автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Развитие методов и средств обеспечения целостности и конфиденциальности регистрируемой информации системы информационной безопасности организации воздушного движения

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИМЕНИ М. В. ЛОМОНОСОВА МЕХАНИКО-МАТЕМАТИЧЕСКИЙ ФАКУЛЬТЕТ

На правах рукописи

Лёвин Валерий Юрьевич

0046

8919

Развитие методов и средств обеспечения целостности и конфиденциальности регистрируемой информации системы информационной безопасности организации воздушного движения

Специальность: 05.13.19 — методы и системы защиты информации, информационная безопасность

Автореферат

диссертации на соискание ученой степени кандидата физико-математических наук

I 3 ЯН В 2011

Москва 2010

004618919

Работа выполнена на кафедре Математической теории интеллектуальны систем Механико—математического факультета Московского государственног университета имени М.В. Ломоносова.

Научный руководитель:

кандидат физико-математических наук Носов Валентин Александрович

Официальные оппоненты: доктор физико-математических наук,

профессор

Фомичев Владимир Михайлович

кандидат физико-математических наук, доцент

Применко Эдуард Андреевич

Ведущая организация:

ФГУП "НИИ"Квант

Защита диссертации состоится 29 декабря 2010 г. в 16 час. 45 мин. на з седании диссертационного совета Д 501.002.16 при Московском государства ном университете имени М.В. Ломоносова по адресу: Российская Федераци> 119991, Москва, ГСП—1, Ленинские горы, д. 1. Московский государственны: университет имени М.В. Ломоносова, Механико—математический факультет ауд. 14-08.

С диссертацией можно ознакомиться в библиотеке Механико-математического факультета Московского государственного университет имени М.В. Ломоносова (Главное здание МГУ, 14 этаж).

Автореферат разослан 29 ноября 2010 г.

Д 501.002.16 при МГУ,

доктор физико-математических наук

Ученый секретарь диссертационного совета

Корнев А. А

Общая характеристика работы

ктуальность работы. Стремительное развитие информационных технологий оказывает существенное влияние на все стороны жизни государства и обще-тва. Эпоха массовых коммуникаций, технологии Интернет, информатизация правления технологическими процессами в различных сферах деятельности (еловска привели к резкому возрастанию потребности в обеспечении информационной безопасности. В Концепции федеральной целевой программы: "Обес-гечение безопасности полетов воздушных судов государственной авиации Рос-нйской Федерации в 2010—2014 годах", утвержденной Распоряжением Прави-■ельства РФ от 22 апреля 2009 года №554—Р особое внимание уделяется разви-■ию инфраструктуры информационной безопасности единой информационно— налитической системы для обеспечения, обработки, анализа и документирова-ия параметрической, аудио— и видеоинформации в интересах предупреждения расследования авиационных происшествий. При создании средств объектив-ого контроля подобных информационно—аналитических систем управления, беспечение целостности и конфиденциальности цифровой информации в провесе ее сбора, хранения и передачи, является одной из ключевых задач. Непре-ывное совершенствование вычислительной техники постоянно расширяет нар требований, предъявляемых к алгоритмам цифровой подписи и протоколам а их основе, решающим поставленные задачи. Для обеспечения необходимо-уровня безопасности протоколов и, соответственно; алгоритмов цифровой дписи, наряду с традиционными подходами на основе сложности решения адач факторизации и дискретного логарифмирования, все чаще рассматрива-т группу точек эллиптической кривой1, которая, несмотря на свою сложную руктуру, по целому ряду показателей удобна для вычислений. Однако, при шенин задач в такой постановке должен применяться системный подход, со-1асно которому, под методом цифровой подписи понимаются не только асим-етричный алгоритм подписи, но и сопутствующие выработке цифровой подпн-) алгоритмы расчета уникального хеш—значения, организации ключей, под-ра необходимых технологических параметров и ряд других факторов. Вме-е с тем, исследования показывают, что результатов практического характера, ;лыо которых является использование эллиптической кривой в протоколах {фровой подписи повышенной безопасности и быстродействия, недостаточно, еобходимо отметить, что Постановлением Правительства РФ от 18 июня 1998 да № 605 (ст. 1, п. 4) определено: "Единая система организации воздушного шжения Российской Федерации имеет стратегическое значение для безопасно-и государства". Отмеченные выше обстоятельства определяют актуальность стоящей работы.

1N.Koblit,z, Elliptic curve cryptosysteins, Mathematics of Computation 48. 1987.

.Miller, Uses an ellipt ic curves in cryptography, Advances in Cryptology: Proceedings of CRYPTO'85, Lecture es in computer science 218, 198G, Springer—Verlag. 417-42G.

Цель диссертационной работы состоит в разработке программных средств на основе совершенствования алгоритмов цифровой подписи на эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения.

Для достижения поставленной цели в диссертации сформулированы и решаются следующие задачи.

• Совершенствование стандартов цифровой подписи на основе эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения.

• Исследование модели эллиптической кривой с целью получения формулы. позволяющей разработчику повысить точность определения размеров используемых в протоколах цифровой подписи автоматизированной системы управления ключей.

• Построение алгоритмов кодирования данных точками эллиптических кривых, пригодных для применения в системах реального времени.

• Создание математических методов совершенствования п модификации однонаправленных хеш—функций с целью повышения их эффективности при программно—аппаратных реализациях.

• Разработка и тестовые испытания комплекса программно—аппаратных средств, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи, и отвечающих требованиям системы информационной безопасности организации воздушного движения.

Цель настоящей работы и перечисленные задачн соответствуют областям исследований в сфере информационной безопасности, а именно—развитию моделей и методов обеспечения целостности и конфиденциальности цифровой информации для формирования на их основе программных средств противодействия нарушениям конфиденциальности и целостности информации, циркулирующей в автоматизированных системах объективного контроля организации воздушного движения в интересах предотвращения и расследования авиационных происшествий. Эти исследования отражены в п.п. 2,6,13 Паспорта специальности 05.13.19 — "Методы и системы защиты информации, информационная безопасность."

