автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.06, диссертация на тему:Методы повышения информационной устойчивостиавтоматизированных систем управления при воздействиидестабилизирующих факторов.

РОССИЙСКОЕ АГЕНТСТВО ПО СИСТЕМАМ УПРАВЛЕНИЯ Государственное унитарное предприятие Специализированный центр программных систем «Спектр»

На правах рукописи

БЕЛКИН Тимур Григорьевич? Г ^ ^

1 О АП?

Методы повышения информационной устойчивости автоматизированных систем управления при воздействии дестабилизирующих факторов.

Специальность 05.13.06 Автоматизированные системы управления

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук.

Санкт-Петербург - 2000

Работа выполнена в государственном унитарном предприятии Специализированный центр программных систем «Спектр».

Научный руководитель:

кандидат физико-математических наук Молдовян H.A. Официальные оппоненты:

Доктор технических наук, профессор Сикарев A.A. Кандидат технических наук, доцент Зима В.М.

Ведущая организация:

Санкт-Петербургская государственная Академия аэрокосмического приборостроения.

диссертационного совсга д no.oi.wo при Санкт-Петербургском Государственном Университете водных коммуникаций по адресу: 198035, Санкт-Петербург, ул. Двинская д.7, к.5.

С диссертацией можно ознакомиться в библиотеке университета.

Защита состоится

часов на заседании

Автореферат разослан «2/ъ *■> 92000 г.

Ученый секретарь диссертационного совета доктор технических наук, профессор

Ю.М. Кулибанов

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность тематики.

Широкое использование информационных технологий и автоматизированных систем управления практически во всех сферах жизнедеятельности общества, включая управление сложными системами в критических ситуациях, определяет высокую значимость проблемы синтеза устойчивых автоматизированных систем управления (АСУ). В настоящее время, когда автоматизированные системы являются основным звеном системы управления государственными органами, транснациональными финансовыми, коммерческими и промышленными организациями, задача обеспечения надежности функционирования таких АСУ переходит в разряд стратегических задач управления на государственном уровне. Поскольку основным объектом обработки, передачи и хранения в них является информация, то проблема защищенности информационных, ресурсов в автоматизированных системах вышла на первое место в круге задач, связанных с развитием инфрастуктуры современного общества.

Нарушение конфиденциальности или целостности информации в автоматизированных системах управления происходит в результате несанкционированного доступа к информации (НСД). Термином НСД принято обозначать какие-либо действия, направленные на получение информации с нарушением - правил, соглашений и приоритетов, установленных в рамках данной системы.

Для таких автоматизированных систем как, например, автоматизированные системы управления войсками, АСУ оружием, очевидна важность сохранения секретности и целостности информации в условиях жесткого, противодействия, сопровождаемого внешними воздействиями на материальные объекты системы и носители информации.

Проблема обеспечения информационной защищенности автоматизированных систем управления перешла в новое качество - из сферы чисто технической в социальную и политическую.

Особенности и темпы развития информационных технологий определили наличие ряда свойств, присущих автоматизированным системам управления и облегчающих задачу осуществления НСД к информации. Основным свойством автоматизированных систем, позволяющим осуществлять коммуникации, является открытость. Открытая архитектура облегчает задачу физического доступа к данным, как в каналах связи, так и. на объектах системы и вместе с тем делает практически невозможной защиту от физического доступа к данным.

Территориальная распределенность ресурсов и большое количество компонентов системы усложняют задачу постоянного контроля безопасности системного взаимодействия. Следствием открытости и распределенности ресурсов АСУ является возможность подключения разнородных компонентов, отличающихся как аппаратно, так и программно. В гетерогенной среде сложнее контролировать целостность и согласованность информационных потоков и обеспечить необходимый уровень безопасности

3

функционирования системы. Комплексный подход к проблеме построения информационно защищенных АСУ подразумевает согласованное применение рада механизмов обеспечения информационно-устойчивого функционирования АСУ, среди них наиболее важную роль играют специальные преобразования информации.

Преобразования информации в специальный формат обеспечивают ее защиту от НСД. Исследование стойкости алгоритмов специального преобразования информации является важным этапом разработки АСУ. Появление новых методов анализа алгоритмов требует оперативного реагирования, выявления слабостей к данным методам анализа уже используемых алгоритмов, а также формулирование требований к разрабатываемым алгоритмам. Таким образом, обеспечение информационной устойчивости достигается применением стойких алгоритмов специального преобразования информации.

Целью работы является разработка методов повышения устойчивости алгоритмов защиты информации в АСУ в условиях воздействия дестабилизирующих факторов.

Для достижения поставленной цели, решаются следующие задачи:

- разработка модели анализа устойчивости алгоритмов защиты информации в АСУ при воздействии дестабилизирующих факторов;

- исследование стойкости широко используемых в АСУ алгоритмов защиты информации при воздействии дестабилизирующих факторов;

- сравнительный анализ алгоритмов защиты информации в автоматизированных системах управления с позиций стойкости при воздействии дестабилизирующих факторов;

- разработка рекомендаций по оптимизации алгоритмического обеспечения информационной защищенности автоматизированных систем управления по критерию устойчивости в условиях воздействия дестабилизирующих факторов;

- разработка и исследование новых механизмов специального преобразования информации, стойких в условиях воздействия дестабилизирующих факторов.

