Групповая аутентификация и криптографический контроль доступа в системах с иерархической структурой на основе изогений эллиптических кривых тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Ярмак Анастасия Викторовна

ВВЕДЕНИЕ

Актуальность темы исследования. Ключевые характеристики крупномасштабных систем, к которым относят большое число узлов системы, их распределенность и избыточность, разнородность вычислительных возможностей и ролей устройств, динамическую топологию сети, накладывают свои ограничения с точки зрения применения традиционных способов обеспечения информационной безопасности [1]. Это обусловлено, в том числе, использованием групповой передачи данных, обеспечивающей возможность одновременной рассылки информации устройствам, входящим в некоторую группу (групповое взаимодействие узлов), а также делегированием функции хранения данных сторонним сервисам, что позволяет предоставить быстрый доступ к информации с различных устройств и избежать дополнительных расходов, связанных с развертыванием и обслуживанием собственной инфраструктуры [2]. В то же время, наряду с перечисленными, в качестве определяющего признака сложных систем многими исследователями выделяется наличие иерархической структуры управления, подразумевающей введение отношения порядка на множестве подсистем и асимметрию при принятии решений [2-5].

С учетом специфики крупномасштабных систем актуальной представляется разработка решений, направленных на защиту от угрозы несанкционированного доступа к данным при их обработке и хранении (например, со стороны недоверенного облачного провайдера), а также обеспечивающих доверие (под которым понимается гарантия целостности, невозможность отрицания авторства и аутентификация источника данных) к циркулирующей между узлами информации. Данная задача может быть решена с помощью протоколов групповой аутентификации данных (например, коллективной, групповой подписи), а также криптографического контроля доступа. Существующие решения либо не учитывают иерархическую структуру участников, либо не позволяют обеспечить защиту от нарушителя, располагающего квантовой вычислительной моделью, что и определяет актуальность диссертационного исследования.

Степень разработанности темы исследования. Информационной безопасности крупномасштабных систем, имеющих в том числе иерархическую структуру, посвящены труды таких отечественных и зарубежных специалистов, как П.Д. Зегжда, Д.П. Зегжда, И.В. Котенко, М.О. Калинин, И.Б. Саенко, С.А. Петренко, К.А. Стуффер, Ф. Харроу. Разработке схем цифровой, в частности коллективной и упорядоченной, подписи посвящены работы Н.А. Молдовяна, А.В. Епишкиной, M. Белларе, Х. Доя, A. Болдыревой, С. Митоми, A. Мияги, M. Бурместера. Вклад в развитие направления криптографического контроля доступа внесли С.В. Запечников, С. Акл, А. Кайем, В. Гойял, Д. Крэмптон. Вопросы применения изогений эллиптических кривых для построения криптографических протоколов освещены в трудах О.Н. Василенко, А.Г. Ростовцева, А.Г. Столбунова, Е.Б. Александровой, С.В. Беззатеева, Э. Чайлдса, Л. де Фео, Д. Кохеля, С. Галбрайта, В. Кастрика, Т. Декру. В работах А. Басу и Р. Блэннинга, Э.Н. Самохвалова, Г.И. Ревункова, Ю.Е. Гапанюка, А.К. Новохрестова предложено использовать метаграфы для моделирования информационных систем и процессов, оценки их защищенности.

Объектом исследования являются крупномасштабные системы с иерархической структурой участников.

Предметом исследования является групповая аутентификация и криптографический контроль доступа к данным в иерархических системах.

Целью работы является обеспечение условий для безопасной обработки и доступа к данным в иерархических системах.

Для достижения поставленной цели в работе решались следующие задачи:

1. Определить специфику обеспечения защищенного взаимодействия и контроля доступа к данным в крупномасштабных системах с иерархической структурой.

2. Построить модель группового взаимодействия узлов с учетом иерархии участников на основе аппарата атрибутивных метаграфов.

3. Разработать протокол иерархической групповой аутентификации данных на основе изогений эллиптических кривых и провести анализ его безопасности.

4. Разработать схему криптографического контроля доступа к данным на основе изогений эллиптических кривых с учетом иерархии участников и провести анализ ее безопасности.

5. Провести экспериментальные исследования предложенных решений.

Научная новизна диссертационного исследования состоит в следующем:

1. Впервые предложена метаграфовая модель, описывающая групповое взаимодействие узлов и позволяющая:

- задавать порядок формирования подписи сообщения в протоколе групповой аутентификации данных;

- описать отношение частичного порядка на множестве групп участников, а также определить связь участника и группы в схеме криптографического контроля доступа к данным.

2. Предлагаемый протокол групповой аутентификации, в отличие от известных, основан на задаче поиска изогений эллиптических кривых и разработан с учетом специфики крупномасштабных систем, что дает возможность:

- обеспечить верификацию порядка формирования подписи за счет задания последовательных отображений эллиптических кривых;

- обеспечить защиту от нарушителя, располагающего квантовой вычислительной моделью.

3. Предлагаемая схема криптографического контроля доступа отличается сочетанием математического аппарата изогений эллиптических кривых и модели ролевого контроля доступа и позволяет:

- определить связь ключа родительской и ключа подчиненной роли путем задания секретной изогении;

- с учетом ограничений иерархически охватного подхода к назначению полномочий сократить, по сравнению со схемой на основе классической ролевой модели, объем хранимых данных, необходимых для организации совместного доступа к информации;

- обеспечить защиту от несанкционированного доступа к данным при их хранении в недоверенной среде.

Теоретическая значимость результатов работы заключается в:

- уточнении алгоритма генерации графа изогений, что позволяет построить структуру «вулкана» с заданным числом уровней;

- разработке классификации протоколов иерархической групповой аутентификации и схем криптографического контроля доступа.

Практическая значимость результатов работы заключается в возможности применения предложенных решений в промышленном Интернете вещей, а также в других сложных системах с иерархической структурой, для обеспечения доверия к данным при межмашинном взаимодействии узлов и для защиты от угрозы несанкционированного доступа при хранении информации в недоверенной среде.

Методология и методы исследования. Для решения поставленных задач в диссертационной работе использовались методы теории графов, алгебры, теории чисел, криптографии и алгебраической геометрии.

Положения, выносимые на защиту:

1. Метаграфовая модель группового взаимодействия узлов в иерархических системах.

2. Протокол иерархической групповой аутентификации данных на основе изогений эллиптических кривых.

3. Схема криптографического контроля доступа к данным на основе иерархической системы ролей.

Внедрение результатов работы. Результаты работы внедрены в проектную деятельность ФГУП «НИИ «Квант», в учебный процесс ФГАОУ ВО СПбПУ при проведении лекционных и лабораторных занятий по дисциплине «Методы алгебраической геометрии в криптографии». Работа выполнена при поддержке РФФИ (научный проект № 20-37-90106); полученные результаты использованы при реализации гранта в области информационной безопасности для задач цифровой экономики («Грант ИБ МТУСИ») в рамках научного проекта № 12/21-к, а также гранта Правительства Санкт-Петербурга для студентов вузов, расположенных на территории Санкт-Петербурга, аспирантов вузов, отраслевых и

академических институтов, расположенных на территории Санкт-Петербурга, за 2021 г.

Достоверность и обоснованность результатов научных положений подтверждается представленным анализом научных работ по предмету исследования, доказательством корректности предложенных решений, полученными экспериментальными результатами, апробацией основных результатов работы в научных изданиях и докладах на конференциях.

Соответствие специальности научных работников. Научные результаты соответствуют следующим пунктам паспорта специальности научных работников 2.3.6. Методы и системы защиты информации, информационная безопасность:

п. 12. Технологии идентификации и аутентификации пользователей и субъектов информационных процессов. Системы разграничения доступа;

п. 15. Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности;

п. 19. Исследования в области безопасности криптографических алгоритмов, криптографических примитивов, криптографических протоколов. Защита инфраструктуры обеспечения применения криптографических методов.

Апробация результатов работы. Основные результаты работы были представлены на следующих конференциях: научно-техническая конференция «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2016, 2018, 2020, 2021, 2023 гг.), научно-практическая конференция c международным участием «Неделя науки СПбПУ» (Санкт-Петербург, 2019 г.), научно-практическая конференция «Рускрипто-2020» (Москва, 2020 г.), 5-я международная онлайн-конференция «Алгоритмы и решения на основе компьютерных технологий», ASBC (Санкт-Петербург, 2021 г.), 2-я международная конференция «Киберфизические системы и управление», CPS&C (Санкт-Петербург, 2021 г.), международная конференция «World Conference on Smart Trends in Systems, Security and Sustainability WorldS4» (Лондон, 2022 г.), международная научно-техническая конференция «Автоматизация» (Сочи,

2022 г.), конференция «Информационные технологии в управлении», ИТУ-2022 (Санкт-Петербург, 2022 г.), 2-я Всероссийская научная школа-семинар «Современные тенденции развития методов и технологий защиты информации» (Москва, 2022 г.).

Публикации. Результаты диссертации отражены в 22 работах, в том числе в 5 публикациях в рецензируемых журналах из перечня ВАК РФ, 7 публикациях в изданиях из перечня Scopus и Web of Science, а также 3 свидетельствах о регистрации программы для ЭВМ.

Структура и объем диссертации. Диссертация состоит из введения, пяти глав, заключения, списка литературы из 178 наименований и пяти приложений. Общий объем работы составляет 177 страниц, в том числе 19 рисунков и 35 таблиц.

В первой главе работы представлены результаты анализа объекта исследования: определена специфика крупномасштабных систем. Рассмотрены примеры иерархических систем, определены критерии, которые могут быть использованы для кластеризации узлов по группам: физическое местоположение, тип устройства, функционал, права доступа к информации. Сформулировано допущение, касающееся объекта исследования: в диссертационной работе под иерархическими системами понимаются многоэшелонные системы, в которых иерархия задается в виде ориентированного ациклического графа и отражает отношение порядка на множестве групп устройств с наследованием полномочий «снизу вверх». Определена научная задача, для решения которой предложено использовать протоколы групповой аутентификации и криптографического контроля доступа к данным.