Научная новизна результатов диссертации состоит в развитии методов использования модели эллиптической кривой в протоколах цифровой подписи,

применяющихся для защиты целевой системы, а также в усовершенствовании однонаправленных хеш—функций с целыо повышения их устойчивости к раз-шчным методам компрометации: генерация коллизий; "нехватка"ключей; разглашение служебных параметров; нарушение целостности и ряд других. Пред-тожено улучшение метода Шнайера борьбы с туннельными коллизиями хеш-функций. Создан мультнключевой алгоритм реализации хеш—функций, при ко-ором ключ может обновляться на каждом раунде, что позволило существенно величить порядок ключевого множества.. На основе метода Полларда получе-1а формула расчета длин ключей, позволяющая определять уровень безопас-юсти систем на основе эллиптических кривых. Применен системный подход к оздагшю эффективных средств обеспечения целостности и конфнденциалыго-,ти информации, объединяющий полученные результаты по однонаправленным 'еш—функциям, ключевой подсистеме, по схемам цифровой подписи и выработ-е технологических параметров.

Практическая значимость диссертационной работы заключается в раз-аботанных автором в интересах системы обеспечения информационной без-пасности организации воздушного движения методах построения безопасных ротоколов цифровой подписи на основе эллиптических кривых, в создании ффективных, с позиции программно—аппаратных реализаций, алгоритмов по-троения однонаправленных хеш—функций. По результатам диссертационной аботы автором спроектирован и реализован комплекс средств по работе с ллнптнчеекпмн кривыми, однонаправленными хеш—функциями, протокола-и цифровой подписи. При решении задачи обеспечения целостности и кон-шденцнальностн цифровой информации в процессе ее сбора, хранения и пе-сдачи, удалось конструктивно решить вопрос создания резерва ключей, "от-чении"недоверенной стороны, оперативной модификации и противодействия азлнчным методам компрометации. Результаты диссертации используются ри разработке автоматизированной системы управления полетами, навигации, садки и связи для аэродромов государственной авиация (далее именуемой СУП НПС или целевой системой).

На защиту выносятся следующие основные результаты.

• Усовершенствованные методы использования модели эллиптической кривой с целью построения схем цифровой подписи, устойчивых к изначальной фальсификации, внедрению скрытых каналов передачи данных и других методов компрометации. Формула расчета, повышающая точность определения размеров применяющихся в протоколах цифровой подписи ключей.

• Алгоритмы кодирования данных точками эллиптических кривых, которые используются для создания на их основе программных средств, реализующих эгн алгоритмы в реальном времени и позволяющих применять

в целевой системе протоколы выработки общих ключей и передачи информации на основе эллиптических кривых.

• Мультиключевой алгоритм построения хеш—функций, при котором ключ может обновляться на каждом раунде, методы построения эффективных программно—аппаратных реализаций однонаправленных хеш—функций, решающие задачи отсечення "недовереннон"стороны, "нехватки"и создания резерва ключей, а также задачи защиты от коллизий и долговременного поддержания высокого уровня безопасности информационной системы.

• Комплекс программно—аппаратных средств, обеспечивающий целостность и конфиденциальность цифровой информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения, прошедший тестовые испытания и отвечающий предъявляемым к нему требованиям.

Основные методы исследований. В диссертации использованы методы информационной безопасности, теории чисел, комбинаторики, компьютерной алгебры, теории эллиптических кривых, теории конечных полей, теории блочных шифров, теории однонаправленных хеш—функций, теории протоколов цифровой подписи, теории сложности алгоритмов, а также методы программной инженерии.

Внедрение результатов работы. Результаты диссертации нашли свое применение при разработке "Автоматизированной системы управления полетами, навигации, посадки и связи аэродромов государственной авиации"(ОКР шифр—"Рейс—2000"). Получен Акт от одного из ведущих предприятий по созданию программно—аппаратных комплексов управления воздушным движением — ОАО НПО "Лианозовский Электромеханический Завод"Концерна ПВО "Алмаз—Антей"об использовании результатов разработки методов и средств обеспечения целостности и конфиденциальности регистрируемой информации.

Апробация работы. Результаты работы неоднократно докладывались на семинарах механико—математического факультета МГУ им. М.В. Ломоносова "Теория автоматов"(2007-2010 гг.) под руководством профессора В.В. Кудрявцева и на семинарах ВМиК (2010), совместно с Институтом проблем информационной безопасности МГУ им. М.В.Ломоносова под руководством доцента Э.А. Применко, а также наследующих научных конференциях: научная конференция "Ломоносовские чтения "(Москва, МГУ им. Ломоносова, апрель 2007); IX международный семинар "Дискретная математика и её приложения", посвященный 75-летшо со дня рождения академика О.Б.Лупанова (2007); третья научная конференция студентов и аспирантов кафедры МаТИС механико-математического факультета МГУ (Москва, МГУ им. Ломоносова, май 2007);' научная конференция "Ломоносовские чтения"(Москва, МГУ им. Ломоносова,

апрель 2008); Международная научная конференция "Современные проблемы математики, механики и их приложе11ин"посвящеиная 70—литию ректора МГУ академика В.А.Садовничего (март 2009).

Публикации. По теме диссертации опубликовано 4 работы, из которых [1,2.4]—в журналах из перечня ведущих рецензируемых изданий, рекомендо-анных ВАК РФ.

Структура и объем работы. Работа состоит из введения, пяти глав, за-лючения, списка литературы и приложения. Общий объем диссертации состав-яет 116 страниц (вместе с приложениями—132 страницы). Список литературы 'ключает 109 наименований.

раткое содержание работы

Зо введении описываются цели работы, обосновывается ее актуальность и прак-ическая значимость, перечисляются основные результаты исследований.

Первая глава является вводной и содержит описание некоторых важных контексте целей диссертационной работы методов обеспечения целостности конфиденциальности цифровой информации в рамках построения автома-изированной системы управления полетами, навигации, посадки и связи для эродромов государственной авиации.