Предметом исследования является алгоритмическое обеспечение информационной защищенности автоматизированных систем управления в условиях воздействия дестабилизирующих факторов.

Методы исследования. В работе использованы комбинаторные методы, методы теории вероятностей, математической статистики, теории ложности, дискретной математики, теории формальных алгоритмов.

Научная новизна, а) Разработана модель анализа ряда- широко применяемых в АСУ алгоритмов преобразования информации при воздействии дестабилизирующих факторов; б) с помощью разработанной модели проведен сравнительный анализ ряда алгоритмов защиты информации; в) сформулирован ряд теоретических требований по

Обеспечению стойкости алгоритмического обеспечения информационной защищенности АСУ и его программной реализации; г) разработаны новые способы преобразования информации в алгоритмах защиты информации на основе новых примитивов; д) разработанное методическое обеспечение анализа апробировано на новых алгоритмах преобразования информации в автоматизированных системах управления.

Практическая ценность результатов работы обусловлена необходимостью исследования стойкости существующих алгоритмов защиты информации к различным методам анализа. Проведенные исследования позволили выявить слабости ряда существующих алгоритмов и сформулировать некоторые требования к алгоритмам защиты информации, выполнение которых обеспечит необходимый уровень надежности функционирования автоматизированных систем управления. Полученные выводы позволили оценить надежность таких АСУ и сформулировать новые рекомендации по разработке алгоритмического обеспечения их информационной защищенности.

Реализация результатов. Результаты исследования использовались в НИР СЦДС «Спектр», а также при разработке системы защиты информации «Спектр^», которая является полнофункциональным средством обеспечения защиты информации в автоматизированных системах управления.

Положения, выносимые на защиту.

• Широко используемые алгоритмы защиты информации в АСУ КС5, ГОСТ 28147-89 не обеспечивают необходимой стойкости в условиях воздействия дестабилизирующих факторов, вызванных внешним воздействием;

• Использование управляемых перестановок, зависящих от преобразуемых данных, позволяет построить скоростные блочные алгоритмы защиты информации в автоматизированных системах, стойкие при воздействии дестабилизирующих факторов;

• Для обеспечения высокого уровня стойкости блочных алгоритмов защиты информации, построенных по схеме Фейстеля, в условиях воздействия дестабилизирующих факторов необходимо увеличить размер блока и раундовых параметров преобразования до 128 бит;

• Механизмы преобразования информации в АСУ, основанные на псевдослучайной выборке раундовых параметров преобразования в режиме с накоплением, позволяют построить стойкие в условиях воздействия дестабилизирующих факторов алгоритмы защиты информации.

Апробация работы.

Основные результаты докладывались на конференциях: первой международной научно-практической конференции «Пути совершенствования взаимодействия правоохранительных органов и негосударственных организаций Балтийских государств в борьбе с преступностью» (Санкт-Петербург, 1998), VI' Санкт-Петербургской

международной конференции «Региональная информатика-98» (Санкт-Петербург 1998), Межрегиональной конференции «Информационная безопасность регионов России-99» (Санкт-Петербург, 1999), Всероссийской научно-методической конференции «Телематика 99» (Санкт-Петербург 1999), Международных конференциях «РусКрипто'99» и «РусКрипто 2000» (Москва 1999, 2000), на десятой научно-технической межвузовской конференции «Военная радиоэлектроника: опыт использования и проблемы, подготовка специалистов» (Петродворец, 1999).

Структура работы.

Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложений. Работа изложена на 188 листах машинописного текста.

Краткое содержание работы.

В первой главе рассмотрена концепция синтеза защищенной автоматизированной системы управления. Описаны следующие категории средств защиты информации в АСУ:

• Средства защиты объектов системы;

• Средства защиты каналов связи;

• Средства защиты баз данных;

• Средства защиты подсистемы управления.

Приведена классификация алгоритмов защиты информации исходя из принципов применения их на объектах АСУ. Рассматриваются такие параметры алгоритмов защиты информации как стойкость, скорость, степень сложности. Описаны основные свойства алгоритмов, определяющие эффективность их использования в АСУ - рассеивание и перемешивание.

Рассмотрены принципы синтеза блочных алгоритмов защиты информации на основе схемы Фейстеля. Изложена концепция скоростной программной реализации алгоритмов защиты информации в АСУ. Приведено понятие недетерминированного алгоритма с настраиваемыми процедурами.

Рассмотрены базовые виды анализа алгоритмов защиты - линейный и дифференциальный анализ. Одним из частных методов анализа является дифференциальный анализ ошибок (DFA). Идея реализации метода была впервые предложена специалистами компании Bell Communications в 1996 году. Авторы показали, что используемые в интеллектуальных картах асимметричные алгоритмы (RSA, Fiat-Shamir) имеют слабость с точки зрения данного метода.