Во второй главе обоснован выбор аппарата атрибутивных метаграфов для описания объекта исследования и изогений эллиптических кривых как математической структуры для построения протокола и схемы, составляющих предмет исследования. Для представления иерархической системы разработана модель, представляющая собой метаграф вложенности 2, на основе которой в формализованном виде заданы алгоритмы протокола групповой аутентификации и схемы криптографического контроля доступа. Приведены результаты

исследования криптосистем с открытым ключом на изогениях и свойства графа изогений эллиптических кривых.

В третьей главе представлен сравнительный анализ протоколов иерархической групповой аутентификации данных, результаты которого позволили составить их классификацию. Разработан протокол, основанный на схеме подписи CSI-FiSh и поддерживающий смешанную (последовательно-параллельную) структуру порядка формирования подписи. Для представления порядка используется метапуть, который задан на метаграфе, описывающем участников группового взаимодействия, и представляет собой обобщение понятия пути, допускающего разветвления. Задание связи между участниками протокола осуществляется на основе изогенных кривых-идентификаторов. Показана его корректность, приведены результаты анализа безопасности.

Четвертая глава посвящена разработке схемы криптографического контроля доступа к данным, основанной на ролевой модели с введенной иерархией на множестве ролей. Предложенная схема базируется на модели Crypt-DAC, сочетающей гибридное шифрование с ролевой политикой контроля доступа, и отличается использованием задачи поиска изогений эллиптических кривых и поддержкой иерархии ролей. Проанализирована безопасность схемы, показаны ее ограничения.

В пятой главе представлена архитектура программы, моделирующей работу протокола групповой аутентификации и схемы криптографического контроля доступа. Приведены результаты экспериментального исследования, позволяющие оценить время работы предложенных решений при различных конфигурациях иерархической системы.

В приложениях представлены акты об использовании результатов диссертационного исследования в проектной деятельности ФГУП «НИИ «Квант», в учебном процессе ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого», а также свидетельства о государственной регистрации программ для ЭВМ.

1 ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ АУТЕНТИФИКАЦИИ И

КОНТРОЛЯ ДОСТУПА К ДАННЫМ В КРУПНОМАСШТАБНЫХ СИСТЕМАХ С ИЕРАРХИЧЕСКОЙ СТРУКТУРОЙ

В условиях возрастающей сложности современных крупномасштабных систем использование иерархической структуры обусловлено, прежде всего, необходимостью регулирования зон ответственности и декомпозиции различных задач. Принцип иерархической упорядоченности компонентов активно применяется при разработке технологических моделей в проектах, использующих беспроводные сенсорные сети, а также связанных с применением концепции Интернета вещей. В частности, эталонная архитектура туманных вычислений представляется в виде иерархической масштабируемой системы [6, 7], эталонная архитектура промышленного Интернета вещей, согласно [8], имеет трехуровневую иерархическую структуру. Такая организация позволяет в условиях централизованного управления сократить нагрузку на центр принятия решений за счет делегирования части ответственности на локальные центры управления, т.е. реализации многоуровневого управления, упорядочить поток данных, локализовать изменения в структуре, определить иерархию решаемых задач при наличии ограничений, связанных с возможностями элементов системы [4].

В данной главе рассмотрен ряд типовых систем с иерархической структурой, выделены особенности, обуславливающие их специфику с точки зрения задачи обеспечения защищенного взаимодействия узлов и доступа к данным. Приведены результаты анализа подходов, позволяющих реализовать защищенное хранение данных и аутентификацию сообщений. Обосновано применение иерархической групповой аутентификации и криптографического контроля доступа для решения поставленной задачи.

1.1 Специфика крупномасштабных систем с иерархической структурой 1.1.1 Иерархии в крупномасштабных системах

В теории многоуровневых иерархических систем основополагающими характеристиками иерархической структуры являются [4]:

- наличие вертикально соподчиненных подсистем;

- возможность вмешательства подсистем верхнего уровня в работу подсистем нижнего уровня;

- зависимость действий подсистем верхнего уровня от фактического исполнения нижними уровнями своих функций.

Кроме того, понятие «уровень иерархии» включает в себя термины «страта», «слой», «эшелон», каждый из которых отражает ту или иную категорию иерархии, позволяющие описать различные аспекты функционирования иерархической системы: с точки зрения протекающих в ней процессов и ее поведения на различных уровнях, уровней сложности принимаемых решений, организационной иерархии.

Стратифицированное описание системы предполагает выделение нескольких уровней абстрагирования, на каждом из которых поведение системы задается с помощью различных моделей, учитывающих специфику заданного уровня. Например, стратифицированное описание киберфизической системы может иметь следующий вид:

1) физический уровень, на котором могут осуществляться технологические процессы;

2) информационный уровень, на котором происходит обработка информации, генерация команд и т.п.;

3) уровень бизнес-процессов, на котором рассматриваются показатели эффективности, прибыли и т.п.

Под многослойной понимается система, имеющая иерархию слоев управления. В таких системах задача принятия решения декомпозируется на более простые, которые решаются последовательно: от нижнего до самого высокого уровня иерархии, где уже возможно однозначное принятие решения с учетом параметров и условий, полученных от нижних уровней. Так, принятие решения о стратегии максимизации прибыли, рассматриваемой на самом верхнем слое, осуществляется на основе минимизации стоимости комплектующих, снижений издержек производства (второй слой), которые, в свою очередь, зависят от изменения параметров технологического процесса (третий слой).

В многоэшелонных системах выделяются различные подсистемы, имеющие свои центры принятия решений, которые могут влиять друг на друга с точки зрения управления. Например, в рамках группы узлов, решающих некоторую задачу, принятие решения о добавлении узла или отзыва членства в группе может осуществлять некоторый координирующий узел группы, однако решение о смене параметров задачи, которой занимается данная группа узлов, принимает подсистема мониторинга, находящаяся на более высоком уровне.

В контексте диссертационной работы под иерархией понимается третья из перечисленных категория, иллюстрирующая взаимную связь между составляющими компонентами системы, так как при таком описании существенным является распределение задач и ролей отдельных подсистем на различных уровнях, что, в свою очередь, отражается на возможности доступа узлов к хранящимся в системе данным.

Сами иерархические отношения могут отражать [9]:

- структуризацию элементов согласно выделенным признакам (классификационные иерархии);

- подчиненность элементов другим (субординационные иерархии).

Классификационные иерархии строятся на основе отношений

эквивалентности, когда для задания иерархической структуры в итеративном порядке к множеству применяется одно отношение эквивалентности, после чего с помощью другого отношения эквивалентности строятся классы, соответствующие

следующему уровню иерархии, и т.д. При таком способе организации иерархии конечная структура будет зависеть от порядка применяемых отношений.

Субординационные иерархии, как показано в [10], сводятся к классификационным и строятся с использованием отношения частичного порядка. Здесь в одном классе эквивалентности будут находиться элементы, либо подчиняющиеся одному и тому же узлу, либо попадающие в классы-пересечения в случае множественной субординации, при которой вершина может иметь несколько родительских вершин.

На рисунке 1 проиллюстрированы следующие типы иерархических структур [11]:

1) линейная иерархия, при которой отношение между группами можно представить в виде однонаправленной цепочки;

2) древовидная иерархия, при которой каждая группа может иметь несколько групп в подчинении (иерархическая структура с сильными связями);

3) иерархия, представимая в виде направленного ациклического графа, является обобщением древовидной, однако здесь для каждой группы можно определить несколько групп, находящихся по иерархии как выше, так и ниже (иерархическая структура со слабыми связями, множественная субординация).

*

»

*

а)

б)

в)

Рисунок 1 — Типы иерархий: а) линейная; б) древовидная; в) в виде направленного ациклического графа

Поскольку с помощью структуры третьего типа можно описать как линейную, так и древовидную иерархию, а также смоделировать ситуацию подчинения нескольким вышестоящим группам (множественной субординации), в данной работе рассматриваются иерархические структуры с слабыми связями.

При иерархической организации узлов в информационных системах подчиненность, которую можно трактовать как наследование прав и полномочий, может определяться в направлении «снизу вверх», когда старшие в иерархии узлы обладают большими полномочиями (включая полномочия подчиненных узлов) нежели их потомки, и в направлении «сверху вниз», когда наследование прав и полномочий задается от родителя к потомку [12]. В данной работе рассматривается первый случай.

Утверждение 1. Пусть на множестве пользователей и = [щ,и2,...} задано разбиение на группы, каждая из которых отождествляется с ролью из множества Я = [г1,г2, ■} . Каждой роли г^ Е Я сопоставлено некоторое подмножество полномочий Рг. множества Р = [р1,р2, ■■■} с соблюдением механизма наследования «снизу вверх». Тогда множество ролей Я является частично упорядоченным.

Доказательство. Зададим на Я отношение подчиненности " < " , характеризующее наследование полномочий:

если ъ,^ Е Я: гI < гу ,то Рг. Я Рг .

Оно:

а) рефлексивно: Е Я-.^ < г^, т.к. Рг Я Рг ;

б) антисимметрично: если г^ < гу ДГ] ^ г^ ^ г^ = гу, т.к. если Рг. Я рг д

РГ1 Я ^ РГ] = Рг1;

в) транзитивно: если гI < гу Л гу < гк ^ г^ < гк, т.к. если Рг. Я Рг. Л Рг. Я

ргк ^ Я Ргк.

При этом на данном множестве могут быть несравнимые элементы, например, роли, имеющие одного и того же родителя. Утверждение доказано.

