Разработка и исследование алгоритмов анализа стойкости блочных шифров методом дифференциального криптоанализа тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Ищукова, Евгения Александровна

Актуальность. Ключевой задачей криптографии является создание стойких алгоритмов шифрования. Любой конструируемый алгоритм подвергается тщательному анализу с целью выявления его слабых мест и возможности взлома. Алгоритм является относительно стойким до тех пор, пока не будут обнаружены методы и пути его анализа, позволяющие получить секретный ключ шифрования значительно быстрее, чем это можно сделать с использованием метода «грубого перебора» [1].

В начале 90-х годов прошлого века в криптоанализе был сделан большой скачок развития, благодаря работам Э. Бихама (Е. Biham) и А. Шамира (A. Shamir) [2, 3]. Это связано в первую очередь с тем, что появилась необходимость создания криптографических алгоритмов, отвечающих ряду критериев, таких как стойкость, стоимость, гибкость, программная и аппаратная реализуемость. Первые работы были посвящены дифференциальному криптоанализу (ДК) наиболее стойких и используемых на тот момент алгоритмов шифрования, таких как DES (Data Encryption Standard) и IDEA (International Data Encryption Algorithm). Однако, в связи с тем, что DES в то время являлся действующим стандартом шифрования, в печати появлялись лишь тезисы, содержащие сведения о том, что учеными разработан новый метод анализа алгоритмов блочного шифрования (АБШ), краткие сведения о нем, и результат работы данного метода, позволяющий сократить сложность анализа алгоритма шифрования DES с 256, что соответствует методу полного перебора до 2 [4]. После этого стали появляться публикации, посвященные анализу других АБШ. При их рассмотрении стало ясно, что не существует единого алгоритма. Есть общий принцип, заключающийся в прослеживании несхожести двух текстов при их прохождении через раунды шифрования. Но то, как это должно быть сделано, зависит от структуры анализируемого алгоритма, составляющих его криптографических примитивов и используемого числа раундов.

Изучение источников информации и публикаций, посвященных анализу алгоритмов блочного шифрования (АБШ) показало, что в настоящий момент существует два основных, можно даже сказать эталонных, метода анализа АБШ. Это методы дифференциального и линейного криптоанализа. Если алгоритм выдерживает атаку с использованием этих двух методов, то он считается стойким и без опаски может быть использован при передаче конфиденциальных данных.

Однако, несмотря на огромную значимость вышеуказанных методов, они все еще сравнительно мало изучены. Их применение к анализу алгоритмов разнится и зависит от структуры АБШ, а именно: от используемых криптографических примитивов и числа раундов. Поэтому актуальным является вопрос исследования и систематизации основных аспектов применения методов криптоанализа АБШ.

Кроме того, как уже отмечалось выше, эффективность использования того или иного метода анализа напрямую зависит от скорости определения секретного ключа. Поэтому не менее актуальным является вопрос разработки высокопроизводительных алгоритмов анализа на основе используемого метода. Одним из методов повышения производительности при анализе АБШ является использование распределенных многопроцессорных вычислений (РМВ). Из-за специфики алгоритмов нельзя разработать универсальный скоростной алгоритм анализа, поэтому целесообразно начинать исследование с тех АБШ, которые в настоящий момент широко используются. К ним в первую очередь относятся государственные стандарты шифрования - это два стандарта шифрования США AES и отечественный стандарт ГОСТ 28147-89. Кроме того, сюда можно отнести бывший стандарт шифрования данных США - DES. Несмотря на то, что алгоритм шифрования DES не используется как государственный стандарт, а рекомендован только для коммерческих целей, с его помощью можно конструировать комбинированные алгоритмы. Поэтому рассматриваемые методы анализа для него актуальны.

Таким образом, исследования, ставящие целью изучение метода дифференциального криптоанализа на примере алгоритмов шифрования DES, ГОСТ 28147-89 и AES (под алгоритмом шифрования AES понимается АБШ Rijndael, лежащий в основе стандарта AES) и разработка на их основе алгоритмов анализа, в том числе с использованием РМВ, являются актуальными и представляют научный и практический интерес.