В настоящее время ведутся исследования по усовершенствованию метода с точки зрения оптимизации по скорости и требуемым объемам данных, а также по облегчению возможности технической реализации метода. Результаты исследований публикуются в периодической печати,и Internet.

Модель применения метода предполагает следующие допущения: аналитик имеет свободный доступ к устройству преобразования информации с введенными в него (и неизвестными аналитику) параметрами

Преобразования. Аналитик имеет возможность оказывать на данное устройство некоторое внешнее воздействие с целью вызвать сбои в работе аппаратуры и сопоставлять полученные выходные данные с данными, полученными без сбоев. При этом считается, что аналитик имеет возможность подавать на вход устройства преобразования специально подобранные данные.

Интенсивность внешнего воздействия (например, нагревания, высокочастотного или ионизирующего излучения) подбирается такой, чтобы в процессе преобразования одного блока данных вызвать одну или несколько ошибок в регистрах микропроцессора. Трудно заранее задать место генерации ошибки, но в достаточно длинной серии экспериментов, в некоторых из опытов будут иметь место ошибки заданного типа, например инверсия одного или нескольких двоичных разрядов регистра после выполнения 1-го раунда преобразования и перед (¡+1)-ым. Ожидаемая ошибка характеризуется как пространственной локализацией, так и временем возникновения. Нарушитель может использовать импульсное излучение, синхронизированное с процессом преобразования. В этом случае может быть использована более высокая интенсивность излучения, а длительность импульсного воздействия может быть выбрана равной продолжительности времени нахождения преобразуемых подблоков данных в благоприятном для аналитика состоянии.

Метод апализа алгоритмов, использующий сравнение блоков данных, полученных преобразованием без аппаратных сбоев с блоками данных, полученных преобразованием, которое сопровождалось воздействием на аппаратуру, будем называть Методом генерации аппаратных ошибок (МГО). Общая схема проведения анализа методом генерации аппаратных ошибок представлена на рис 1.

Для многих известных и широко применяемых алгоритмов имеется принципиальная возможность распознавания опытов, в которых произошло ожидаемое событие, путем анализа различий в структуре выходного блока, вызванных ошибками. Вычислительная сложность распознавания может изменяться в широких пределах и зависит от конкретного механизма преобразования. В некоторых алгоритмах ряд ошибок распознаются тривиально.

С технической стороны реализация данного метода представляется весьма сложной, однако, учитывая низкую вычислительную сложность, для злоумышленника становится привлекательным разработка методики и устройств для формирования аппаратных ошибок. Это является достаточно сложным, однако дает возможность в дальнейшем использовать аппаратные ошибки против широкого спектра различных алгоритмов защиты информации. Существенное упрощение разработки указанной методики может быть достигнуто при введении скрытых аппаратных закладок.

А - блок исходных данных;

А' - блок исходйых данных, искаженный ошибкой DEF; F(A,K) - функция специального преобразования блока данных А, зависящая от параметра К;

В - блок выходных данных, полученный преобразованием блока исходных данны х без ошибки;

В' - блок выходных данных, полученный преобразованием искаженного ошибкой блока исходных данных; Из уравнения:

F(A,K) * F(A',K) = В * В' аналитик может найги неизвестный параметр К.

Рис 1. Схема реализации метода генрации аппаратных ошибок.

8

Под установкой скрытых аппаратных закладок понимается умышленное повышение чувствительности некоторых разрядов регистров (устройства преобразования или микропроцессора) к внешним воздействиям. Последнее может быть сделано, например, при изготовлении микросхем путем соответствующего изменения физической структуры некоторых ее элементов. Установка таких закладок возможна и реализуема.

Радикальным решением проблемы защиты от таких закладок и вообще, от угрозы использования сбоев аппаратуры в целях НСД, является разработка алгоритмов, стойких к атакам с использованием аппаратных ошибок.

Ошибки аппаратуры можно разделить на два основных типа: ошибки в области данных и ошибки в области команд.

Одна из предложенных Р. Андерсоном модификаций метода анализа с использованием аппаратных ошибок основана на использовании ошибок в области команд. Мы будем в основном рассматривать анализ с использованием ошибок в области данных, пути повышения стойкости алгоритмов к анализу с использованием ошибок в области команд рассмотрены в гл. 4.

Во второй главе рассматривается стойкость к МГО широко используемого в зарубежных АСУ алгоритма 11С5; это симметричный блочный алгоритм, предназначенный как для аппаратной, так и для программной реализации. Отличительной особенностью ИС5 является сложное использование преобразований, зависящих от данных. Задачей анализа алгоритма является нахождение раундовых параметров преобразования К;, их можно найти из уравнения

В^ОВив А иГ^'-'+Кс (1). В уравнении (1) неизвестными являются параметр К{ и значение подблока данных Вц, подлежащего преобразованию на текущем раунде. Сначала определяется значение Вц, затем решается уравнение (1) относительно К,. Для построения уравнения относительно Ви используется метод генерации аппаратных ошибок. Этот метод, как показано в гл. 1, предполагает возможность внесения ошибок в подблоки данных перед их преобразованием на заданном раунде.