Таким образом, в диссертационной работе под иерархическими системами подразумеваются многоэшелонные системы, в которых иерархия представляется в виде ориентированного ациклического графа и отражает отношение порядка на множестве подсистем с наследованием полномочий «снизу вверх». Наличие иерархии значительно усложняет решение задач, связанных с обеспечением защищенного группового взаимодействия и контроля доступа к данным, однако отражает более сложные и приближенные к реальности сценарии.

1.1.2 Групповое взаимодействие узлов

Системы, построенные по иерархическому принципу, могут быть распределенными, с большим количеством узлов (в том числе избыточных) и динамической топологией сети [1, 3]. В рамках отдельных подсистем может наблюдаться разнородность компонентов с точки зрения их функционального назначения и вычислительных возможностей.

С ростом числа устройств наиболее целесообразным становится использование принципа группового взаимодействия узлов, когда передача данных в системе осуществляется не на уровне конечных устройств, а на уровне групп устройств. В контексте сетевого взаимодействия такой способ позволяет снизить количество передаваемых сообщений, т.к. вместо того, чтобы отправлять п одинаковых пакетов п узлам, достаточно отправить один сетевой пакет с помощью многоадресной передачи данных. При организации коллективного доступа к ресурсам назначение узлам прав доступа к данным через рабочие группы позволяет снизить количество индивидуальных назначений [12].

Большинство протоколов межмашинного взаимодействия Интернета вещей использует парадигму, основанную на многоадресной передаче данных, взаимодействии «многие-ко-многим» [13, 14]. Например, протоколы OPC-UA, MQTT, DDS, AMQP основаны на модели «издатель-подписчик», а спецификация

протокола CoAP [15] уже регламентирует реализацию группового взаимодействия устройств.

Для кластеризации устройств в группы могут быть использованы различные критерии [13, 16]:

- согласно их физическому местоположению. Например, в интеллектуальных системах управления освещением объединение устройств в группы позволяет синхронизировать передачу команд и регулировать интенсивность света в один момент времени в рамках заданного помещения;

- согласно их типу, техническим характеристикам. В сценариях автоматического обновления программного обеспечения, конфигурации и параметров для снижения нагрузки на сеть возможна многоадресная передача команд всем устройствам, имеющим одинаковые характеристики;

- согласно выполняемому функционалу. Проверка наличия устройства, его конфигурации, условий работы, осуществляемая системой мониторинга и диагностики, может быть основана на многоадресной рассылке запроса устройствам, выполняющим схожие функции.

Еще один сценарий применения групповой организации взаимодействия возможен в самоорганизующихся сетях. В автомобильных самоорганизующихся сетях (Vehicular Ad Hoc Network, VANET) группы могут формироваться в зависимости от физического местоположения и времени въезда на заданный участок дороги [17]. Для сетей типа MANET (Mobile Ad Hoc Network), узлами которых выступают мобильные устройства, также может быть использован принцип кластеризации устройств, реализация которого зависит от критерия формирования групп (характеристики устройств, топологии сети, мобильности узлов, энергопотребления и др.) и способа выбора головного узла (по наименьшему идентификатору, вычислительным возможностям и т.п.) [18].

пользователей

Для подписи сообщения М пользователи ui , кривые Ei которых соответствуют листовым вершинам, должны выполнить алгоритм формирования подписи согласно ГОСТ 34.10-2018, при этом используя в качестве образующей и открытого ключа точки Pi, Qi Е Ei(Wp)\ Qi = dPi.

1. Вычислить хэш-образ сообщения М: е ^ h(М).

2. Сгенерировать случайный показатель ki Е Ж. 0 < kt < г.

3. Вычислить точку Ri ^ kiPl = (xR,yR). При xR. = 0(mod г) вернуться на

шаг 2.

4. Вычислить si ^ (xR.d + kte) (mod г). При si = 0(mod г) вернуться на

шаг 2.

5. Вычислить изогению <pi,.El

^ Epred. i в кривую, соответствующую родительской вершине на графе изогений, и найти образы точек: (i(Qi), (i(Pi).

6. Сформировать частичную подпись ai = (xR.(mod г), si, (i(Qi), (i(Pi)).

— изогения из кривой Еу(Гр), ассоциированной с пользователем, в кривую, соответствующей родительской вершине.

Проверка подписи осуществляется согласно алгоритму, приведенному в стандарте ГОСТ 34.10-2018. Таким образом, можно выделить следующие особенности:

- в отличие от исходного протокола приведенная модификация позволяет организовать аутентификацию для групп с иерархией, представимой в виде дерева;

- в основе безопасности протокола лежит задача дискретного логарифмирования, так как используется граф изогений несуперсингулярных кривых фиксированной степени;

- проверка подписи подразумевает прохождение по всей графовой структуре.

3.3 Протокол иерархической аутентификации данных на основе задачи поиска изогений суперсингулярных кривых

Пусть задан атрибутивный метаграф = < К, МК, Е, МЕ >,

представляющий групповое взаимодействие узлов в иерархической системе, ...,ип} — множество пользователей, участвующих в формировании подписи, каждый из которых ассоциирован с вершиной метаграфа ^,...,^£7 соответственно.

Для представления порядка подписи используется метапуть МР((^}, (^}), заданный на метаграфовой модели, вершины которой описывают участников группового взаимодействия. В отличие от простого пути на метаграфе метапуть позволяет описать не только последовательный порядок формирования подписи, но

и допускает разветвления, таким образом, будем считать, что метапуть позволяет задать смешанную (последовательно-параллельную) структуру порядка подписи.

В качестве базового протокола подписи предлагается использовать ОБЛЮБИ, в основе которой лежит преобразование Фиата-Шамира [104]. ОБЛЮБИ относится к ОБГОН-схемам на изогениях суперсингулярных кривых.

Алгоритм БеЫр(1л, МвА) устанавливает атрибут аиг^Рз13П\

соответствующий открытым параметрам протокола с помощью операции над метаграфом скапд е_ уег1ех_аИг(МСА, У(, {р, Ео, N, Н, Б, 1}, 0Р51дП) для всех VI £ V. Таким образом, генерация параметров осуществляется, в том числе, с учетом требований, заданных в схеме ОБЛЮБИ.

Алгоритм БеЫр(1л, МвА) генерации параметров: Вход: параметр безопасности Я, метаграф МвА. Выход: метаграф МвА'.

1. Выбрать параметр безопасности Я, сгенерировать характеристику поля Р = 41^2 ■■■ 1-т ± 1, , где 11,12, ...,1т- малые простые числа.

2. Сгенерировать суперсингулярную эллиптическую кривую Е0(¥р):у2 = х3 + х с числом точек #Е0(¥р) = р + 1 = 41±12 ■.. 1т.

3. Вычислить число классов N = #С1(0о),0 = Т2 — 4р, где Т — след эндоморфизма Фробениуса кривой Е0, и образующую < д >= С1(0о).

4. Определить криптографическую хэш-функцию Н: {0,1}* ^ {0,1} ^.

5. Задать параметры Б и t для базовой схемы подписи CSI-FiSh.

6. Для всех VI £V выполнить операцию изменения атрибута

с помощью операции над метаграфом

МвА' ^ скапде_иеПех_аИг{МСА, VI, {р, Е0, N, Н, Б, €}, 0Рз1дп).

7. Результат: метаграф МвА'.

(0р51дп)

Так как группа классов является циклической, то задание изогении <: Е1 ^ Е2 будет осуществляться через степень а £ 2/^2 образующей д, т.е. Е2 = [а]Ех, что эквивалентно д а * Е1 = Е2. Генерация ключей пользователя в случае линейной иерархии (последовательного формирования подписи) выполняется согласно соответствующему алгоритму в базовой схеме ОБЛЮБИ.

Алгоритм Кеуд егенерации ключей пользователей: Вход: метаграф М б4, идентификатор пользователя I. Выход: метаграф Мб А

1. Для вершины у метаграфа М б4 с атрибутом а t ¿г^ = выполнить:

1.1. Сгенерировать случайные значения а() ь и найти изогенные

кривые = а(1) Е0, где у = 1,2, .,5 — 1.

1.2. Установить для пользователя и пару открытый ключ-закрытый ключ (р ^¿,5 следующим образом: = (Е^,0 =

Еo, Еí,l, ., ^-Д ^ = (аíí), .■■, а5->1)-

1.3. Выполнить операцию изменения атрибута а t ¿г^ 19пкеу5) с помощью

операции над метаграфом Мб4 ь скап<д,е_уегг:ех_аг^г(М£4, у, (р^,5^),51,дп^еу5).

2. Результат: метаграф Мб4.

Если необходимо сгенерировать ключи для пользователей, подписывающих сообщение согласно параллельной структуре порядка, то алгоритм ^еудепр^д будет иметь следующий вид.

Алгоритм Кеуд егенерации ключей пользователей: Вход: метаграф М б4, идентификаторы пользователей Выход: метаграф Мб4. 1. Для I = 1,..., п выполнить:

кривые = а( ) Я0, где у = 1,2, .„,5 — 1.

1.2. Установить для пользователя и закрытый ключ як; = (а™.....а®1).

2. Совместно с другими пользователями к ф ¿, вычислить общий открытый ключ: рк11,71 = ([Е1=1 а(1)]Я0, ..., [Е1=1 а(^1]£'0).

3. Для каждой вершины V метаграфа М£4 с атрибутом а^г^1^ = I = 1,..., п, выполнить операцию изменения атрибута а^гг7("5Пкеу5):

М&4 ь скап<е_^гг:ех_аг^г(М£4, V, (рк1,п, як;), я^пкеуя).

4. Результат: метаграф М£4.

Так как смешанная структура порядка подписи может быть разложена на последовательную и параллельную составляющие, данные случаи будут рассмотрены отдельно. Предложенные алгоритмы реализованы в рамках программы [129] для моделирования протокола иерархической аутентификации данных на основе схемы CSI-FiSh, на которую получено свидетельство о государственной регистрации программы для ЭВМ (Приложение Б).