В первом разделе главы с высокой степенью детализации формулируется остановка задачи, определяются требования к се решению. Особое внимание сляется обеспечению целостности и конфиденциальности цифровой ннформа-ии в процессе ее сбора, хранения и передачи, как одному из важнейших аснск-)в системы управления объектом, который в контексте данной работы являет-целевым. Решения поставленной задачи должны соответствовать требованн-1, изложенным в РД ФСТЭК России "Автоматизированные системы. Защита НСД к информации. Классификация автоматизированных систем и требо-ния по защите информации11!! "Защита от несанкционированного доступа к {формации. Программное обеспечение средств защиты информации. Класси-икация по уровню контроля отсутствия ¡^декларированных возможностей", жтико—техническому заданию на составную часть опытно—конструкторской гботы "Автоматизированная система управления полетами, навигации, по-дки и связи для аэродромов государственной авиации"(шифр ОКР "Рейс— )00"), а также требованиям нормативной и методологической документации инистерства обороны Российской Федерации в области создания средств за-иты информации. Вводится понятие надежности схем цифровой подписи и ис-льзующих их протоколов, иод которой, в контексте данной диссертационной

работы, понимается их устойчивость: к изначальной фальсификации информации; внедрению скрытых каналов передачи данных; к "нехватке"ключей; к проведению внедренными программными агентами вредоносного мониторинга системы АСУП НПС; к последствиям разглашения оперативных параметров "недоверенной"стороне и к имеющийся тенденции снижения уровня информационной безопасности целевой системы.

Во втором разделе первой главы проведено исследование применяющихся на практике методов решения задачи обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи. Вводятся определение и основные требования, которым должна удовлетворять цифровая подпись. Для исследования указанных способов решения задачи в работе применяется системный подход, вслсдствин чего под методом цифровой подписи понимается не только асимметричный алгоритм, но и весь комплекс, алгоритмов, сопутствующих составлению уникальной цифровой подписи. Производится детальное формальное описание применяющихся на практике методов цифровой подписи, как суперпозиции нескольких отображений &гд (h (ffl)). где Ш е {0,1}* и h : {0,1}* {0, 1}{,5 е N, &гд : {0,1}15 -> ©, ЭДег : {О, 1}й х 6 —> {0, 1} Функция /г, является однонаправленной хеш—функцией порядка (5,5 £ N, a 6ig 2Jer—схематичное представление алгоритмов верификации и генерации цифровой подписи. Подобные функции широко применяются в цифровых устройствах регистрации информации с целью составления уникального идентификационного кода цифрового сообщения и но построению должны обладать некоторыми важными свойствами такими, как однонаправленность, устойчивость к коллизиям, устойчивость к нахождению второго прообраза. С целью обеспечения целостности и конфиденциальности данных управляющей системы в процессе хранения, передачи, пакетного обмена, а также для принятия важных распоряжений и контроля правильности отдачи команд, проведено исследование применяющихся на практике способов построения однонаправленных бесключевых хеш—функций h(ffl) : {0,1}* —» {0,1}д manipulation detection code (MDC) и ключевых хеш-функций Л(Ш1) : {0,1}* х {0, l}fc -> {ОД}"5 message authentication code (MAC) порядка igN. Отмечено, что расчет значения подобных функций является первым, ключевых этапом составления цифровой подписи сообщения Ш € {0, 1}*. Проведен всесторонний анализ MDC, MAC хеш—функции, применяющихся в системе з'правления с целью "отсечения" недоверенной стороны, выявления изменения и умышленной фальсификации данных. Установлено, что данные хеш—функции надежны, только когда в протоколе участвуют доверяющие друг другу стороны. Приводятся анализ и описание основных недостатков, использования однонаправленных хеш-функций в рамках единого метода цифровой подписи. Исследован процесс построения однонаправленных хеш—функций.

Пусть Ш € {0,1}*—сообщение, для получения хеш—значения h (9Л) оно специальным образом разбивается на блоки фиксированной длины т. Обозна-

чим через Ш12, ОТз,..., ЗЛлг; Л' G N разбиение первоначального сообщения ЯЯ на указанные блоки, а через /()—сжимающую функцию. В данном случае стандартный алгоритм построения хеш—функции h (Ш1) может быть записан в виде итерационного процесса:

Н0 = v\

Hi = f(mi,Hi-l),i=l,...,N-, (1)

Ii (9Я) = HN -

котором г/—некоторый фиксированный начальный вектор. Если функция /() зависит от ключа, то v можно положить равным нулевому вектору. В против-гом случае, для исключения возможности перебора коротких сообщений (при опытках обращения хеш—функции), и составляется из фрагментов, указьша-ощих дату, время, номер сообщения и другие уникальные признаки. Положив ; (1) /(£01,-. = Ек(Щ в Hi-i), г = 1,...,N,, где Ек—алгоритм блочного

цифрования с ключом К, получим известную схему шифрования со сцеплени->м блоков, где в качестве результата берется не весь текст Н\, #2, Н;¡,.... Ну: только последний блок //д-. Такой режим в ГОСТе 28147-89 назван режи-гом выработки имитоиставки. На основе проделанного исследования установлю отсутствие методов построения эффективных программно—аппаратных >еализаций хеш—функций, с целью использования их в целевой системе АСУП 1ПС. По мере накопления статистического материала об использовании хеш— >ункций, например, MD4, MD5, SHA-1, RIPEMD-160. HAVAL и других, с при-[енением злоумышленником линейного и дифференциального анализа, атак на снове туннельного эффекта, парадокса дней рождений, грубой силы, встреч осередине уровень информационной безопасности данной системы снижается, озможность применения на практике методов, успешно компрометирующих аспространенпые хеш—функции, делает ненадежным использование их в по-обной системе. Однако большинство хеш—функций хранится и используется в иде служебных библиотек, уникальных аппаратных реализаций, и, как след-твие, пользователю не представляется возможность изменять их уникальную рхитектурз'. Следовательно хеш—функции, предполагаемые для использова-ия в рамках инфраструктуры системы управления, которая рассматривается качестве целевой, нуждаются в совершенствовании и модификации с целью остроения эффективных программно—аппаратных реализаций (в указанном ыше смысле). Установлено, что использование модифицированных блочных шфров в схеме (1) (/(ЯЛ;, ff;_i) = Ekuk2(ЯЛ» ® Я;-i)), позволяет решить, воз-икающую при работе системы, задачу "нехватки"ключей и создать их резерв, еобходимо обратить внимание па то обстоятельство, что имеющиеся на на-гоящее время результаты на этом направлении носят разрозненный характер не позволяют строить сложные системы управления критически важными ъектами.