В преобразованиях блок данных делится на два подблока А и В, которые представляются в виде двоичных векторов. Для анализа используются те случаи, когда ошибка имела место в левом подблоке А. Будем обозначать А' вектор, искаженный ошибками, а В' - вектор, полученный путем преобразований, в которых участвует искаженный ошибками вектор А'.

Тогда разность векторов В; — В;' по модулю 2Л" равна разности правых частей уравнений, описывающих преобразования с ошибкой и без ошибки: В;- В;' = (Вм^ м Ф Аи<<<Аи) - (В,.,<<<Ам' ® Аи,<<<аК' ) (2).

В уравнении (2) неизвестным является только Вц. Решив уравнение (2) относительно Вм, можно найти К) из уравнения (1).

Уравнение (2) можно решать методом тотального перебора значений неизвестной величины, однако целесообразен поиск конструктивного метода, который позволил бы снизить верхнюю границу вычислительной сложности решения уравнения (2), а также позволил бы определить количество решений данного уравнения.

Сущность предложенного метода решения уравнения (2) заключается в том, что уравнение представляется системой нелинейных булевых уравнений относительно битов векторов, участвующих в уравнении; система решается методом линеаризации. Применение данного метода позволяет снизить вычислительную сложность нахождения значения вектора Ви и сократить число решений для Ви по сравнению с методом тотального перебора.

Для метода тотального перебора оценка верхней границы вычислительной сложности нахождения всех неизвестных параметров преобразования составляет:

"№ = 11*2™* \УР*2(п-1), где чу - длина подблока в битах, \Ур - вычислительная сложность решения уравнения (для уравнения (2) имеет порядок 27 простых операций), п -количество раундов преобразования. И - количество вариантов блоков, которое необходимо проанализировать, чтобы получить однозначное решение для К. Для модификации алгоритма 32/12/Ь эта величина будет равна 242.

Предложенный метод решения уравнения позволяет снизить вычислительную сложность нахождения неизвестных параметров до 29.

Было проведено моделирование анализа алгоритма 11С5 32/12/32 на ЭВМ. Генерация аппаратных ошибок моделируется программным путем. Программа генерирует ошибки случайным образом на заданном раунде в случайном расположении битов регистров данных. Показано, что в среднем достаточно около 2" пар блоков, преобразованных с ошибкой и без, чтобы получить однозначное решение для всего набора неизвестных параметров К|. Исходный текст программы модели анализа приведен в Приложении 2.

Проведен сравнительный анализ некоторых новейших блочных алгоритмов защиты информации.

Вычислительная сложность нахождения набора неизвестных параметров алгоритма КС6 с помощью МГО не превышает 240 простых операций.

Возможность снижения сложности анализа алгоритма по сравнению с методом тотального перебора обеспечивается наложением параметра К, после последнего раунда преобразований с помощью операции сложения по модулю 2™, где ду-длина подблока, это позволяет использовать бит переноса для нахождения значения параметра К.

Алгоритм К.С6, как и его предшественник К.С5, является уязвимым по отношению к анализу на основе МГО.

Алгоритм Twofish является усовершенствованным вариантом широко используемого в Internet алгоритма Blowfish, разработанного Брюсом Шнайером (В. Schnei er) в 1993 г. В случае анализа с использованием МГО вычислительная сложность анализа алгоритма Twofish будет не ниже 2Ш, что обусловлено использованием в качестве операции наложения параметра К операции сложения по модулю два. Такой алгоритм можно назвать стойким с точки зрения использования МГО. Использование МГО для анализа алгоритма MARS не сможет привести к снижению вычислительной сложности ниже 2т. Это обусловлено необходимостью перебора значений четырех параметров Ki+b Ki+2, Ki+3, Ki+4, накладываемых после «замешивания» значений подблоков после последнего раунда преобразований.

Анализ большого числа алгоритмов, построенных по схеме Фейстеля, позволил дать обобщенную оценку свойств данной схемы с- позиций применения МГО. Использование аппаратных ошибок при анализе алгоритмов, построенных по схеме Фейстеля, позволяет свести анализ алгоритма к рассмотрению одного раунда преобразования. Верхняя граница вычислительной сложности вскрытия всего набора неизвестных параметров для алгоритма, построенного по схеме Фейстеля, будет иметь оценку:

W = 2w*h*WF*R,

где R - число раундов преобразования. Трудоемкость анализа любого алгоритма, построенного по схеме Фейстеля, не превышает трудоемкости перебора значения одного неизвестного параметра К.

Увеличение числа раундов, в качестве способа повышения стойкости, неприемлемо, так как оно ведет к существенной потере скорости преобразований.

Эффективными путями усовершенствования схемы Фейстеля с целью обеспечения ее стойкости к МГО могут быть:

• Увеличение длины параметра К,

• Введение дополнительных преобразований после завершающего раунда.

Увеличение длины параметра К обеспечит стойкость только в том случае, если он не разбивается на части при использовании в преобразованиях. Рассмотрение некоторых новейших алгоритмов показало, что вектора длиной 128 бит, при преобразованиях разбиваются на части и задача их нахождения сводится к перебору значений более коротких векторов. Большинство используемых в настоящее время алгоритмов используют параметр К длиной от 32 до 64 бит, это обусловлено удобством реализации и требованием к скорости, при этом осуществляется разбиение на участки длиной 4, 8 битов.