Цель работы заключается в разработке последовательных и параллельных алгоритмов анализа стойкости блочных шифров методом дифференциального криптоанализа (ДК) и выявление особенностей реализации его основных этапов.

Для достижения поставленной цели решаются следующие основные задачи: выявление особенностей применения метода дифференциального криптоанализа к анализу блочных шифров на примере алгоритмов DES, AES и ГОСТ 28147-89; разработка последовательных и параллельных алгоритмов проведения дифференциального криптоанализа АБШ DES, AES и ГОСТ 28147-89; разработка последовательных и параллельных алгоритмов поиска дифференциалов, обладающих максимальной вероятностью, для проведения ДК алгоритма ГОСТ 28147-89; исследование зависимости быстродействия разработанных алгоритмов от используемого числа процессоров и исходных данных анализа для алгоритмов DES и ГОСТ 28147-89; Объект исследования. Объектом исследования являются: особенности использования дифференциального криптоанализа при оценке стойкости АБШ; - зависимость времени анализа блочных шифров от числа процессоров при использовании РМВ.

Методы исследования основаны на использовании теории вероятностей, теории конечных полей, теории множеств, теории кодирования информации, а также на современных методологиях построения 8 программных комплексов и систем. При разработке алгоритмов анализа в качестве инструментальных средств учитывались особенности применения стандарта передачи данных MPI (Message Passing Interface).

Научная новизна полученных в диссертации основных результатов заключается в следующем.

1. Исследованы дифференциальные свойства основных криптографических примитивов, входящих в состав современных алгоритмов блочного шифрования, получены численные результаты анализа таблиц замены и правила определения вероятности дифференциала для операции целочисленного сложения по модулю 2", которые являются неотъемлемой частью проведения ДК АБШ.

2. Разработаны алгоритмы поиска правильных пар текстов по заданному дифференциалу для алгоритмов шифрования DES, AES и ГОСТ 2814789.

3. На основе метода дифференциального криптоанализа, предложенного Э. Бихамом и А. Шамиром, разработаны последовательные и параллельные алгоритмы для проведения анализа n-раундового (п<16) алгоритма DES.

4. Разработан рекурсивный алгоритм поиска дифференциалов, обладающих максимальной вероятностью, для алгоритма шифрования ГОСТ 28147-89, учитывающего различные варианты заполнения для блоков замены, для отбора правильных пар текстов при дальнейшем анализе.

5. Разработан параллельный алгоритм поиска наиболее вероятных дифференциалов для алгоритма ГОСТ 28147-89 (по пункту 4) с учетом статического и динамического распределения данных и межпроцессорных взаимодействий при выявлении дифференциала с максимальной вероятностью.

6. Разработан параллельный алгоритм проведения ДК алгоритма AES с учетом межпроцессорного распределения данных и взаимодействия процессов при нахождении ключа шифрования.

7. Результаты экспериментов, подтверждающие пункты 1 - 5. В частности:

7.1. Проведен анализ 6 раундов алгоритма DES с использованием наиболее вероятных значений дифференциалов. Показано, что на 2-процессорной системе с частотой процессоров 1,41 ГГц время анализа в среднем составляет 7,5 минут, на 16-процессорной - 56 секунд.

7.2. Проведен полный анализ диапазона входных разностей для алгоритма DES, состоящего из 8, 10, 12, 14 и 16 раундов на ш-процессорном кластере (ш<16) с использованием разработанной методики. Показано, что при увеличении числа процессоров наблюдается практически линейный рост ускорения времени анализа. Кроме того, показано, что процент текстов, полностью соответствующих схеме преобразования заданного дифференциала, от общего числа найденных правильных пар текстов, лежит в диапазоне от 80% до 100%, что гарантирует успех анализа.

7.3. Проведен анализ 16-раундового алгоритма DES с использованием 16-процессорного кластера (частота 1,41 ГГц). Показано, что время работы программы составило 24 часа 13 минут.