3.3.1 Групповая аутентификация данных при последовательной

структуре порядка подписи

Пусть и1,и2, ....,ип - участники, перечисленные в последовательности, регламентирующей очередность формирования подписи сообщения. Порядок подписи сообщения соответствует цепочке изогенных кривых-идентификаторов

¿^1(1) (2) I^П (п)

Я0 ^----> , которая вычисляется заранее путем применения

изогении 1) ^ Я^, задаваемой идеалом д^ , где ¿^ ь — идентификатор пользователя и. Таким образом, Я^ = [ I 1) (при I = 0 считается, что Я^0 ь

J

'(О

bP

Ey Eid

E0 ), а сама цепочка кривых-идентификаторов задается в виде списка LID — {( E(-),id1,pk1) ,id2,pk2), . При этом считается, что цепочка задает движение по иерархии вверх, т.е. каждый следующий пользователь имеет большие полномочия, а следовательно, несет ответственность за проверку корректности подписи, полученной от предшествующего.

Формирование подписи сообщения (алгоритм SignSER): Вход: закрытый ключ s kt, сообщение М, список LID. Выход: подпись ¿-го участника ot.

1. Для j — 1,2, ...,t выполнить:

1.1. Сгенерировать случайные значения b( 1 ) ^ .

1.2. Вычислить изогенные кривые E(l J ) =

2. Положить (с^,...,^) — H(E(i1)\\E(i,2)\\ ...^V \\ М).

3. Для j = 1,2,...,t

вычислить r(l) = Yjk=i idk +b(-> — sgn(cj^) • a(l)(i) (mod N).

\c i \

4. Частичная подпись i —го участника ot — (г£1 \ ..., rfl), c( 1 \ ..., c( 1)). Результирующая подпись сообщения М равна подписи, сформированной

последним участником цепочки, т.е. оп.

Проверка подписи (алгоритм VerifySER):

Вход: открытый ключ pkt , сообщение М , список Lid , подпись Oi — ( ) ( ) ( ) ( )

( '- ,.■■,'t ,L1 ,.--,Lt ).

Выход: решение о правильности подписи.

1. Определить Ei-k, k — 1,...,S — 1, как скрученную кривую для Eik.

2. Для — 1,2, . ,

вычислить E( 1 ,Jг) — [rf1)]Eic( i).

3. Положить ( cf \...,с'(1)) — H(E(i,1)\\E(i,2)\ \ ...WE^,^ \ \ М).

Утверждение 3.1. Протокол иерархической аутентификации при последовательной структуре порядка подписи корректен.

Доказательство. Пусть протокол выполняется честными участниками и1, и2,...., ип, каждый из которых имеет пару ключей:

Рк; = (Я;,0 = Я0,Яи, ".,Я^5_1),5к^ = (а(0, ..,а^). При формировании подписи сообщения участник и вычисляет t кривых:

Я( , ) =

^id'J = 1' ■■■'^ Каждая кривая-идентификатор связана с кривой

Е0 следующим соотношением: = [idjE^ ^ = [id¿][id¿-i]E¿(¿ 2) = — =

[ id¿][id¿-1] ... [id1]E0, следовательно выполняется:

F(¿j) = [¿СО] [¿di + — + ¿d.]Fo = [¿(0 + ¿d1 + — + ¿rf.] е0.

Подпись считается правильной, если выполняется равенство ( c'(í), ..., c'(í )) =

(с1°.....С((° )' что при условии сохранения целостности сообщения М равносильно

тому, что кривая вычисляемая на шаге 1.2 алгоритма Sign^^, совпадет с

кривой [?y(í)]E¿c( í) , вычисляемой на шаге 2 алгоритма , где 7y(í) и c;(í) -

значения, составляющие подпись i-го участника, причем rj(í) = Efc=1 ¿dfc +b(t) — 5 c;( 1 ))

• a(¿)¿) (mod W) согласно шагу 3 алгоритма формирования подписи.

Значения c(t ) принимают значения из промежутка [—t, t].

1) при c;(í ) = 0 кривая ) Я(0 = idfc +Ь;(0 £¿,0 =

[^fc=1 idfc +b;(í) Е0 = [b(i)]E¿(¿) = E(íj). Условие выполняется;

2) при с(1 ) = г,0 < г < г:, кривая т-^ Е.с(о = [Е/с=1 Мк +Ь(1-> — а^ . Так как кривая из рк^ может быть получена как = [а^ Е0, то справедливо: [1к=1 ^к +Ь(°-а?] Еиг = [Т1к=1+Ь(°-

Ео = Ек=1 Мк +Ь™ -

— а^ + а<(!'->]Е0 = [Е1к=1 Мк +Ь('>] Е0 = [Ь(р]Е(^ = Е(1,Я. Условие выполняется;

3) при с(° = —2,0<2<г, кривая [г()] Е. ^ = Кк=1 +Ь()— (—1) •

= [^1к=1^к+Ь(1->+а(1^ Е1-г . Согласно [104] кривая Е0 обладает тем свойством, что для произвольной изогенной кривой [Ь]Е0 скрученная к ней может быть вычислена как [—Ь] Е0. Так как Е1_г является скрученной для кривой а^ Е0,

то Еи-г = [—а® Е0, и тогда: ^к^^к+Ь^+а^ Еь_г = ^^¿к+Ь^+а^ —

( )

( )

а

( )

М-

а

( )

Е0 = [Ек=1 Мк +Ь(1') Е0 = [Ь(р]Е(2 = Е(1,]'\ Условие выполняется.

0 = [ь] ]е1 а

Таким образом, если каждая частичная подпись верна, то результирующая подпись, сформированная последним участником, будет корректна.

3.3.2 Групповая аутентификация данных при параллельной структуре

порядка подписи

При параллельной структуре порядка подписи подразумевается равноправность участников, при которой не имеет значения очередность формирования подписи сообщения. Как отмечается в [37, 114], для ее реализации можно использовать пороговую схему подписи. В работе [130] представлены варианты пороговой подписи, основанные на схеме разделения секрета, предложенной А. Шамиром. При ее адаптации для вычислений общей изогенной кривой последний участник будет знать весь секрет, что противоречит принципу равноправности пользователей. В исследовании [131] представлена модификация [130], обладающая свойством быстрой сборки секрета за счет выделения в группе

двух сущностей: дилера, отвечающего за передачу частичных секретов остальным пользователям, и случайного участника, генерирующего и передающего другим маскирующие значения. Однако для ее реализации необходимо введение дополнительных механизмов, позволяющих осуществлять выбор данных сущностей.

В разработанной схеме групповой аутентификации данных при параллельной структуре порядка подписи предлагается использовать протокол установления ключа [132], в рамках которого пользователи могут выработать совместные случайные кривые, генерация которых необходима для схемы CSI-FiSh. Выбор [132] обоснован следующими положениями:

- протокол относится к CSIDH-схемам;

- в результате работы все участники протокола будут полностью обладать секретной информацией, внося одинаковый вклад в генерацию общей изогенной кривой. Это, с одной стороны, согласуется с тем, что пользователи при такой структуре порядка подписи обладают равными полномочиями, но, с другой стороны, подразумевает доверие к участникам протокола.

Проблему доверия к участникам протокола решают схемы пороговой подписи Sashimi [133], CSI-RASHi [134], к главным недостаткам которых можно отнести временные издержки при практическом применении: так, для подписи сообщения с помощью Sashimi двум пользователем понадобится около 5 минут, что обусловлено использованием доказательства с нулевым разглашением. В [135] представлена модификация, за счет которой возможно распараллеливание вычислений, что позволяет ускорить время работы схемы в два раза, однако возможность ее использования при большом количестве участников все так же требует длительного времени.

Аутентификация данных при параллельной структуре порядка подписи сообщения пользователями и2,...., un, имеет следующие отличия:

- для всех пользователей u1(u2, ....,un задается общая кривая-идентификатор F^71 = [id1][id2] ... [idn]F0 , вычисляемая на основе личных

(а™.....а®1);

- для проверки результирующей подписи используется общий для всех участников и1, и2,...., ип открытый ключ

рк17 = (Я0, [2П=1 а!°]Я0.....[ЕП=1 а^] Я0).

Формирование подписи сообщения (алгоритм S¿ДОр^д) •' Вход: закрытый ключ s ^, сообщение М, список . Выход: подпись i-го участника ot.

1. Для у = 1,2,..., t:

1.1. Сгенерировать случайные значения by 1 ) ^ .

1.2. Совместно с другими пользователями вычислить общие изогенные кривые Е(^-) = [^n=1 ЁЩ согласно [132].

2. Положить (с®,...,^0) = Я(Е(*Д)ПЕ(*,2)|| ...ЦЕ^ || М).

3. Для 7 = 1,2,..., t:

вычислить r-(i ) = idj + b(t) — s,gn(cy) • a(i)(0 (mod N) . Выполнить

|C7 1

( )

широковещательную рассылку ) другим участникам к ф ¿.

4. Результат: подпись участника и равна а = (г^ ), ..., гс(1), с( ),..., с(1)). Результирующая подпись сообщения М равна:

а1т;гг = (£¿=1 г1(), . ,£¿=1 ^), с1, .■■, ссХ где ( съ ..., сс) = ( с^,..., с^ )) V I = 1,...,п.

Проверка подписи осуществляется согласно алгоритму , где для

ключа проверки используется общий ключ группы рк1,п.

Доказательство. Пусть протокол выполняется честными участниками

щ,и2,.... ,ип, каждый из которых имеет закрытый ключ skl = (a(^, — ,a<s-i) и общий открытый ключ pki = ( E0, El1, —, Els-1) = рк1,п.