Введение дополнительных преобразований является более эффективным методом повышения стойкости, так как не требует увеличения длины векторов. Возможность анализа с использованием аппаратных ошибок обусловлена «открытостью» последнего раунда, то есть значение одного из

подблоков, поступающих на вход раундовой функции на последнем раунде известно. Эта особенность позволяет строить уравнение, в котором участвует только одна неизвестная величина - параметр К(.

В третьей главе приведены результаты моделирования анализа алгоритма ГОСТ 28147-89 с использованием МГО. Модель анализа предполагает следующий сценарий: производится многократное преобразование в условиях воздействия внешних дестабилизирующих факторов, для анализа используются те блоки данных, при получении которых имело место искажение разрядов левого подблока пред преобразованием на последнем раунде. Возможность определения,набора неизвестных параметров К, а также заполнения блоков подстановок, определяется следующими особенностями алгоритма: перед осуществлением подстановки подблок складывается с неизвестным параметром К по модулю а затем разбивается на вектора длиной 4 бита, при этом возникает возможность использования бита переноса для нахождения параметра К на последнем раунде, за счет этого можно найти блоки подстановки, а при известных блоках подстановок, метод МГО позволяет легко находить оставшиеся параметры К.

Верхняя граница вычислительной сложности нахождения всех неизвестных параметров алгоритма в этом случае не будет превышать величины 216 простых операций.

Полученный результат позволяет сделать вывод об уязвимости алгоритма ГОСТ в условиях воздействия дестабилизирующих факторов. Исходный текст программы модели анализа приведен в Приложении 3.

В четвертой главе рассмотрены пути повышения стойкости алгоритмов защиты информации к анализу на основе МГО. Построение новых блочных алгоритмов высокой стойкости связано с введением новых требований к раундовой функции.

Для современных алгоритмов необходимо, чтобы длина блока и параметра раундового преобразования К была не менее 128 бит.

Результаты анализа алгоритмов, построенных по итеративной схеме Фейстеля (К.С5, КСб, ГОСТ 28147) позволили выявить слабость этой схемы. Слабость заключается в том, что фиксированная выборка раундовых параметров позволяет устранить влияние раундового параметра К^ на разность блоков, полученных в преобразованиях с ошибкой и без, при использовании метода генерации аппаратных ошибок.

В связи с этим выдвигается новое требование к раундовой функции. Необходимо введение одного из видов преобразований, зависящих от данных - механизма гибкой выборки раундовых параметров К;. Общая схема реализации механизма гибкой выборки раундовых параметров К; заключается в том, что значение одного подблока (или его части) определяет номер параметра К;, используемого для преобразования другого подблока на текущем раунде. Как правило, этому сопутствует увеличение количества раундовых параметров К;, что также усложняет анализ.

С учетом вышеизложенных требований возникла возможность усовершенствования исследуемых алгоритмов с целью повышения их стойкости к анализу на основе МГО. Увеличить стойкость алгоритма RC5 можно внедрением механизма управляемой данными выборки раундовых параметров. В работе представлены схемы модификации алгоритма, позволяющие увеличить сложность вскрытия в 211г раз, где (г)- число раундов, что позволяет при небольшом количестве раундов (8-10) обеспечить достаточно высокую стойкость алгоритма.

Дальнейшим развитием идеи гибкой выборки раундовых параметров К, стало создание механизма псевдовероятностной выборки раундовых параметров К,-. Принцип действия этого механизма заключается в том, что значение преобразуемого подблока данных влияет на выбор параметра Kj на следующем раунде. Такое распространение влияния данных приводит к повышению качества рассеивания раундовой функции. При этом любое изменение входных данных приводит к изменению порядка выборки параметра Kj на всех раундах. Сложность процедуры распространения влияния данных приводит к тому, что зависимость между входными данными и выборкой раундовых параметров К; приближается к случайной.

Система «СПЕКТР-Z» (сертификат Гостехкомиссии № ,251) предназначена для защиты ЭВМ, функционирующих под управлением ОС Windows 95/98. Сложность анализа одного раунда преобразований алгоритма, используемого в системе составляет порядка 2 01. В данном алгоритме, все слова, участвующие в преобразовании на текущем раунде преобразуются и не остаются неизменными на выходе, таким образом, нет возможности реализовать преимущества анализа на основе генерации аппаратных ошибок в случае анализа полного алгоритма, состоящего из трех раундов преобразования.

Еще одним механизмом, позволяющим повысить стойкость алгоритмов при уменьшении числа раундов преобразования, является формирование операций преобразования по неизвестному параметру. К ним относятся управляемые перестановки.

Рассмотрены варианты построения алгоритмов защиты информации на базе нового примитива - блоков управляемых перестановок, в сочетании с механизмом формирования управляющих векторов в зависимости от преобразуемых данных. Представленные стойкие к анализу' на основе генерации аппаратных ошибок варианты схем преобразования данных.