В третьем и четвертом разделах проведено исследование имеющихся про-жолов и стандартов цифровой подписи DSA, DSS, El—Gamal, ГОСТ Р 34.10—

94, ЕСОЭА, ЕСЕ1-Сата!, ГОСТ Р 34.10-01. Приведена аргументация необходимости обоснования использования эллиптической кривой, как оптимальной основы для построения безопасных протоколов цифровой подписи целевой системы. Установлено, что перечисленные стандарты являются модификацией схемы Эль—Гамаля (ЕСЕЬОБА) цифровой подписи, обладающей определенными недостатками. Показана уязвимость указанной схемы к изначальной фальсификации сообщений и внедрению скрытых каналов передачи информации. Выявленные недостатки не позволяют использовать указанные стандарты цифровой подписи в системе управления объектом защиты и снижают общий уровень информационной безопасности. Отмечается отсутствие должной строгости метода определения размеров ключей в схемах цифровой подписи на основе эллиптических кривых, удовлетворяющий требованиям предъявляемым к ним целевой системой. Показана важность обеспечения анонимности подписывающей стороны и минимизации разглашения служебных параметров. Решение поставленных вопросов затрудняет использование перехвата и навязывания ложной информации, а также усложняет ведение злоумышленником мониторинга в инфраструктуре АСУП НПС, что должно быть учтено при построении системы в интересах предупреждения и расследования авиационных происшествий.

В пятом разделе приведены выводы и основные этапы решения поставленных задач, а также схема типов информационных потоков АСУП НПС. Подчеркнута важность и актуальность решения каждой из вспомогательных задач, определены нх роли в системе управления.

Представленные в первой главе результаты исследований свидетельствуют об актуальности рассматриваемых в диссертационной работе задач.

Во второй главе рассматривается построение алгоритмов кодирования данных точками эллиптических кривых. Для применения систем передачи информации и выработки общих ключей на основе эллиптических кривых в АСУП НПС в полном объеме, необходимо создать алгоритмы представления данных (цифровая информация, ключи и других) в виде набора точек. Однако эффективных на практике, способных работать в реальном масштабе времени, алгоритмов представления не разработано, несмотря на то, что впервые о необходимости такого представления было заявлено еще в 1985 Н. Коблицом и В. Миллером. Обозначим через Р конечное поле = 6^(17), где д = рп, п € N. р—простое число.

Определение 1. Пусть х3 + аг.Е2 + ацх + ад—многочлен без кратных корней. Эллиптической кривой Е(Г) над полель называется множество точек (х, у) : у2 + сцху + азу — х3 + (12Х2 + сцж + ао, а; € г = 1,2. 3, 4, 6, вместе с единственным бесконечно удаленным элементом.

В зависимости от значения характеристики конечного поля Р, уравнение эллиптической кривой может приобретать различные виды, приведенные в таб-

лице 1. Если charF > 3, то кривую принято называть эллиптической кривой в

Значение характеристики поля Вид уравнения эллиптической кривой

charF = 2 у1 4- су = хл + ах + b у2 + ху — х3 + ах2 + b

c-harF = 3 у2 = х+ ах1 + Ьх + с

charF > 3 у2 = X3 + Ьх + с

Таблица I. Уравнения всевозможных видов эллиптических кривых.

|>орме Вейерштрасса 2.

пределеиие 2. Пусть над полем Fp заданы две эллиптические кривые: Еаь : 2 - х3 + ах + b и Еа'Ь> : у2 = х3 + а'х + У, а,Ъ,а!,Ь' в ¥р,а' = v2a. Ь' = v3b, де v £ Fp— квадратичный невычет по модулю р. Тогда такие кривые назовем уальиыми.

Дуальные кривые обладают некоторыми свойствами, позволяющими авто-)у решить поставленную задачу представления. Например, пусть Еаь: и Еа>ь>— (ве дуальные эллиптические кривые над полем Fp. Известно, что тогда спра-едливо соотношение #Епь + #£?„<(,< = 2р + 2. Для построения эффективных лгоритмов кодирования, введем следующее вспомогательное определение.

Определение 3. Дискретным спектром поля Fp назовем числовой отрезок ида \р + 1 — 2ч/р[,... ,р + 1,..., [р + 1 + 2^/р] с приписанным каждой точке этого отрезка количеством э.ялиптических кривых, на которых N точек.

Установлена, симметрия дискретного спектра конечного поля отпоситель-о его центра (числа р + 1 указанного в определении 3 отрезка). На основа-ии представленных в диссертационной работе математических рассуждений, втором разработаны детерминированные и вероятностные алгоритмы коднро-ания, решающие представленную выше задачу представления.

Рассмотрим простое поле F = Fp, эллиптическую в форме Вейерштрасса ад этим нолем и конечный алфавит А = {ао, в2,..., ад/_i}. Закодируем иро-вольный номер т точкой Ргп(х.у), переводя, тем самым, буквы алфавита А набор точек на эллиптической кривой. Отображение, которое будет построю, является инвективным, однако оно обладает тем свойством, что по коор-цнатам точки Рт(х,у) однозначно восстанавливается число т, которому она ютветствует. Следовательно, корректно определен процесс декодирования.

Построим вероятностный алгоритм кодирования числа т € [0,..., М — 1] зчкой Рш(х, у) эллиптической кривой у2 = f(x) = х3 + ах + b, a, b € F?, и

2J.Silverman, The arithmetic of elliptic curves, Springer—Verla^, 198G.

соответствующий процесс декодирования. Положим р > Мк, где к - достаточно большое целое число3. Записываем числа от 1 до Мк в виде тк + j, 1 < j < к.

_ ff(rriK + j)\ после чего вычисляем символ Лежандра I - I, если при этом он равен

1, то этот факт означает, что найдена соответствующая точка Рт(тк + j, у). В этом случае, у—такое число, что у2 — f{mn+j)( mod р). Если при вычислении символ Лежандра равен —1, то увеличиваем j на единицу и повторяем процесс.

С вероятностью 1 — — такое представление будет найдено. Восстановление т

' х — х( mod к)

- если j ф к;

производится по формуле: т = ^ _ к

--если j = к.