При формировании подписи сообщения пользователями и1,и2,.... ,ип на

шаге 1 совместно вычисляется t случайных кривых Е(1,Я = [ХП=1^(1) E1^, j =

1,..., t, таким образом значения (с(1\ ...,с(1^) = ••• = (с(п\ ..,с(п')) при условии корректности вычислений будут совпадать у всех пользователей. При этом значения гР у каждого пользователя будут различны, и в таком случае подпись

aT/ñ = (Еп=1г11'>, ■■ ,Т,1п=1г^1) ,°1, —,ct) будет считаться правильной, если будет выполняться условие:

Е(1,» = №=1Г^]Еис. J = 1.....t.

Значение Yi^rf) = ^1п=1(idl + b^1 — sgn(cf) • зависит от с*-1 Е [—t, t].

Т?1,п _

Eld =

При с/ } = 0 кривая [Т1=1г()]Е.с^} = [Т1=1(1а1 + Ь^)]Е100 = \^71=1Ь^) Е(1'^ , следовательно, условие выполняется. При с() = г,0 < г < t , кривая [Е1=1?}() Еи(Г) = [^¿^(¿^ + Ь^ — а^^Е^. Так как кривая из рк^ может

быть получена как = [Е?=1 а^ Е0 , то справедливо: [Е?^^ + —

a?)] Ei,z = [lí=1 idk +bf— af] [^=1 a?] E0 = [Щ^М + b®)] E0 =

[Yi^-í bj1] E= E(l,i>). Аналогичные утверждения справедливы для случая cj1^ = —z,0 <z< t.

Пусть и1, ...,ип - пользователи, участвующие в формировании подписи сообщения. Каждый пользователь и ассоциируется с вершиной v¿. Метапуть М Р, определенный на множестве V , задает последовательно-параллельный граф ^стасс, для обозначения фрагментов которого можно использовать следующее определение [122]:

- 5ЯР[и^,и^+1, означает последовательную структуру порядка подписи, при которой

£ МР(^}, ^¿+с}), ¿п^т^ех(е^) = т^г:ех(ес) V ои^ет^ех^) =

- - параллельная структура порядка подписи, существование которой на метапути МР({ v¿, ., v¿+t}, {v¿+t+1}) соответствует условиям:

£ МР(^,..., v¿+t},{v¿+t+l}): ои^еПех(^) = ои^еПех(ес); в случае метапути МР({v¿-1}, {v¿,., v¿+t}) соответствующее условие задается следующим образом:

£ МР^;^}, ..., v¿+t}): = т^г:ех(ес).

Задание связи между пользователями осуществляется на основе изогенных кривых-идентификаторов. При этом пользователи, выполняющие формирование подписи в параллельном порядке, генерируют общую кривую совместно, в то время как при последовательном порядке каждый участник использует свою кривую. Таким образом, при смешанной структуре участники из РЛР[и;, рассматриваются как единая группа, которой соответствует общий открытый ключ, что позволяет свести всю структуру к последовательной.

В таблице 12 представлено описание и обозначение атрибутов элементов метаграфа.

Элемент метаграфа Атрибут Обозначение

Вершина v, ассоциированная с пользователем и 1. Идентификатор пользователя. 2. Список, содержащий кривые-идентификаторы и ассоциированных с ними пользователей, открытые ключи. 3. Параметры протокола групповой аутентификации. 4. Ключи для подписи и проверки сообщения. 1. аШ^" = 3. а^г^5^ = {р, Я0, М, Я, 5,:}. 4. а^^Мр^и.

Ребро е £ МР(Х, 7) из метапути, задающего порядок подписи сообщения 1. Сообщение. 2. Частичная подпись узла-исходящей вершины для сообщения. 1. а«ге(тэд) = М. 2. аШ^паШге) = а.

Алгоритм Кеуд еп( М£Д МР(Х, 7)) генерации ключей: Вход: метаграф М метапуть М Р(Х, 7). Выход: ключи 5 Л^.) пользователей и.

1. На основе МР(Х, 7) сгенерировать граф , задающий структуру порядка подписи.

2. Вычислить цепочку кривых-идентификаторов Я0 ^ Я^1 ^ Я^2 ^ ••• , путем генерации изогенных кривых Я^ = [ I 1) на основе идентификаторов

пользователей (при I = 0 считается, что Я^0 = Я0). Если кривой-идентификатору соответствует несколько пользователей (в случае, когда в структуре порядка есть РЛД[и(1),и(2) ...,и(с)] с ), то полагается: ¿^ ^ + —+ ^ир) , где

Я(й 1) — кривая, ассоциированная с пользователем (или другими пользователями),

предшествующим РЛД[и(1),и(2) ...,и(с)] с . Сформировать список =

{( Я^, Ю^, Р^гы;)} , сопоставляющий каждой кривой-идентификатору Я^ пользователей, ассоциированных с ней.

3. Для каждого элемента(Я(^), Р^^) £ выполнить: 3.1. Если # = 1, то:

(рки, Бку) пользователя и с Е Ю^.

3.1.2. Для вершины V метаграфа МвА с атрибутом ааг(<1) = ¿йи выполнить операцию изменения атрибута а t 19пк : МвА ^ скапде_ие^ех_аИг(МСА, V, (рки, Бки), БЬдпкеуБ) и добавить в атрибут I t следующую информацию: МвА ^ а((1_ие^ех_аИг(МСА, V, Ь1В, ИбМ).

3.2. Если #ю(рз1 > 1, то:

3.2.1. Запустить алгоритм КеудепРАК для генерации ключей

(рки(1),Б ки(1) )..... (рки ки(и)) пользователей с

^и(1),-Л(и(н) Е Ю^.

3.2.2. Для каждой вершины V метаграфа МвА с атрибутом ааг(<1) =

Ш ю,к = 1, выполнить операцию изменения атрибута

и1

.. (БЬапкеуБ) аНГу .

МвА ^ скапде_ие^ех_аИг(МСА^, (рки(к), Бк^к)), БЬдпкеуБ)

и добавить в атрибут ( следующую информацию: МвА ^ а((_иег1ех_аИг(МСА, V, Ь1В, ИбМ). 4. Результат: метаграф МвА.

Алгоритм 5 1дп(МвА, Ь1П, М) подписи сообщения: Вход: метаграф МвА, список , сообщение М. Выход: подпись о.

1. Для каждого элемента (ЕРК(^) Е Ь1П выполнить:

1.1. Запустить алгоритм VerifуSЕR для проверки подписи о^-1 =

(г(1-1).....Г((1-1), с(1-1).....с(1-1)) , сформированной предыдущим

участником (участниками). Если 1 = 1, то данный шаг пропускается.

1.3. Если #/Б(5)с > 1 , то для пользователей ¿й (1),...,1й (ю £ Ю^

запустить алгоритм 5 ¿дпр^я формирования частичной подписи а

сообщения М ^ М||Я(^+1).

1.4. Для v': аКг^ £ Ю^ Л а«г(М) £ Л Зе = (v, v', а«ге)

выполнить операции над метаграфом:

^ е, М, тяд);

^ скап<де_ей<де_а^г(М^Л, е, а^, я^па^ге). 2. Результат: подпись а = аг, сформированная пользователем

(г)

(пользователями) и с £ где г = .

Алгоритм проверки подписи Vег ¿/у( М, а)

Вход: сообщение М, список = {( Я^, /Б^, Р^^)}, подпись а.

Выход: решение о правильности подписи.

1. Положить: М^МЦЯ^Ц ...ЦЯ^, где г = , Я® £ .

2. Запустить алгоритм V е г ¿/у^р для проверки подписи а, указав в качестве

(г)

ключа проверки £ . Если условие проверки выполнилось, вернуть:

подпись правильная. Иначе: подпись неверна.

Длина коллективной подписи равна длине подписи ОБЛЮБИ и зависит от выбора параметра 5 . Чем больше значение 5, тем меньше размер подписи (например, при 5 = 2 длина подписи равна 1880 байт, при 5 = 215 - 263 байта) и больше длина открытого ключа (т.е. требуется больше времени на его генерацию). Кроме того, от параметра 5 зависит скорость работы алгоритмов генерации ключей, формирования и проверки подписи: чем значение 5 больше, тем быстрее осуществляется подпись и ее проверка.

Существуют оптимизации [104, 135], позволяющие уменьшить размер подписи CSI-FiSh путем увеличения длины открытого ключа пользователей, однако это приводит и к изменению размера закрытого ключа: если при исходном варианте он фиксирован и равен 16 байтам, то в оптимизированном варианте он может возрастать до нескольких мегабайт, в то время как длина открытого ключа будет равна 32 байтам. В таком варианте схема CSI-FiSh, с точки зрения общего размера открытого ключа и подписи, является лидирующей по сравнению с другими посктвантовыми схемами, предложенными в рамках конкурса NIST, однако уступает им по быстродействию.

Совместно с другими исследователями автором были предложены алгоритмы протокола иерархической аутентификации данных на изогениях, построенные на основе SIDH-схем. В частности, для подписи сообщения в последовательном порядке возможно использование алгоритмов, представленных в [136], а при параллельной структуре порядка подписи -пороговой подписи [137].

Подход к групповой аутентификации может быть распространен на другие постквантовые задачи, предусматривающие иерархию в математической структуре, например, на задачи теории решеток [26, 138, 139]. При этом, схемы на решетках зарекомендовали себя как одни из самых быстрых среди постквантовых [139, 141]. В [141] представлен протокол групповой аутентификации данных на основе механизма делегирования базиса решетки, поддерживающий последовательную структуру порядка подписи. Данная работа была выполнена совместно с Александровой Е.Б. и Федичевым А.В., где автору диссертации принадлежит идея использования механизма делегирования базиса решетки для организации иерархической групповой аутентификации данных.