Любая перестановка может быть представлена в виде суперпозиции транспозиций, представляющих собой перестановку двух битов. Это показывает принципиальную возможность построения управляемых операционных блоков перестановок (Р-блоков) в виде совокупности элементарных блоков перестановок, реализующих транспозицию двух битов в зависимости от значения управляющего бита Ргд (при нулевом значении управляющего бита осуществляется транспозиция, при единичном - оба бита на выходе остаются на своих местах). Такая функциональная схема реализуется с помощью простейшей комбинационной электрической схемы,

13

благодаря чему можно легко изготовить управляемые блоки перестановок, содержащие до 10000 и более блоков Р2/1. В целом, такие блоки управляемых перестановок представляют собой комбинационную электрическую схему, что обеспечивает их высокое быстродействие. Современная кремниевая микроэлектронная технология позволяет изготавливать недорогие электронные устройства, основанные на управляемых перестановках и обеспечивающие скорость преобразований до 1 Гбит/с, а использование кристаллов арсенида галлия (или фосфида индия) дает возможность существенно превысить это значение.

Конкретный вид управляемой операции перестановки Р длины п характеризуется упорядоченным множеством {л0,Ль—Ди>—гДе 71 и ~ фиксированные перестановки длины п (их будем называть реализуемыми модификациями управляемой перестановки), которые в общем случае являются различными, и - значение управляющего кода, г—2т~1, т -разрядность управляющего кода. Управляемая перестановка действует на двоичный вектор В следующим образом. По значению управляющего кода и выбирается модификация Пц, в соответствии с пи осуществляется перестановка битов В, в результате которой формируется значение, обозначаемое как Ри(В). Построение конкретных вариантов Р-блоков связано с заданием определенных требований к множеству реализуемых модификаций Рц. В качестве конструктивных критериев можно принять следующие:

• невысокая сложность аппаратной реализации;

• большое число различных модификаций перестановок;

• уникальность модификаций для каждого значения управляющего кода;

• задание модификаций, относящихся к определенному классу перестановок.

В последний пункт можно включить, например, требование формирования перестановок, для которых каждый входной бит может оказаться с равной вероятностью в любом из п выходных двоичных разрядов. Р-блоки, удовлетворяющие такому условию, будем называть перестановками равновероятного смещения. Порядком в данном случае будем называть количество битов к, для которых верно следующее утверждение: любые к битов входа могут оказаться с равной вероятностью на любых к местах на выходе. В работе представлены блоки, реализующие перестановки равновероятного смещения первого порядка, то есть каждый бит входа может оказаться с одинаковой вероятностью на любом из выходов. В настоящее время существуют схемы равновероятного смещения четвертого порядка.

1_

Рис 2. Схема преобразований с использованием операционных блоков управляемых перестановок.

. Одна из предложенных схем представлена на рис. 2. Преимуществом данной схемы перед классическим вариантом схемы Фейстеля является то, что даже с использованием метода МГО нельзя устранить влияние одного из подблоков на выходной результат, при этом теряется возможность снижения сложности анализа с помощью МГО. Анализ представленных схем показал, Что они являются стойкими к анализу на основе генерации аппаратных ошибок.

Рассматриваются некоторые требования к программной реализации алгоритмов защиты информации в АСУ с точки зрения использования аппаратных ошибок второго типа (в области команд).

В случае программных и программно-аппаратных модулей защиты информации представляет ■ интерес рассмотрение возможности использования; умышленно введенных (например, посредством внешнего высокочастотного электромагнитного излучения) аппаратных ошибок в регистры или ячейки памяти, содержащие параметры исполняемого машинного кода, относящиеся к процессу преобразования информации.

При программной реализации блочных итеративных алгоритмов наибольшее внимание следует уделять составлению условий выхода из циклов преобразований. При непродуманном задании условия выхода из цикла введение аппаратных ошибок с высокой вероятностью приводит к существенному уменьшению шагов и раундов преобразования (вплоть до одного раунда), что позволяет легко вычислить неизвестный параметр К^ по частям. При правильном задании условия выхода эту вероятность можно понизить до безопасного предела.

Проведенные исследования показали, что в случаях необходимости учета возможности нападений на основе аппаратных ошибок требуется использовать специальную технику программирования. Актуальность такого вида угрозы связана с возможностью внедрения аппаратных закладок (гл.1), которые могут приводить к возможности целенаправленной генерации аппаратных ошибок.

Заключение и выводы

1. На основе обзора литературы сформулирована концепция построения информационно устойчивой АСУ. Приведена классификация алгоритмов защиты информации исходя из принципов применения их на объектах АСУ. Описаны основные методы анализа алгоритмов защиты информации, их классификация по наличию исходных данных.

2. Приведено описание нового метода анализа алгоритмов защиты информации, анализа на основе генерации аппаратных ошибок, использование результатов которого при построении АСУ, позволяет существенно повысить ее информационную устойчивость. Разработана модель анализа алгоритмов защиты информация с помощью метода генерации аппаратных ошибок.