7.5. Проведены тестовые испытания анализа алгоритма шифрования ГОСТ 28147-89 для различных сочетаний следующих параметров: числа раундов шифрования, начального значения пороговой вероятности, количества процессоров, способа распределения данных. Показано, что при задании ненулевого значения пороговой вероятности, скорость вычислений в среднем возрастает в 1,285 раз. Показано, что при использовании 16 процессоров для анализа со статическим распределением данных время вычислений сокращается в 2,88 раза, а с динамическим - в 4,4 раза по сравнению с такими же расчетами на двухпроцессорной системе. Показано, что для алгоритма с динамическим распределением данных до 8 процессоров наблюдается линейный рост ускорения.

Практическая значимость.

1. Проведен предварительный анализ алгоритмов DES, AES и ГОСТ 28147-89, результаты которого систематизированы в виде таблиц и основных положений. Это позволяет использовать полученные результаты в дальнейшем для непосредственного анализа зашифрованных данных без проведения подготовительных работ.

2. Разработаны и реализованы алгоритмы, предназначенные для анализа данных, зашифрованных с помощью алгоритмов DES, AES и ГОСТ 28147-89. Разработанные алгоритмы позволяют при определенных условиях выявлять секретный ключ шифрования, что необходимо для оценки их стойкости.

3. Ценность разработки подтверждает использование комплекса лабораторных работ, разработанных на основе предложенных алгоритмов, в учебном процессе кафедры Безопасности Информационных Технологий Таганрогского Технологического Института Южного Федерального Университета (ТТИ ЮФУ), как базовое средство обучения по курсу «Криптографические методы и средства обеспечения информационной безопасности».

Основные положения, выносимые на защиту. На защиту выносятся:

1. Выявленные дифференциальные свойства основных криптографических примитивов, входящих в состав современных алгоритмов блочного шифрования, необходимы для проведения анализа n-раундовых алгоритмов шифрования (п определяется числом раундов рассматриваемого алгоритма).

2. Разработанный алгоритм поиска правильных пар текстов по заданному дифференциалу для алгоритма шифрования DES дает результат с вероятностью от 0,8 до 1, что гарантирует успех дальнейшего анализа.

3. Разработанный параллельный алгоритм для проведения анализа п-раундового (п<16) алгоритма DES при увеличении числа процессоров обеспечивает линейный рост ускорения.

4. Разработанный алгоритм анализа АБШ ГОСТ 28147-89 позволяет проводить его с различными значениями Б-блоков замены.

5. Разработанный параллельный алгоритм поиска наиболее вероятных дифференциалов для алгоритма ГОСТ 28147-89 в среднем имеет быстродействие 1,285 при задании ненулевого значения пороговой вероятности.

6. Разработанный параллельный алгоритм поиска наиболее вероятных дифференциалов для алгоритма ГОСТ 28147-89 с использованием динамического распределения данных обеспечивает линейный рост ускорения при увеличении числа процессоров до 8. Использование результатов работы. Результаты, полученные в ходе работы над диссертацией, используются:

1. В гранте РФФИ 06-07-89010-а «Разработка методов и моделей биометрических криптосистем на основе голосового пароля»

2. В гранте РФФИ 04-07-90137-в «Исследование и разработка моделей, методов и средств обнаружения атак»

3. В учебном процессе в Технологическом Институте Южного Федерального Университета в г. Таганроге (ТТИ ЮФУ) на кафедре Безопасности Информационных Технологий в дисциплине «Криптографические методы и средства обеспечения информационной безопасности».

Использование результатов диссертационной работы подтверждено актами об использовании.

Достоверность полученных результатов подтверждается строгостью математических выкладок, корректностью используемого математического аппарата, разработкой действующих программ и результатами экспериментов.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, докладывались и обсуждались:

1. На международной научно-практической конференции «Информационная безопасность» (ТРТУ (ТТИ ЮФУ), г. Таганрог, 2003-2007).

2. На международной научно-практической конференции и Российской научной школе молодых ученых и специалистов "Системные проблемы качества, математического моделирования, информационных и электронных технологий", 1-12 октября 2003 г., г. Сочи

3. На всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» (ТРТУ, г.Таганрог, 2005,2006).