к

Построим детерминированный алгоритм кодирования конечных алфавитов точками эллиптических кривых. Пусть и—квадратичный невычет, две дуальные кривые Еаь и Еа'Ь': т £ [0,..., М — 1]—число которое мы хотим закодировать. Рассмотрим удвоенный отрезок: [0,... ,2М — 2]. Введем вспомогательные обозначения д{х) = + ax + b. gv(x) = хл + а'х + Ь'. Последовательно, начиная с 0 до 2М — 2. вычисляем символ Лежандра ^ [ , т € [0,..., 2М — 2].

\ Р /

fg(™)\ ,

если I - I = 1, то данному числу соответствует точка на первой кривой, а ес-

(9{т)\

лн I —5— j = —1, то данному числу соответствует точка на второй кривой, т.к.,

= -1.

Р

, . о /х\ _ (д(тп) справедливо соотношение дг\х) = ггд у Заметим, что если I -

то д(тп)~квадратичный невычет по модулю р, но тогда дь(ту) будет являться квадратичным вычетом, верно и обратное. Свойство быть вычетом или невычетом равносильно существованию на соответствующей эллиптической кривой точки Рт{х, у), в которую переводится число т. Дойдя до 2М — 2, выбираем ту кривую, на которой вычетов больше или равно М. Заметим, что подстановка х в Еа'н равносильна подстановки ^ в Епь- В результате работы этого алгоритма в памяти реализующей его ЭВМ получим вид кривой и соответствующую подстановку. Использование автором перечисленных выше результатов, позволило в АСУП НПС в полной мере применять как перспективные системы выработки общих ключей и передачи цифровых сообщений на основе эллиптических кривых, так и протоколы цифровой подписи.

В третьей главе в интересах целевой системы, проведено исследование возможности использования модели эллиптической кривой для построения надежных (в смысле, введенном в главе 1) схем цифровой подписи. Для поддержа-

3Последнее число характеризует вероятность отсутствия представления и равна —. Для практических

целен положим к = '20 пли к = 50.

ния комплексов информационной безопасности объекта на должном уровне, во многих странах используют официальные руководства RSA Security. Указанные руководства носят рекомендательный характер и основаны па результатах сравнительного анализа различных стандартов. Основой для составления подобных таблиц служит метод увеличения размеров ключей. Показано, что подобный метод не решает поставленную задачу, а наоборот, из—за использования сложной арифметики делает использование систем затруднительным в АСУП НПС. На основе проведенного исследования возможности применения модели эллиптической кривой, как метода, повышающего уровень безопасности систем, и использующего при этом ключи существенно меньшей длины. Получена формула, позволяющая разработчику выбирать размер ключей целевой системы.

В теории чисел принято представлять сложность алгоритма в виде функции от длины входа, то есть от количества бит п, необходимых для записи входных данных. Если эта функция представляет собой многочлен от п, то алгоритм шеет полиномиальную сложность, если эта функция имеет вид ес", с = const. го сложность—экспоненциальна. Для определения субъэкспоненциалъной слож-ости введем функцию:

= exp (c(lnp)''(ln lnp)1-'1) . (2)

ри fj, = 0, функция (2) полиномиальна по lap, если д = 1 — то эксноненциаль-ia. Поведение функции (2) при 0 < р. < 1 называется субъэкспоненциальным " показателем (г. При рассмотрении подобных алгоритмов, указанная функция цает представление о вычислительной сложности алгоритма. Субъэкспоненцп-I- ьные по сложности алгоритмы занимают промежуточное положение между юлиномиальными и экспоненциальными алгоритмами. Рассмотрим конечное оле F = GF(q), q = рп, р—простое.

пределение 4. Задачей дискретного логарифмирования (DLP) в конечном юле F с основанием Q € F* : {Q) = F" называется задача нахождения для аданного числа Р 6 F* такого целого числа х, что Qz = Р.

пределение 5. Задачей дискретного логарифмирования (ECDLP) на эллип-ичсской кривой E{F) над конечным полем F называется задача нахождения ля точки Q € E(F) и точки Р Е E(F) такого целого числа х (если оно существует,}1, что имеет место соот,ноше7ше xQ = Р.

Установлено, что в общем случае наилучший оценкой сложности решения

г Г1

дачи в определении 4 в простом поле считается оценка Lp -; с

О

\/l3)I/'3 и 1,902, полученная применением метода решета числового поля. За-ача в определении 5 в общем случае более сложна для решения, чем задача 4.

, где с = (92 +

^Такого числа может и не существовать, ведь группа точек эллиптической кривой не является циклнче-oft.

Это отчетливо проявляется, если char(F) = 2. Заметим, что на настоящее время не существует полиномиальных:, детерминированных алгоритмов, эффективно решающих задачу дискретного логарифмирования на эллиптической кривой. Сложность решения этой задачи является в общем случае экспоненциальной, в мультипликативной группе—субъэкспоненциальной. Автором установлено, что наилучший среди известных на настоящий момент алгоритмов по решению ECDLP имеет сложность 0(^/р) операций сложения в группе {E(Fp, ©)}. Для получения этой оценки использовался метод Полларда. С целью проведения расчета, введем в рассмотрение число n = [log2p]. Отбросив константы н, введя в рассмотрение функции CecdlpÍP) {Cdlp(1))~сложности решения ECDLP (DLP) в зависимости от количества бит п(1) на входе, получим формулу

СесосрЫ) « CDÍP(l), W п = 2 (log2 (ехр (d/1/3 (1п(/1п 2))2/3))) , С1 и 1,672.

Следовательно, СесоьрЫ) ~ Cdlp(s), s — О (n3). Здесь ECDLP рассматривается над полем Fp, a DLP над полем Fp». Только за счет перехода на модель эллиптической кривой произошло увеличение сложности на нелинейный множитель s.

/

Рис. 1. Соотношение длин ключей.

Основываясь на сделанных расчетах, представленных на рисунке 1, отражено соотношение длин ключей в системах над конечными нолями (горизонтальная ось) и системами на основе эллиптических кривых (вертикальная ось), имеющих одинаковый уровень информационной безопасности. Изменение параметра s показано на рисунке 2. Доказательно обоснованные расчеты, позволяют разработчику выбирать размер ключей систем на основе эллиптических кривых в рамках целевой системы. Принимая во внимание стандарт на цифровую подпись (имеющиеся таблицы RSA) и используя полученные оценки, приведем соотношение бит систем DSA (DSS),(ECDSA, ГОСТ Р 34.10-01) в виде таблицы 2. Исходя из представленных в ней данных, 1024—битная схема цифровой подписи DSA может быть заменена на 160—битную

схему ECDSA электронной цифровой подписи рИс. 2. Коэффициент расширена эллиптических кривых. На основе прове- ния поля.