3. Осуществлено математическое описание и моделирование на ЭВМ анализа ряда широко используемых алгоритмов как зарубежных, так и

16

российского стандарта защиты данных. Получены оценки стойкости этих алгоритмов с позиций вычислительной сложности проведения анализа, которые показывают, что большинство исследованных алгоритмов (RC5, RC6, ГОСТ 28147-89) не обладают необходимым уровнем стойкости для построения информационно устойчивых АСУ. К основным недостаткам рассмотренных алгоритмов можно отнести фиксированное расписание выборки раундовых параметров преобразования, а также разбиение подблоков данных на вектора меньшей длины при осуществлении раундовых преобразований.

4. Анализ методом МГО позволил провести сравнение ряда алгоритмов защиты информации (RC5, RC6, TWOFISH, MARS и др.) и сделать выводы о некоторых тенденциях, имеющих место при разработке современных блочных алгоритмов защиты информации в АСУ, которые заключаются в усовершенствовании классической схемы Фейстеля в целях повышения ее стойкости к различным видам анализа.

5. Дана обобщенная оценка с точки зрения МГО схемы Фейстеля, используемой при построении современных алгоритмов защиты информации, показано, что стойкость алгоритма, построенного по схеме Фейстеля, определяется вычислительной сложностью тотального перебора значения раундового параметра К„ поскольку особенности построения схемы позволяют сводить весь анализ к рассмотрению одного раунда преобразований. Это является существенным недостатком, так как стойкость в этом случае не зависит от количества раундов, а один раунд всегда слабее нескольких.

6. Вышесказанное позволяет сделать вывод о необходимости введения новых требований к раундовой функции. Сформулированные требования к раундовой функции преобразования, являющейся ядром алгоритмов защиты информации, построенных по схеме Фейстеля, состоят в следующем: в целях обеспечения стойкости к методу тотального перебора значений неизвестных раундовых параметров, которая определяется производительностью современных вычислительных средств, длина раундового параметра Kj и блока должна быть не менее 128 битов; необходимо внедрение новых механизмов преобразования информации при синтезе алгоритмов защиты информации в АСУ, которые обеспечат необходимый уровень стойкости при воздействии дестабилизирующих, факторов, в том числе и к анализу на основе генерации аппаратных ошибок, а также будут удовлетворять требованиям к скорости их реализации, которые становятся все более жесткими в связи с развитием технологий передачи информации. В качестве таких механизмов рассматриваются гибкая выборка раундовых параметров К; в зависимости от преобразуемых данных и предложенный новый примитив преобразования данных - блоки управляемых перестановок.

7. Описан новый примитив - операционные блоки управляемых перестановок, генерирующих перестановку в зависимости от значения управляющего вектора, при этом мощность множества перестановок,

17

реализуемых блоком равна мощности множества управляющих векторов, свойства реализуемого множества перестановок определяются конструкцией операционного блока и задаются исходя из требований, предъявляемых к свойствам раундовой функции. Рассмотрены блоки, реализующие перестановки равновероятного смещения первого порядка, то есть при условии равновероятного распределения значений управляющего вектора каждый бит входного вектора с равной вероятностью может оказаться на любом месте на выходе. Разработана схема преобразований блоков данных на основе схемы преобразований Фейстеля с применением блоков управляемых перестановок и механизма гибкой выборки управляющих векторов в зависимости от преобразуемых данных. Проведен анализ этой схемы, основным выводом из результатов анализа которого является то, что применение нового примитива -управляемых перестановок в сочетании с механизмом гибкой выборки управляющих векторов, зависящей от преобразуемых данных, позволяет создавать алгоритмы, сложность анализа которых методом МГО значительно выше, чем сложность тотального перебора всего набора неизвестных параметров. То есть применение метода МГО к таким алгоритмам становится неэффективным.

8. В соответствии с требованиями к раундовой функции, сформулированными в четвертой главе, предложены варианты улучшения алгоритма ГОСТ 28147-89 с целью повышения его стойкости к анализу методом МГО, заключающиеся в увеличении длины векторов, на которые разбиваются подблоки данных при осуществлении над ними операции подстановки, с 4 до 8 битов. Оценка сложности анализа методом МГО предлагаемой модификации составляет 217, что не обеспечивает требуемого уровня надежности алгоритма, так как при этом сохраняется возможность успешного нахождения всего набора неизвестных раундовых параметров и блоков подстановок за приемлемое время. Показано, что увеличение длины блока также не приведет к существенному усложнению анализа методом МГО. Предложена модификация алгоритма 11С5, стойкая к анализу методом МГО, в которой применяется механизм гибкой выборки раундовых параметров^ в зависимости от данных и расширение набора раундовых параметров К,. Стойкость предложенной модификации в 21 г раз выше по сравнению с оригинальным вариантом алгоритма, поэтому даже при небольшом количестве раундов (г) она обеспечит практическую стойкость алгоритма к анализу методом МГО.