3.4 Анализ безопасности

Утверждение 3.3. Протокол групповой аутентификации данных обеспечивает защиту от атак, связанных с:

1) вскрытием личного закрытого ключа пользователя;

2) внедрением в структуру порядка формирования подписи нарушителя, не являющегося членом группы;

3) изменением порядка подписи сообщения;

4) сговором участников для изменения порядка подписи;

5) подделкой сообщения,

при соблюдении следующих условий:

а) гарантирована целостность цепочки кривых-идентификаторов, определяющих порядок формирования подписи;

6) в процессе формирования подписи есть хотя бы один честный участник. Доказательство.

Сценарий 1: вскрытие личного закрытого ключа пользователя. Пусть нарушитель, имея доступ к ограниченной версии метаграфа , включающей

в себя атрибуты вершин с общедоступной информацией, т.е. открытые параметры схемы подписи {р, Я0,М, Я, 5, ¿}, открытые ключи участников протокола р^ ,

список , содержащий цепочку кривых-идентификаторов Я^0 ^ ••• ^ Я^ , пытается восстановить закрытый ключ 5 ^ пользователя и. В этом случае взлом

личного закрытого ключа пользователя сводится к задаче вычисления секретных

а( )

изогений (т.е. к нахождению идеалов д } ,] = 1, .,5 — 1) по известным кривым

Я; у из открытого ключа и кривой-идентификатору 1). В алгоритме

общий ключ пользователей генерируется совместно, а соответствующий ему

закрытый ключ представляет собой композицию изогений (или произведение

( ) ( )

идеалов П1=19 а1 ,•••, П1=19 а5-1). Зная кривые, которые участники пересылают друг другу в процессе генерации общего ключа, восстановление секретной изогении также сводится решению задачи поиска изогении, имеющей субэкоспоненциальную сложность для квантовой модели нарушителя.

Сценарий 2: внедрение в структуру порядка формирования подписи нарушителя, не являющегося членом группы. Пусть нарушитель, имея доступ к ограниченной версии метаграфа М , включающей в себя атрибуты вершин с

общедоступной информацией, метапуть, определяющий порядок формирования подписи, а также частичную подпись предыдущего участника <?l-1, хочет встроить свою подпись, прежде чем отослать ее следующему пользователю ul. Так как порядок формирования подписи определяется заранее задаваемым списком LID, содержащим кривые-идентификаторы и соответствующие им открытые ключи участников, пользователь ul перед формированием своей частичной подписи обнаружит некорректность подписи, присланной нарушителем, так как ее значение было вычислено на основе ключа, отличного от того, который ассоциирован с

кривой E(ld 1. Таким образом, внедрение в структуру порядка формирования подписи нарушителя требует решения задачи поиска изогений эллиптических кривых. Внедрение нарушителя в параллельную структуру порядка подписи также может быть обнаружено, поскольку открытый ключ группы заранее известен, а

результирующая подпись будет соответствовать закрытому ключу (Yi=i+

(a dv) v-in (0 . (adv)s.

а^ , ■■■>L'n=ias-1 + а^-i ), в результате чего следующий участник остановит дальнейшее выполнение протокола.

Сценарий 3: изменение порядка подписи сообщения. Пусть нарушитель является легитимным пользователем с номером к, но встраивается в место под номером i. В рамках параллельной структуры PAR [ul ..., ик] подобное действие не влияет на результирующую подпись, что обусловлено самим алгоритмом формирования подписи. Нарушение последовательной структуры порядка подписи будет обнаружено участником ul+1 аналогично сценарию 2.

Сценарий 4: сговор участников для изменения порядка подписи. При нарушении иерархии и изменении порядка формирования подписи группой участников обнаружение данной ситуации будет выявлено только участником, следующим за последним нарушителем. При этом, так как нарушители ul,ul+1, ...щ+к будут последовательно формировать частичные подписи, игнорируя несоответствие фактической последовательности и цепочки, заданной в списке Lid , легитимный участник, следующий за ul+k, сможет отметить только факт нарушения в формировании подписи предыдущего участника. Однако

выполнение протокола все равно будет остановлено. Если нарушители находятся в конце цепочки, данный факт будет обнаружен проверяющим.

Сценарий 5: подделка сообщения. Пусть имеется подпись а сообщения М и нарушитель хочет подобрать документ М', соответствующий данной подписи. Поскольку при формировании подписи сообщения вычисляется хэш-значение

Я(Я(и)||Я&2)||...||Я(^) || М||Я^1)||Я(2)...ПЯ(5)), то данная атака сводится к решению задачи поиска коллизии хэш-функции.

3.5 Выводы

Таким образом, использование изогений эллиптических кривых в качестве математического аппарата позволяет:

- расширить функциональность существующих схем подписи, основанных на задаче дискретного логарифмирования;

- разрабатывать новые схемы, предположительно устойчивые к атакам на квантовом компьютере.

В результате работы была выполнена модификация схемы упорядоченной подписи, основанной на стандарте ГОСТ 34.10-2018, отличающаяся возможностью задания связи между пользователями, образующими иерархию в виде дерева. Выполнена классификация, которая позволяет описывать и сравнивать протоколы упорядоченной подписи. Разработан протокол упорядоченной подписи на основе подписи ОБЛЮБИ, позволяющий организовать иерархическую аутентификацию данных при смешанной структуре порядка подписи. Показана корректность протокола, проведен анализ безопасности, демонстрирующий возможность обнаружения факта подделки подписи, внедрения нарушителя в цепочку, изменения структуры порядка подписи.

В данной главе предложена схема СЗГОН-НКВАС [62], основанная на ролевой модели с введенной иерархией на множестве ролей и использующая криптографические преобразования для защиты информации, хранимой в недоверенном хранилище.

4.1 Криптографический контроль доступа в системах с иерархической

структурой

Криптографический контроль доступа позволяет обеспечить соблюдение политики доступа к данным путем использования криптографических алгоритмов и схем управления ключами [143, 144]. Такой подход к организации защиты информации от несанкционированного доступа может быть актуален в системах, использующих недоверенную среду для хранения и обработки данных, например, в облачных хранилищах [145].

Для решения задачи управления доступом в системах с иерархической структурой, как правило, применяются схемы управления ключами [143, 144]. Для этого задается множество БС классов безопасности с определенным на нем отношением частичного порядка. С каждым классом ассоциирована группа пользователей, осуществляющих запросы к данным. Криптографические ключи для различных групп определяются исходя из заданного распределения пользователей по непересекающимся группам и: БС = [и0,и1,... ,ип-1}. Тогда само отношение порядка и^ < Uj на множестве БС может быть интерпретировано следующим образом: пользователь из группы Uj имеет доступ к данным, предназначенным для пользователей класса и^, однако аналогичное утверждение для пользователей из класса и^ не выполняется. При этом, как показано на рисунке

- схемы управления на основе независимых ключей (independent key management, IKM-схемы), в которых ключ для каждой группы генерируется независимо, с помощью протокола установления группового ключа [146], а для доступа к данным подчиненной группы необходимо знать ее ключ (т.е. пользователи, обладающие наивысшими полномочиями, имеют ключи всех подчиненных групп);

- схемы управления с зависимыми ключами (dependent key management, DKM-схемы), в которых ключи групп связаны математическим преобразованием, позволяющим пользователю на основе своего ключа вычислить ключ подчиненной группы.

Среди первых работ в области криптографического контроля доступа можно отметить публикации [143] и [147]. В исследовании [147] предлагается архитектура защищенной файловой системы, поддерживающей дополнительный уровень защиты, построенный на основе криптографических преобразований, управляемых пользователем. Рассматриваются три случая:

- избирательный: каждый пользователь имеет доступ к определенной группе файлов; отсутствует отношение иерархии на множестве файлов и на множестве пользователей;

- иерархический: введено отношение частичного порядка на множестве файлов и/или пользователей;

- с поддержкой зависимости от данных: доступ к файлу может либо не зависеть от изменений его содержимого (независимость от данных), либо изменяться в результате модификации содержимого (с зависимостью от данных).

С. Акл и П. Тейлор [143] предложили схему управления ключами как один из подходов к организации криптографического контроля доступа с учетом введенной на множестве пользователей иерархии. В рамках предложенной схемы доверенная сущность (администратор безопасности, central authority, CA) генерирует п ключей i = 1, ...,п, и выдает каждой группе í/¿ пользователей

соответствующий ключ К, а также другие ключи К групп Uj, находящихся по иерархии ниже. Объект данных хт (индекс означает возможность доступа к данному объекту пользователей из группы ит) хранится в системе в виде пары [х',т] , где х'= ЕКт(хт) - шифртекст, полученный с помощью алгоритма шифрования на ключе Кт . Таким образом, только пользователи, владеющие ключом Кт , могут расшифровать х' . Преимуществом такого подхода является хранение только одного экземпляра шифртекста, в качестве недостатка можно указать необходимость пользователям хранить большое количество ключей.

Рисунок 14 — Модели управления ключами [143]

Для решения данной проблемы в работе [143] используется зависимость между ключами разных иерархий: ключи, которые соответствуют более высокому уровню иерархии, математически связаны с ключами из иерархии ниже так, что если между группами выполняется отношение подчиненности и^ < Uj, то ключ К может быть получен из К^, однако, зная информацию о К^, получение доступа к К невозможно. Таким образом, если на множестве групп пользователей введено отношение порядка и1 < и2 ^ ••• ^ ип, то связь между ключами можно задать следующим образом: К?-1 = f(Кn),Кп-2 = /(Кп-1), ..К = /(К), где К? -

случайное значение, / - вычислимая в одну сторону функция. К недостаткам схемы Акла и Тейлора можно отнести существенное увеличение длины хранимой общедоступной информации по мере появления новых классов/групп пользователей [143].

