо-наль-ного технічного університету України “КПІ” Інформатика, управлін-ня та обчислювальна техніка. К.: ТОО „ВЕК+”.- 2005.- № 43.- С. 81-90. (Автором вдосконалено спосіб отримання послідовностей випадкових чисел на основі вимірювання зовнішнього шуму).

3. Самофалов К.Г., Марковський О.П., Абабне О.А. Оцінка якості гене-раторів двійкових послідовностей з використанням нелінійної відтво-рюючої моделі // Проблеми інформа-тизації та управління. Збірник наукових праць: К.,НАУ.- 2007.- Випуск 1(19).- С.142-147. (Автором запропоновано метод тестування якості двійкових випадкових послідовностей через оцінку можливості їх екстра-поляції на основі нелінійної відтворю-ючої моделі).

4. Марковский А.П., Абабне О.А., Ияд Мохд Маджид Ахмад Шахрури. Способ защиты ключей алгоритма ГОСТ 28.147-89 от реконструкции анали-зом динами-ки потребляемой мощности // Вісник націо-нального технічного університету України ”КПІ”. Інформатика, управління та обчислю-вальна техніка. К.: ТОО „ВЕК+”. – 2007.- № 46.- С.128-138. (Автором запро-поновано і досліджено спосіб використання випадкових чисел для захисту ключів криптографіч-ного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки споживаної потужності).

5. Абабне О.А., Левчун Д.Ю. К проблеме построения эффективных генера-торов случайных последовательностей для систем моделирования // Сб.трудов конференции ”Моделирование-2006” 16-18 мая 2006, г.Киев.- К.: ИПМЭ НАН