денного анализа обоснованы хорошие перспективы и целесообразность использования модели эллиптический кривой в задаче разработки безопасных, обладающих достаточным быстродействием протоколов цифровой подписи системы АСУП НПС на основе эллиптических кривых. Указанная особенность не только позволяет успешно использовать подобные системы в различных программно-аппаратных решениях, но и существенно ускоряют процесс вычислений, что, в

вою очередь, приводит к повышению производительности используемых вычислителей системы. Данное свойство является ключевым при разработки современных мобильных цифровых устройств, участвующих а информационном обмене целевой системы. Практическая ценность расчета состоит в том, что, используя полученные результаты, разработчик в состоянии контролировать уровень информационной безопасности систем на основе сложности решения задач, представленных в определениях 4, 5, для долговременного поддержания рекомендованного уровня информационной безопасности подконтрольного объекта.

Четвертая глава посвящена исследованию и совершенствованию применяющихся на практике однонаправленных хеш—функций с цслыо повышения эффективности их программно—аппаратных реализаций в целевой системе. В первом разделе главы проведен анализ основных атак на однонаправленные хеш—функции. Обозначим, через Р^к, п) вероятность того, что для фиксированных ЯЯ € Таблица 2. Разме- О, Г и 0?ь ..., О?* 6 {0,1}* существует номер г = 1,.., к тары ключей. кой, что Н(Ш) = где п—порядок хеш-функции /г().

Через Р'2(п,к) обозначим вероятность того, что на множестве из к элементов, каждый из которых может принимать 2" значений, существуют хотя бы два с одинаковыми значениями. На основе математических

расчетов получено, Р{{к,п) = 1 - (1 - 2"1)к: Р2(п,к) > 1 - е 2" Используя полученные оценки для атак методом "грубой"силы и атак, основанных на парадоксе дней рождений, рассчитаны таблицы практически важных значений указанных вероятностей. Основываясь на значениях вероятности Р2(к,п), сделан вывод о том, что задача предварительной заготовки коллизии (например, методом дней рождений), приводит к успеху при переборе уже к = 2'1/2 текстов, и является более легкой вычислительной задачей. Проведено исследование атак, основанных на специфике построения хеш-функций. Анализируя унифицированный алгоритм подобного построения 1, замечено, что текст Ш разбивается на блоки 0Яi (в большинстве случаев размером в 512 бит) и включается итерационный процесс подсчета хеш—значения 1ч = / (/г,-_1, Ш{). Длина раунда небольшая, поэтому при определенных условиях, применяя дифференциальный анализ, можно найти текст ДС такой, что к (9Л; + ДС) = 1г(Ш{). Подобные атаки, названные автором атаками на основе туннельного эффекта ДС, позволяют вскрывать некоторые распространенные хеш—функции с линейной трудоемкостью. Установлено, что используя туннели вида: С = (0,231, 231 - 228,О,0,0,0,0,0, 0,0,0, -216,0,0,0), С = (0,0,0,220,0,0,0,0,0,0,218 + 231,0,0,0,0,231) успешно компрометируются хеш—функции МЭ4, ШРЕ1уЮ128. Атака на основе туннельного эффекта при определенных условиях, является самой быстрой, ее трудоемкость минимальна и сводится к простым вычислениям. Данные обстоятельства позволяют сделать

ЕСОЭА: ЭБА:

106 512

132 768

100 1024

224 2048

вывод о том, что использования в рамках целевой системы хеш—функций небезопасно и требует разработки методов устойчивости к коллизии и нахождению второго прообраза. Установлено, что рекомендованный для предотвращения указанных недостатков метод Шнайера ие способен устранить туннельный эффект. Для решения задач в такой постановке однонаправленные хеш—функции рассматривались как черные ящики, уровень доверия к которым необходимо повысить, применяя математические методы. В результате, в работе построены методы, позволяющие не только вновь использовать на практике некоторые хеш—функции, но и конструировать надежные хеш—функции для применения в АСУП НПС. Практическая ценность представленного решения обусловлена тем обстоятельством, что большинство хеш—функций, обладают уникальной архитектурой, стандартизованы и организованы в служебные библиотеки (например. PGP), работающие под ОС MS Windows, Linux. Пусть ГОТ € {0,1}* произвольный текст. Разработаны и протестированы следующие методы:

SS—суффиксной суперпозиции Л(ГОТ) = ... || к{Ш || Л(0Л |] /г(ШТ)))...;

РС-префпксной конкатенации к{Ш) = ... jj h{h{h(m) || ГОТ) || ГОТ) || ГОТ...;

С-конкантенации Л(ГОТ) = /н(ГОТ) || Л2(ГОТ) || ... || hk{W)\

S—суперпозиции /г(ГОТ) = hi(h2{... hk{Wl)));

SUB—перестановок /г(ГОТ) = Л(ГОТ) || /¿(тгЦГОТ)) || ... || /¡.(тг^ГОТ));

SSUB—усиленных перестановок Л(ГОТ) = ... к^ЩщЩШ) || ГОТ)) || ГОТ))....

Здесь 7г¿, i = 1 .....к— произвольные перестановки исходного текста ГОТ, hi однонаправленные хеш—функции, ||—конкантенация. Исследована на примерах устойчивость к коллизиям полученных хеш—функций и приведены способы их избежания. Используя понятие ключевых однонаправленных хеш—функций (MAC), ключи могут быть внедрены как в перестановку, так и непосредственно в саму однонаправленную хеш—функцию, что решает вопросы нехватки ключей и отсечения "недоверснон"стороны. Среди полученных методик выбраны оптимальные с позиции безопасности и скорости работы реализующих их программных механизмов. Предложены эффективные схемы EkL (ГОТ, (ГОТ)), (£')Cl (ГОТ), (ЯН)), {Eitj (ГОТ), hk2 {Ei(ГОТ))) совместного использования ключевой хеш—функции и симметричного шифрования для решения задач аутентификации источника данных и распознавания информационных потоков различных типов данных АСУП НПС, соответствующих требованиям технического задания на эту работу. Даны рекомендации по оптимальному использованию схем и способов организации ключей. Получена схема (3) алгоритмизации итерационного процесса (1).