В дальнейшем были предложены схемы управления ключами для систем с иерархической структурой, отличающиеся используемым математическим аппаратом (эллиптические кривые [148-150], полиномы, задающие политику доступа [151, 152], билинейные отображения [153]), поддерживаемым типом иерархии (линейная [154], древовидная [155], в виде ациклического графа [152, 156]), а также трудоемкостью процедур изменения иерархии и отзыва ключей.

В более поздних работах рассматривается вопрос интеграции криптографических алгоритмов с классическими моделями контроля доступа. Подавляющее число исследований сосредоточено на ролевой и атрибутной моделях контроля доступа, подходящих для применения в крупных организациях [157]. Несмотря на то, что атрибутная модель контроля доступа позиционируется как наиболее гибкая среди известных [158], существует ряд открытых проблем (масштабируемость, сложность соответствия требованиям безопасности при увеличении количества атрибутов и др.), влияющих на скорость ее внедрения в современные крупномасштабные системы [159]. По этой причине часть исследований посвящено модификациям ролевой модели, учитывающим требования современных интеллектуальных систем [160-162]. В частности, ролевая модель допускает модификацию, поддерживающую иерархию на множестве ролей, что может быть актуально для иерархических систем. Кроме того, для такой модификации могут быть адаптированы разработанные ранее схемы управления ключами [156, 163] (например, путем сопоставления классу безопасности роли в ролевой модели контроля доступа).

В рамках исследования [164] рассматривается схема шифрования на основе ролей, использующая билинейные отображения. Для управления ключами вводится сущность - менеджер ролей, отвечающий за назначение роли пользователю, отзыв роли и генерацию ключей шифрования. Помимо схемы

шифрования авторы описывают модель администрирования, позволяющую организовать управление политиками доступа, в том числе для системы, поддерживающей иерархию ролей.

Также известны исследования, предлагающие шифрование на основе атрибутов [165, 166], гибридное шифрование и алгоритмы личностной криптографии [167-169], однако многие из них либо не поддерживают операции обновления ключей и параметров доступа, либо не адаптированы для систем с иерархической структурой. Отдельные работы [165, 170] сосредоточены на исследовании эффективности схем криптографического контроля доступа, основанных на ролевой модели применительно к реальным наборам данных, а также на формальном доказательстве их безопасности. Основная проблема, возникающая в таких схемах, связана с реализацией динамического управления доступом, в том числе с отзывом роли у пользователей и изменением полномочий, ассоциированных с ролью.

С точки зрения стойкости рассматриваемых схем криптографического контроля доступа, большинство конструкций используют предположения о сложности задач разложения числа на множители, дискретного логарифмирования, билинейной задачи Диффи-Хеллмана. Данные задачи не позволяют строить квантово-устойчивые схемы и обеспечить защиту от нарушителя, располагающего квантовой вычислительной моделью. Из постквантовых схем известны работы, основанные на решетках [171], однако они предполагают использование атрибутной модели контроля доступа.

Таким образом, при разработке схемы криптографического контроля доступа на изогениях учитывались следующие положения:

- в качестве классической модели можно использовать модификацию ролевой модели контроля доступа, допускающую иерархию ролей. При этом структура иерархии должна быть представима в виде ациклического графа как наиболее общего случая;

- в качестве криптографической схемы целесообразно выбрать гибридное шифрование с известной криптосистемой с открытым ключом на изогениях;

- взаимосвязь родительской и подчиненной роли предлагается задавать с помощью изогении.

Предложенная в соавторстве схема [2] криптографического контроля доступа представляет собой адаптацию модели Crypt-DAC [167], сочетающей гибридное шифрование с ролевой политикой контроля доступа, применительно к задаче поиска изогении эллиптических кривых. Однако схема [2] не поддерживает иерархию ролей и не является квантово-устойчивой в силу использования SIDH-схемы. Данные ограничения были доработаны в рамках схемы CSIDH-HRBAC [62]. Основное отличие CSIDH-HRBAC состоит в использовании CSIDH-схемы как наиболее перспективной среди криптосистем на изогениях и в учете отношения иерархии на множестве ролей пользователей.

4.2 Схема криптографического контроля доступа CSIDH-HRBAC на основе изогений эллиптических кривых

Формально, модель контроля доступа с иерархической системой ролей можно задать как кортеж HRR4C =< U, R,F, С, Fp^Fy^Fpp > [12, 62], включающий в себя множества:

- U - множество пользователей;

- R - множество ролей;

- Pcfx OF - множество полномочий, где F — множество файлов, OF = (read, write} — операции над файлами;

- С - множество сеансов работы пользователей с системой, а также ролевые отношения:

- FPP cpxR - отношение, задающее связь роли и соответствующих полномочий;

- Fyp с и xR - отношение, определяющее связь пользователя и роли;

Для управления доступом вводятся следующие вспомогательные функции [12, 167]:

- fuser :С ^ U, сопоставляющая сеансу некоторого пользователя;

- froies'-C^R, сопоставляющая сеансу набор ролей, доступных пользователю, осуществляющему данный сеанс, с учетом иерархически подчиненных ролей;

- fpermissi0ns : С ^ Р, сопоставляющая сеансу набор полномочий, доступных некоторому пользователю с определенной ролью (включая полномочия, ассоциированные с подчиненными ролями).

В предлагаемой схеме криптографического контроля доступа CSIDH-HRBAC используется гибридное шифрование, а также алгоритмы формирования и проверки цифровой подписи [2, 104, 167, 172], обозначенные следующим образом:

j-, sym /Г1 sym

- Епск /Deck - симметричные алгоритмы зашифрования и расшифрования данных на ключе к;

j-, pub m pub 1

- EnCçk /Dec^k - алгоритмы зашифрования данных на открытом ключе ек и расшифрования данных на закрытом ключе dк с помощью схемы Эль-Гамаля на изогениях эллиптических кривых;

- Signsk/Verifyvk - алгоритмы формирования и проверки подписи с помощью ключей s к и vк соответственно, реализуемые на базе схемы CSI-FiSh.

Для управления криптографическими ключами, ассоциированными с ролями, пользователями и объектами доступа, вводится дополнительный субъект -администратор организации (центр управления ключами). Предполагается, что все данные (файлы) загружаются в хранилище в зашифрованном в виде. Пользователи могут осуществлять загрузку данных из хранилища, а также вносить изменения в файлы согласно заданным для их роли полномочиям. Сам контроль доступа

- для пользователя и £ и ключи, необходимые для совершения операций чтения и записи в файлы, загруженные в хранилище, - это пара ( еи (5 р^-ц) соответственно;

- для роли г £ Я ключи, определяющие доступ к файлам, связанным с помощью с данной ролью г;

- для доступа к файлу / £ Е необходимо иметь соответствующий ключ симметричного алгоритма.

Для задания связи криптографических ключей субъектов ролевой политики с ключами, ассоциированными с объектами доступа, вводятся множества кортежей Ж, Ж, ЯЯ:

- кортеж £ определяет отношение : если роли г разрешена операция ор £ ОР над файлом /, то существует кортеж =

(г, (/, ор), в котором хранится симметричный ключ ^ ,

зашифрованный на открытом ключе роли г;

- кортеж £ Я^ определяет отношение : если пользователю и была

присвоена роль г, то существует кортеж г = (и, г, содержащий

закрытый ключ роли роли г, зашифрованный на открытом ключе пользователя и;

- кортеж ГГц £ ЯЯ определяет отношение : если гу — прямой потомок роли 7^, то существует кортеж гг^ = ( содержащий кривую-идентификатор Я^ роли Гу и элемент у;,у, необходимый для вычисления ключа подчиненной роли.

В метаграфовой модели из главы 2 отношение иллюстрирует

вложенность вершины в метавершину, отношение на множестве ролей определяется с помощью атрибутов метаребер, а связь роли и доступных полномочий (т.е. отношение Ррр) задается через атрибуты метавершины, как

представлено в таблице 13. Возможность доступа некоторой роли г^ к файлам, ассоциированным с подчиненной ролью ^, в общем случае, соответствует существованию простого пути БР^ту^туу), определенного на множестве метавершин.

Предлагаемая схема СЗГОН-НКБЛС криптографического контроля доступа поддерживает:

1) алгоритм инициализации параметров БеЫр(1л, МвА) , который принимает на вход параметр безопасности Л и атрибутивный метаграф МвА и для

каждой вершины у^ Е У устанавливает атрибут аИг£°Рсасс> , соответствующий открытым параметрам схемы криптографического контроля доступа;

2) алгоритм генерации ключей пользователей для чтения и записи в файлы иБегКеуСеп(МСА,и,(кг), выполняющий формирование пар ключей (еки,(ки), (бки, уки) для пользователя и;

3) алгоритм генерации ключей роли Яо1еКеуСеп(МСА,г), выполняющий формирование пары ключей ( 6ку, йку) роли , а также вычисление значений, задающих связь ключей текущей роли с ключами ролей, являющихся прямыми потомками;

4) алгоритм добавления А((Я Ие(МвА, ор, г) нового файла доступного для выполнения операции ор пользователям с ролью г;

5) алгоритм удаления Ое1е1еРИе(МСА,/,г) файла доступного пользователям с ролью ;

6) алгоритм получения доступа Яеа(АссебБ(МвА,и,г, на чтение файла / пользователем и с ролью г;

7) алгоритм получения доступа Шг I t е А с се б Б(Мв А, и, г, / )на запись в файл / пользователем и с ролью г;

8) алгоритм отзыва ЯеуокеиБег(МвА, и, г) роли г у пользователя и;

9) алгоритм отзыва ЯеуокеЯо1 е(МвА, г) ключа роли г.

Элемент метаграфа Атрибуты схемы криптографического контроля доступа

Атрибут Обозначение

Метавершина шр, соответствующая роли 1. Идентификатор роли. 2. Ключи роли. 3. Полномочия. 4. Кортежи из ЕК, связывающие ключ роли и полномочия. 1. attT'^m^ — (Яг , i d^). 2. attTmr — (^fcr, dfcr). 2 ^ (permissions) _ 4. att^ — сР^гЬ( .....^eTfeJ).