4. На всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы» (МИФИ, г. Москва, 20032004).

5. На 3-ей Международной конференции «Информационные системы и технологии» (IST'2006), Минск.

Публикации. Результаты, полученные в работе, нашли отражение в 20 печатных работах, среди них 8 тезисов, 7 статей, 3 лабораторных практикума, 1 методическое пособие и 1 учебное пособие, рекомендованное УМО вузов РФ. Кроме того, имеется 2 свидетельства об официальной регистрации программ для ЭВМ (№2003611519 и №2003611520).

Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 71 наименование, двух приложений. Основной текст диссертации изложен на 173 страницах, включая 43 рисунка и 30 таблиц.

Основные результаты работы опубликованы в виде статей и тезисов докладов [57, 58, 60, 63, 64, 67, 68, 70, 71], а также в виде учебного пособия [13].

Работа выполнялась при поддержке Российского фонда фундаментальных исследований: гранты №06-07-89010-а «Разработка методов и моделей биометрических криптосистем на основе голосового пароля» и №04-07-90137-в «Исследование и разработка моделей, методов и средств обнаружения атак»

Заключение

В работе исследованы криптографические примитивы, входящие в состав большинства алгоритмов блочного шифрования. Представлены разработанные последовательные и параллельные алгоритмы применения метода дифференциального криптоанализа к анализу стандартов шифрования DES, AES и ГОСТ 28147-89.

Часть алгоритмов реализована в виде отдельных программных модулей и может быть использована для различных конфигураций алгоритмов DES и ГОСТ 28147-89 как на однопроцессорных, так и на многопроцессорных вычислительных системах.

Для осуществления распределенных вычислений был использован пакет прикладных программ MPICH 1.2.5, реализованный на основе стандарта «Интерфейса передачи сообщений» (Message Passing Interface).

Основные теоретические и практические результаты, полученные к ходе работы над диссертацией, заключаются в следующем:

1. Выявлены дифференциальные свойства следующих криптографических примитивов АБШ: различных вариаций блоков замены, целочисленного сложения по модулю 232, побайтного преобразования столбцов

2. Разработаны и реализованы алгоритмы поиска правильных пар текстов по заданному дифференциалу для n-раундовых (п определяется числом раундов алгоритма) шифров DES, AES и ГОСТ 28147-89.

3. Разработаны и реализованы алгоритмы поиска секретного ключа на основе найденных правильных пар текстов для n-раундовых (п определяется числом раундов алгоритма) шифров DES и ГОСТ 28147-89.

4. Разработаны и реализованы алгоритмы распределения данных для проведения анализа n-раундового (п<16) алгоритма DES с помощью РМВ.

5. Предложен способ снижения числа анализируемых текстов алгоритма шифрования DES для уменьшения общего времени анализа.

6. Экспериментально показано, что для алгоритма DES с помощью РМВ наблюдается практически линейный рост ускорения времени анализа при увеличении числа используемых процессоров.

7. Для алгоритма шифрования DES показано влияние на скорость вычислений таких параметров, как число используемых процессоров и число раундов шифрования.

8. Разработан рекурсивный алгоритм поиска наиболее вероятных дифференциалов для алгоритма шифрования ГОСТ 28147-89, учитывающего различные варианты заполнения блоков замены.

9. Разработан и реализован параллельный алгоритм поиска наиболее вероятных дифференциалов для алгоритма шифрования ГОСТ 28147-89, учитывающего различные варианты заполнения блоков замены с учетом статического и динамического распределения данных и межпроцессорных взаимодействий при выявлении дифференциала, обладающего максимальной вероятностью.

10. Для алгоритма шифрования ГОСТ 28147-89 показано влияние на скорость вычислений таких параметров, как: число процессоров, число раундов шифрования, способ распределения данных, начальное значение пороговой вероятности.

И. Разработан параллельный алгоритм проведения ДК алгоритма AES с учетом межпроцессорного распределения данных и взаимодействия процессов при нахождении ключа шифрования.