Hi = Еа.в {С) ® D;

A,C;D е {ГОТ,-, Я,_1,ГОТ; ф Я,-_ь X, const} ; (3)

X = д{Ши Я,:-1, const), В = /(ГОТ,, #¿-1, const).

В схеме (3) функции </(•),/(•) являются функциями сжатия блока до определенной фиксированной длины, раиной длине ключа К шифрования в алгорит-

лс блочного шифрования Е. В результате проведенных исследований получений схемы, удалось выделить надежные схемы хеширования на основе блочных иифров и структурировать имеющиеся на практике схемы построения одио-гаправлешгых хеш—функций из алгоритмов блочного шифрования. Схема (3) /силена за счет разработанного мультиключевого алгоритма расчета хеш— тачения, основанного на модифицированных стандартах блочного шифрова-шя (ГОСТ 28147-89, DES), являющихся сетями Фсйстеля. Введение параметрического семейства латинских квадратов, позволило ввести в S—блоки зависимость от дополнительного ключа. В результате, без потери быстродействия, шело ключей соответствующей MAC—функции, основанной на сети Фейстсля, Увеличено в несколько раз. Отмеченное обстоятельство позволило разработать гультиключевой алгоритм построения однонаправленных хеш—функций, в котором ключ может обновляться на каждом раунде, что позволило существенно 'величить порядок ключевого множества. Формально, вместо статической си-темы h = Ek{C), ¿—первоначальный ключ, рассматривалась динамическая си-:тема (конечный автомат) вида: h, = ¿4./с,(С), kt — f(k, fct_i),£ — 1,2,.... При 'аком подходе на каждом этапе итерационного процесса 3 происходит смена клоков перестановок (S—блоков), зависящих от ключа kt. Используя в мульти-ключевом алгоритме переменные S—блоки, удалось многократно снизить эффективность использования линейного и дифференциального анализа для компрометации системы. Действительно, основываясь на исследовании трудов [Памира и Мацуми, установлено, что если S—блоки не являются фиксированными, то соответствующие виды анализов малоэффективны. Разработанные схемы применены для введения дополнительных ключей в предложенные алгоритмы подсчета хеш—значения, которые позволяют разработчику создать их иерархию при использовании в различных аппаратных решениях. Отмечается то обстоятельство, что применение переменных блоков (мультиключевого подхода) с целью шифрования требует детального изучения вопросов, связанных с наличием слабых ключей и оптимальностью выбора блоков замены. В противном случае схема будет иметь существенные недостатки. Мультиключевой способ построения хеш—функций используется в высокоскоростных аппаратных реализациях целевой системы. Представленные результаты позволяют успешно решать поставленные выше задачи в рамках единого метода цифровой подписи па эллиптических кривых, существенно повышая защиту от заранее выработанных коллизий и позволяя создать иерархию и резерв ключей.

Пятая глава посвящена совершенствованию и созданию программных реализаций схем цифровой подписи на основе эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения н передачи в рамках целевой системы, а также описанию реализованного программно—аппаратного комплекса. Показано, что протоколы цифровой подписи DSA, ECDSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10—01 неустойчивы к изначальной фальсификации информации. В работе рассмотрен наиболее перспективный алгоритм цифровой подписи на эллиптн-

ческих кривых ECDSA, принятый стандартами: ISO(1998); ANSI Х9.62(1999); IEEE(2000); NIST(2000). Алгоритмы генерации и верификации цифровой подписи данного стандарта связаны с сообщением Ш только через хеш—функцию /г(-). В FIPS рекомендуется использовать ECDSA с хеш—функцией SHA-1 порядка 160 бит, однако в ECELGSA, ГОСТ Р 34.10—01 применяют другие хеш-функции. Учитывая счетность множества всех текстов над алфавитом 0,1. для любой хеш—функции существуют два различных сообщения Wli,ffl2 £ (0,1}* таких, что /i(9Jti) = /г(ОТ2). Вопрос нахождения коллизий в хеш—функциях является открытым и, по сути, ответ на него — дело времени. В работе приводились методы оперативного вычисления коллизий, например, основываясь на туннельном эффекте. Следовательно, злоумышленник в состоянии заранее заготовить сообщения OTi,9Ji2- При этом, отдав на подпись сообщение 9Jti и заменив его после процедуры подписывания, своим сообщением Ш2, злоумышленник, успешно проходит процедуру верификации ложного сообщения. Автором установлено, что ECDSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10-01 являются частными случаями схемы цифровой подписи ECELGSA. Действительно, после несложных преобразований, уравнение генерации цифровой подписи ECDSA представляется в виде и = k\v + k2w mod (р — 1), где ki, к2—долгосрочный и сеансовый ключи. Рассмотрев в качестве троек (u.v,w) всевозможные перестановки чисел Л(ЯЯ), ±r, ±s при некотором выборе знаков, получим новые схемы цифровой подписи, приведенные в таблице 3. Заметим, что схемы 1,2,3,4

Номер и v ш Уравнение генерации Уравнение проверки

1 h{m) г s /¡(ОТ) = kir + k2s h{m)P = rQr Ф sQ2

2 п(т) —г s h{m) = -г ki + k2s h(m)P = -rQl®sQ2

3 -h{m) s г ~h{ ЭЛ) = kis + k2r -/t(OT)F = sQi © rQ2

4 s г A(fflt) s = kYr + к2ЦЩ sP = rCh ® h{m)Q2

Таблица 3. Простейшие полученные модификации схемы ЕСЕЬОЗА.

являются соответствуют схемам цифровой ЕСЕЬСЭА, ЕСОЭА, ГОСТ Р 34.1094, ГОСТ Р 34.10-01. Как уже отмечалось в первой главе, указанные схемы являются частными случаями схемы Эль—Гамаля, и, как следствие, обладают отмеченными выше недостатками. Для устранения недостатков перечисленных схем и других частных случаев схемы Эль—Гамаля, вводится зависимость между текстом /г(2Л) и сеансовым ключом кг. В качестве слабой зависимости рассматривается замена в алгоритме генерации цифровой подписи 1г(9Л) па || г). С целью усложнения зависимости применяются способы модификации хеш—функций (оппсанные в главе 4) и введение уникальных идентификационных меток (время, размер, число 0, и другие). Внедрение нетривиальной зависимости хеш—значения от случайного сеансового ключа и терминальных параметров усиливает схему цифровой подписи. Однако, для проверки подписи необходимо знать алгоритм выработки хеш—значения, что в некоторых случаях существенно снижает безопасность подобных схем.