Вершина р, ассоциированная с пользователем и 1. Параметры схемы криптографического контроля доступа. 2. Ключ для чтения файлов. 3. Ключ для записи в файлы. 4. Кортежи из ЯК, связывающие ключи пользователя и роли. 1. attrv(0Pcac) — (p, {/¿}, £Q, ^pub, ^si^in, £td, proies, 5, t, Я} 2. attrv — (^^u, d^u). 3. attrv(wmefceys) — (sfcu, ^fcj. 4. attrv(R^) —

Метаребро ш е от метавершины шр; (роль Г;) к метавершине шру (роль Ту) 1. Атрибут, определяющий отношение подчиненности ту ^ ц между метавершинами (ролями). 2. Кортежи из ЯЯ, связывающие ключ роли-родителя и роли-прямого потомка. 1. attri?ered) — true. 2. attr™ — (idr;-,yij), где — dfer.®H (y (^ri (^))), Я— хэш-функция, <pr. — секретная изогения родительской роли rj из кривой-идентификатора роли ту, у(£) -у-инвариант кривой Я.

Алгоритм 5е ¿ир(1я, МбЛ) генерации параметров: Вход: параметр безопасности Я, метаграф МбА Выход: метаграф Мб А

1. В соответствии с выбранным параметром Я сгенерировать характеристику поля р = 4 / ... /т ± 1, где / /2, ..., /п - малые простые числа.

2. Задать суперсингулярную эллиптическую кривую Я0( Гр):у2 = х3 + х с числом точек #Яо( Рр) = р +1 = 4/^2.^.

3. Вычислить число классов N = #С1(0о),й = Т2 — 4р, где Т — след эндоморфизма Фробениуса кривой Е0, и образующую < д >= С1(0о).

4. Сгенерировать случайные изогении из кривой Е0 в кривые, использующиеся для шифрования и подписи, а также для задания идентификаторов роли:

4.1. Задать изогению <рриЬ: Е0 ^ ЕриЬ, ЕриЬ = [ариЬ]Е0, где ариЬ ^ Жы-случайное значение.

4.2. Вычислить изогению р51дп: Е0 ^ Е51дп , Е51дп = [а31дп]Е0 , где а51дп — случайное значение.

4.3. Определить изогению рго1еБ\Е0 ^ Его1еБ, Его1еБ = [аГО1ез]Е0 , где аГо1ез — случайное значение.

4.4. Задать изогению <рш:Е0 ^ Еш , Е1й = [аш]Е0 , где аш — случайное значение. Для каждой роли г^ Е Я вычислить кривую-идентификатор роли: р^:Е1а ^ Е\а{ , Е^ = [/(Г.]Е^ путем задания случайного значения 1йг. ^

5. Выбрать параметры Б, t для протокола цифровой подписи СБЛ^ЗИ на изогениях.

6. Определить криптографическую хэш-функцию Н.

7. Для всех у^ Е У выполнить операцию добавления атрибута аНГу°РсаС с помощью операции над метаграфом

МвА ^ а((_уеПех_аШ(МСА, уь {р, Е0, ЕриЬ, Ез1дп, Еш, Его1ез,

Б,1,Н),0Рсас).

8. Для всех ту^ Е МУ выполнить операцию добавления значения в атрибут аИг^т^ с помощью операции над метаграфом

МвА ^ а(М_уег1ех_аиг(МСА,ту1,Е^,гШ).

9. Результат: метаграф Мв А.

Выход: ключи ( ей^:.), (5^., пользователя и, метаграф МбА

1. Генерация ключей пользователя для чтения файлов. Для генерации ключей ( ей^:.) пользователя и £ и администратору необходимо выполнить следующие действия:

1.1. Сгенерировать случайное значение д. ь и вычислить секретную

изогению Ь:ЯриЬ ^ Я^, Я^ = ЫЯ^Ь.

1.2. Установить для и пару й^.) открытый ключ/закрытый ключ

следующим образом: е = = д..

2. Генерация ключей пользователей для записи в файлы выполняется согласно соответствующему алгоритму в протоколе подписи ОБЛЮБИ [104]. Для генерации ключей (5 пользователя и £ и администратору необходимо выполнить следующие действия:

2.1. Для I = 1, .,5 — 1 сгенерировать случайные значения а.^ ь и

вычислить изогенные кривые Я^ = [ а^Я5 .

2.2. Установить для и пару ключей р^.) следующим образом:

5 = ([ а-([) , а-ц = (Я.цд , .,Я-и>1^_1) .

3. Для вершины р £ К, ассоциированной с пользователем и, выполнить изменение атрибутов вершины метаграфа:

3.1. МбЛ ь айй_регг:ех_аг^г(М£Д р, геай^еуя}.

3.2. МбЛ ь айй_регг:ех_аг^г(М£Д р, шг^е^еуя}.

3.3. МбЛ ь айй_т;еПех_а«г(МбЛ,у,Япс^.ь(й^г),ЯК}.

4. Результат: метаграф МбД (е й^.),

В иерархической системе ролей пользователь с ролью ту должен иметь все полномочия подчиненных ролей гу < , т.е. знать закрытый ключ роли .

кортежей rkUkr. = (uk,rj,Enc^U^ (dkr.)) для Vrj < ^ . Однако это требует

значительного объема памяти и осложняет отзыв ключа роли, имеющей большое количество подчиненных ролей.

Для решения данной проблемы предлагается модифицировать схему управления ключами [156], используя в качестве связующей информации секретную изогению родительской роли rt из кривой-идентификатора подчиненной роли г j. Это позволит пользователям роли rt на основе своего ключа dkr. и вспомогательной информации вычислять ключ dkr. подчиненной роли п. Тогда алгоритм генерации ключей роли будет выглядеть следующим образом.

Алгоритм RolеKeyGen(MGA, г) генерации ключей роли: Вход: метаграф MGA, идентификатор роли г. Выход: ключи роли ( еkr, dkr), метаграф MGA.

1. Выбрать случайное значение gr и задать ключи роли как пару

(еkr,dkr) ^ (Er,gr), где изогения рr.Eroles ^ Er действует по правилу: Er =

?roles

[дг]Е7

2. Для метавершины т у Е М У , ассоциированной с ролью , выполнить МвА ^ а((_те1ауег1ех_аНг(МСА,ту, (екг,(кг),го1екеуз}.

3. Для каждой роли г':г' ^ г, являющейся прямым потомком роли г, выполнить следующее:

3.1. Вычислить открытое значение: у = (кГ'фН(](рг(ЕУ;^))), где](Е) — это у-инвариант кривой Е, рг — изогения, для вычислений которой необходимо знать закрытый ключ дг роли г , Е$ — кривая-идентификатор роли г', т.е. рг(Е}.?) = [д^Е^.

3.2. Для метаребра те: тр £ трег^ех (те),тр' £ оиг:рег^ех(те) (т.е. для метаребра те, соединяющего роль г с подчиненной ролью г') положить:

МбЛ ь айй_т^аей<е_аг^г(М£Д те, (¿йг„у), ЯД). 4. Результат: метаграф МбД ( е

На рисунке 15 представлен фрагмент иерархической структуры ролей системы управления умным зданием (глава 2 диссертационной работы), содержащий узлы первых трех уровней (от управляющего до компонентов, входящих в подсистему физической безопасности и подсистему жизнеобеспечения), а также группу узлов 4-го уровня, имеющую нескольких родительских ролей. На метаребрах, соединяющих метавершины, обозначены

значения атрибута а^г^^, используемого при вычислении закрытого ключа подчиненной роли.

Если узел, имеющий роль т^ , хочет получить доступ к файлам, ассоциированным с ролью г15, то для вычисления закрытого ключа он

должен выполнить цепочку вычислений:

1) на основе своего закрытого ключа (изогении <Г1) вычислить закрытый

ключ роли 72: й £Г2 = У1,2 © Я (у (<Г1Ю));

2) на основе полученного значения (т.е. изогении <) вычислить

закрытый ключ роли г4: = у24 © Я (у (<г2(Я^)));

тогда закрытый ключ роли: = у415 © Я (у (<г4(Я^5))).

Аналогичным образом доступ к файлам, ассоциированным с ролью г15 , можно получить через роли г3 и г9.

Алгоритм добавления AddFUe(MGA,f,op,r) нового файла/, доступного пользователям с ролью г для совершения операций op, подразумевает выполнение следующих действий:

1) генерацию ключа kf, используемого для шифрования файла, согласно требованиям, заданным для выбранного симметричного алгоритма шифрования

j-, sym /Г1 sym

данных Еп ск / D еск ;

2) добавление информации о новом файле и назначенных полномочиях

г г \ г- л l. (Рermissions)

(f, op) в атрибут метавершины attr.mv , ассоциированной с ролью г;

3) добавление значения Encpk^(kf) в атрибут метавершины , ассоциированной с ролью г.

Удаление файла DеIеtеFiIе(MGA,f,r) файла/, доступного пользователям с ролью г , сводится к удалению значений, связанных с файлом f, из атрибутов

,, (рermissions) (FK)

attrmVv , attrmv метавершины, ассоциированной с ролью г.

Получение доступа на чтение файла / пользователем и с ролью г (процедура Де айЛ ссебМ£Л, и, г, f)):

Если пользователь и с ролью ту хочет получить доступ к файлу f, ему необходимо выполнить следующие действия:

1. На основе атрибутов а^г^^ = ЯпсрЦ^(й&:г.) и а^г^7-60^6^ = ( е вершины V £ К , соответствующей пользователю и , вычислить закрытый ключ своей роли: й ь Бе

ОТ- / -Т ^ (Р 0П5)