1. Бабенко J1.K., Методическое пособие: Ведение в специальность «Организация и технология защиты информации» Таганрог: ТРТУ, 1999, №2800

2. Е. Biham, A. Shamir: "Differential Cryptanalysis of the Full 16-round DES", Crypto'92, Springer-Velgar, 1998, p.487

3. E. Biham, A. Shamir: "Differential Cryptanalysis of DES-like Cryptosystems", Extended Abstract, Crypto'90, Springer-Velgar, 1998, p.2

4. Шнайер Б., Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Издательство ТРИУМФ, 2002.

5. Бабенко JI.K. Мишустина (Ищукова) Е.А. Программа для проведения лабораторной работы по дифференциальному криптоанализу -Свидетельство об официальной регистрации программ для ЭВМ №2003611519.- М.: Роспатент,- 25.06.03г.

6. Бабенко JI.K. Мишустина (Ищукова) Е.А. Программа для проведения лабораторной работы по линейному криптоанализу -Свидетельство об официальной регистрации программ для ЭВМ №2003611520.- М.: Роспатент,- 25.06.03г.

7. Бабенко JI.K. Мишустина (Ищукова) Е.А. Методическое пособие по изучению современных методов криптоанализа Таганрог: ТРТУ, 2003.

8. Бабенко JI.K. Мишустина (Ищукова) Е.А. Разработка комплекса лабораторно-практических работ по изучению современных методов криптоанализа Известия ТРТУ. Тематический выпуск. Материалы V

9. Международной научной конференции «Информационная безопасность», Таганрог: Изд-во ТРТУ, 2003, №4 (33), с.280-282

10. Бабенко JI.K. Ищукова Е.А. Лабораторный практикум. Изучение методов линейного и дифференциального криптоанализа блочных шифров, построенных по принципу сети SPN Таганрог: ТРТУ, 2004. №3667

11. Столлингс В., Криптография и защита сетей: принципы и практика, 2-е изд.: Пер. с англ. М,: Издательский дом «Вильяме», 2001.

12. Грушо A.A., Тимонина Е.Е., Применко Э.А., Анализ и синтез криптоалгоритмов. Курс лекций. Йошкар-Ола, издательство МФ МОСУ, 2000.

13. Бабенко JI.K. Ищукова Е.А. Современные алгоритмы блочного шифрования и методы их анализа Москва, «Гелиос АРВ», 2006 г.

14. М. Matsui: "Linear Cryptanalysis Method for DES Cipher", Advances in Cryptology EUROCRYPT'93, Springer-Verlag, 1998, p.386.

15. Mitsuru Matsui, "The First Experimental Cryptanalysis of the Data Encryption Standard", Crypto'94, Springer-Velgar, 1998, p.l

16. Чмора А.Л., Современная прикладная криптография. 2-е изд., -M.: Гелиос АРВ, 2002.

17. Шпаковский Г., Серикова Н., Программирование для многопроцессорных систем в стандарте MPI, Минск, БГУ,2002.

18. Немнюгин С., Стесик О., Параллельное программирование для многопроцессорных вычислительных систем, Санкт-Петербург, «БХВ-Петербург», 2002.

19. Howard M.Heys, "A Tutorial on Linear and Differential Cryptanalysis"

20. Burton S. Kaliski Jr., Yiqun Lisa Yin, "On Differential and Linear Cryptanalysis of the RC5 Encryption Algorithm", Crypto'95, Springer-Velgar, 1998, p.171

21. Ishai Ben-Aroya, Eli Biham, "Differential Cryptanalysis of Lucifer", Crypto'93, Springer-Velgar, 1998, p.18738. citeseer.ni.nec.com/bihamO 1 linear.html E.Biham, O.Dunkelman, N.Keller, "Linear Cryptanalysis of Reduced Round Serpent"

22. E. Biham, A. Shamir, "Differential Cryptanalysis of Snefru, Khafre, REDOC-II, LOKI and Lucifer", Extended Abstract, Crypto'91, Springer-Velgar, 1998, p. 156