9. Проведена оценка стойкости алгоритма глобального преобразования данных системы защиты информации «Спектр^». При построении алгоритма использовался механизм псевдовероятностной выборки раундовых параметров К; с накоплением. Основным выводом из результатов анализа является то, что принцип построения данного алгоритма не позволяет с помощью МГО локализовать анализ на последнем раунде, то есть применение МГО неэффективно для трехраундовой схемы данного алгоритма, при этом сложность анализа

18

одного раунда алгоритма методом МГО составляет 2107. Проведенные исследования позволяют сделать заключение, что алгоритм, используемый в системе защиты информации «Спектр-Z» стойкий в условиях воздействия дестабилизирующих факторов, и его можно рекомендовать к использованию для защиты информации в АСУ.

Ю.Даны рекомендации по разработке программных реализаций алгоритмов защиты информации с точки зрения обеспечения их стойкости к анализу на основе МГО. К таковым условиям относятся использование сложных условий выхода из цикла. Программные реализации, удовлетворяющие совокупности приводимых требований являются стойкими к анализу МГО с ориентацией на ошибки в области команд. Данная особенность является существенной, так как успешное использование ошибок в области команд может привести к «вырождению» алгоритма (например, к уменьшению числа раундов), при этом сложность анализа становится крайне низкой.

Публикации.

1. Оценка стойкости шифра RC5 к атаке на основе аппаратных ошибок. Молдовян H.A., Молдовян A.A., Белкин Т.Г // Тезисы выступлений участников первой международной научно-практической конференции «Пути совершенствования взаимодействия правоохранительных органов и негосударственных организаций Балтийских государств в борьбе с преступностью». Санкт-Петербург. 1998г. С. 63-65.

2. Атака шифра RC5 путем генерации аппаратных ошибок. Т.Г. Белкин, П.А. Молдовяну, H.A. Молдовян // VI Санкт-Петербургская международная конференция «Региональная информатика-98» Санкт-Петербург 2-4 июня 1998г. Тезисы докладов часть 1, с. 113-114.

3. Новый скоростной способ блочного шифрования. Т.Г. Белкин, A.A. Молдовян, H.A. Молдовян // Комплексная защита информации. Сб. Научных трудов вып. 2. П/р к.т.н. В.В. Аншценко. Минск 1999г. с. 121128.

4. Минишифры в средствах защиты компьютерных систем. Т.Г. Белкин, А.П. Заболотный, A.A. Молдовян // Межрегиональная конференция «Информационная безопасность регионов России-99» Санкт-Петербург, 13-15 октября 1999 года. Тезисы докладов часть 1, с 34-35.

5. Новые виды нападений и выбор базовых криптографических примитивов. Т.Г. Белкин, H.A. Молдовян // Межрегиональная конференция «Информационная безопасность регионов России-99» Санкт-Петербург, 13-15 октября 1999 года. Тезисы докладов часть 1, с 33-34.

6. Нападения на шифры с применением аппаратных закладок Т.Г. Белкин, H.A. Молдовян // Межрегиональная конференция «Информационная безопасность регионов России-99» Санкт-Петербург, 13-15 октября 1999 года. Тезисы докладов часть 1, с 33.

7. Алексеев JI.E., Белкин Т.Г., Молдовян A.A., Молдовян H.A. Способ итеративного шифрования блоков данных // Патент РФ N 2140714, С1 б Н 04 L 9/20. Опубл. 27.10.99. Бюл. N 30.

19

8, Защита передачи управляющих команд по компьютерным сетям. Т.Г. Белкин, А.П. Заболотный, В.И. Левченко // Всероссийская научно-методическая конференция «Телематика 99» Санкт-Петербург, 7-10 июня 1999 года. Тезисы докладов, с 71.

9. Управляемые операции: повышение стойкости к дифференциальному криптоанализу. JI.E. Алексеев, Т.Г. Белкин, Н.Д. Гуц, Б.В. Изотов // Первая Международная конференция «РусКрипто'99». Москва, Непецино, 22 -24 декабря 1999 года. Тезисы докладов, http://www.lanciypto.com.

Ю.Управляемые операции: повышение стойкости блочных шифров к линейному криптоанализу. Т.Г. Белкин, Н.Д. Гуц, Н.А Молдовян // Вторая Международная конференция «РусКрипто 2000». Москва, Непецино, 3 -5 февраля 2000 года. Тезисы докладов, http://www.lancrypto.com.

11 .Техника программирования и стойкость криптомодулей. Т.Г. Белкин, В.И. Левченко, H.A. Молдовян // Десятая научно-техническая межвузовская конференция «Военная радиоэлектроника: опыт использования и проблемы, подготовка специалистов» Петродворец, ВМИРЭ им. A.C. Попова. 18 -19 февраля 1999 год. Тезисы докладов ч.1, с 136.

12.Способ скоростного шифрования на базе управляемых операций. Т.Г. Белкин, Н.Д.Гуц, А.А.Молдовян, Н.А.Молдовян // Управляющие системы и машины. 1999 г. №6 С. 79-88.

Лицензия № 000283 от 19.10.99 г. Сдано в производство 10.03.00 г. Подписано к печати 17.03.00 г. Формат 60x84 1/16 Усл.-печ. л. 1,08

Уч.-изд. л. 1,16_Тираж 60 экз. _Заказ № 58_

ИШДСПГУВК 198035, Санкт-Петербург, Межевой канал, д.2