23. A. Shimizu, S. Miyaguchi, "Fast Encipherment Algorithm FEAL", Eurocrypt '87, Springer-Velgar, 1998, p.267

24. E.Biham, A.Shamir, "Differential Cryptanalysis of Feal and N-Hash", Crypto'87, Springer-Velgar, 1998, p. 151. Birukov A., 'Thesis"52. http://www.secinf.net/uplarticle/4/rc6.pdf. Riverst R., Robshaw, 'The RC6 Block Cipher'

25. Грегори P. Эндрюс, Основы многопоточного, параллельного и распределенного программирования.: Пер. с англ. М.: Издательский дом «Вильяме», 2003. - 512 с.54. http://www.nestor.minsk.bv/sr/2003/02/30208.html. Цилюрик О., QNX: многомашинные вычисления.

26. Кормен Т., Лейзерсон Ч., Ривест Р., Алгоритмы: построение и анализ. М.:МЦНМО, 2001. 960 е., 263 ил.

27. Антонов А.С., Параллельное программирование с использованием технологии MPI: Учебное пособие. М.: Изд-во МГУ, 2004. -71с.m *

28. Бабенко JI.K. Мишустина (Ищукова) Е.А.Лабораторный практикум по изучению современных методов криптоанализа // Таганрог: ТРТУ, 2003.

29. Бабенко Л.К. Мишустина (Ищукова) Е.А. Применение современных методов криптоанализа при проектировании скоростныхблочных шифров // журнал «Телекоммуникации», М.: «Наука и технологии», 2003, №7

30. Бабенко Л.К. Ищукова Е.А. Параллельная реализация метода дифференциального криптоанализа // Материалы VI Международной научно-практической конференции «Информационная безопасность», Таганрог: ТРТУ, 2004.

31. Бабенко Л.К. Ищукова Е.А. Тестирование алгоритмов шифрования с помощью многопроцессорных вычислительных систем // Материалы VII международной научно-практической конференции «Информационная безопасность». Таганрог: Изд-во ТРТУ, 2005. - с. 229 -230

32. Ищукова Е.А. Разработка инструментария для создания и анализа новых алгоритмов блочного шифрования // Материалы VIII Международной научно-практической конференции «Информационная безопасность». Часть 2. Таганрог, 3-7 июня. - С. 65-66.

33. Ищукова Е.А. Разработка и внедрение новых методик для подготовки специалистов по защите информации // Материалы VIII Международной научно-практической конференции «Информационная безопасность». Часть 2. Таганрог, 3-7 июня. - С. 231-233.т

34. Бабенко JI.K. Ищукова Е.А. Статистические методы анализа алгоритмов блочного шифрования и их основные особенности // Информационные системы и технологии (IST'2006): третья Международная конференция (Минск, 1-3 ноября 2006г.). С. 62-67.

35. Бабенко JI.K. Ищукова Е.А. Применение распределенных вычислений к задачам теории чисел // Информационные системы и технологии (IST'2006): третья Международная конференция (Минск, 1-3 ноября 2006г.). С. 57-62.

36. Бабенко JI.K. Ищукова Е.А. Особенности дифференциального криптоанализа алгоритма AES // Известия ТРТУ 7. Тематический выпуск. Материалы VIII Международной научно-практической конференции «Информационная безопасность».- Таганрог, 3-7 июня. С. 183-185

37. Ростовцев А.Г., Маховенко Е.Б., Теоретическая криптография. -СПб.: АНО НПО «Профессионал, 2005. 480 с.

38. Маховенко Е.Б., Теоретико-числовые методы в криптографии: Учебное пособие М.: Гелиос АРВ, 2006. - 320 с.

39. Венбо Мао, Современная криптография: теория и практика (Modern Cryptography: Theory and Practice). — M.: «Вильяме», 2005. — с. 768.

40. Новиков Ф.А., Дискретная математика для программистов. Учебник для вузов. 2-е изд. СПб.Ж Питер, 2007. - 364 с.