Для решения задачи минимизации разглашения служебных параметров :истемы управления разработаны схемы с восстановлением на основе эллиптических кривых, где совместно с подписью передастся хеш—значение 1г(Ш). Сторона—верификатор с состоянии извлечь из подписи (г, s) сообщения 9Я ¡осстановленное хеш—значение к(Ш) без знания алгоритма вычисления хеш— :!1ачения h{-). Для проверки правильности подписи остается проверить спра-кхцливость соотношения к{Ш) = к(Ш ), где ЯЯ —сообщение, подпись под кото-)ым проверяется, a h(Wl) —хеш—значение приписываемого сообщения Ш, излеченное из цифровой подписи (г, s). Даш[ая схема реализована в виде модуля 5CNRDSA, который решает поставленную задачу.

С целью предотвращения изначальной фальсификации в подобных схе-tax, получена схема ECSDSA, не являющаяся схемой с восстановлением. При юстроеиии единого контура информационно—аналитической системы АСУП ШС, кроме задач, связанных с аутентификацией информации, рассмотрены ie менее важные задачи обеспечения анонимности. Более формально, зло-гмышленнпк имеет возможность, осуществляя мониторинг пакетов данных, 'станавливать их тип или идентифицировать посылающую сторону (так как долгосрочные ключи изменяются не так оперативно как сеансовые и являются кестко привязанными к стороне инициирующей протокол "слепой"подинси). Применение схем слепой подписи в сетях АСУП НПС, позволяет избежать воздействия вредоносного мониторинга за типами информационных потоков. При том предоставляется возможность повысить время жизни ключей данной системы. Автору удалось разработать схемы ECBDSA слепой подписи па основе эллиптических кривых. В их основе лежит модификация схемы ECSDSA за счет введения сглаживающих слагаемых. При равновероятностном выборе указанных слагаемых по соответствующей подписи корректно идентифицировать пользователя не представляется возможным, поэтому, все требования протокола "слепой"подписи удовлетворены.

Представленные выше схемы цифровой подписи могут быть использованы для организации скрытых каналов передачи данных со сравнительно большой пропускной способностью. Действительно, случайный характер выбора сеансового ключа /и'2, по которому в стандартах формируется элемент подписи г. позволяет передавать в подписи необходимую информацию (результаты мониторинга системы, команды, сигналы и другие). Указанный недостаток в классических схемах цифровой подписи не удовлетворяет требованиям нормативной документации. При длине модуля N = 1024 бит в одной подписи можно передать около 1000 бит информации. Изложенные соображения свидетельствуют о том, что построенный таким образом канал передачи данных является обладает высокой пропускной способностью. Для предотвращения внедрения подобных каналов представим оба элемента подписи (г, s) в одинаковом виде: к\Р = (х\, iji) ,г = х 1 mod N\ клР = {х-г, Vi) -,s = xo mod N. Числа fcj, к,2 вычисляются одновременно путем анализа двух сравнений, которые записываются

в зависимости от вида проверочного соотношения. Ключевая идея указанного механизма состоит в том, чтобы сделать вычислительно невозможным расчет одного из параметров г, s при наперед заданном значении другого. Параметры г, s используются как аргументы двух различных функций f\(r. s), /2(г. s). При определенных ограничениях на значения аргументов их можно изменять таким образом, что значения одной функции, например /2(г, s), будет оставаться неизменным. Значение оставшейся функции /¡(г, s) при этом будет изменяться таким образом, что можно подобрать пару значений г и s. при которых будет выполняться некоторое проверочное соотношение. Следовательно, в определенной области пар значений (г, s) /2(г, s) = const = и, поэтому проверочное соотношение удалось упростить, что при определенном его виде позволит вычислить подпись (r(u>),s(u)), зависящую от параметра и>. В работе приведены виды проверочных уравнений, условия постоянства, непосредственные схемы подобных подписей.

Приводится описание разработанного автором модуля ECDSM (Elliptic Curve Digital Signature Module) и его роль в аппаратных комплексах системы АСУП НПС, обеспечивающих целостность и конфиденциальность цифровой информации в процессе сбора, хранения и передачи между ключевыми объектами целевой системы. С целью структуризации процесса обработки большого количества информационных потоков рассматривался единый протокол взаимодействия систем АСУП НПС. Согласно единому протоколу, данные, подлежащие объективному контролю, организованы в виде цифровых пакетов разных типов и размеров. Каждый цифровой пакет данных содержит рассчитанную с использованием разработанных методов уникальную цифровую подпись. Представим содержимое пакета в виде таблицы 4.

Код информа- Размер Данные Цифровая Цифровая

ционного источника данных подпись 1 подпись п

Таблица 4. Схема цифрового пакета.

Количество цифровых подписей выбирается, исходя из числа информационных типов потоков н числа упомянутых выше ключевых объектов (источников). По этой причине каждый подконтрольный источник данных обладает уникальными ключами, необходимыми для выработки и проверки подписи. Модуль ECDSM реализован автором, как виртуальный С++ класс, основные функции которого приведены на нижеследующей схеме.

public class ECDSM { public: ECDSM(void);

virtual bool SotDigitaÍSignaturc(Adata *data, BYTE *buf); virtual bool VerDigitalSignature(Adata *data, BYTE *buf); virtual bool InitAdata(Adata *data); ~ECDSM(void);

};

Структура Adata представляет собой некоторое количество терминальных

[арамстров. таких как долгосрочныс(сеансовыс) ключи, код источника, тип и зазмер данных, необходимых для выработки (проверки) цифровой подписи на шлпптнческой кривой.

Функция virtual bool InitAdata(Adata *data) производит начальную инициализацию структуры Adata. На этапе инициализации происходит заполнение icex необходимых полей Adata, включая эллиптическую кривую, точку основания, ключи, параметры MAC(MDC)—хеш—функций.

Функция virtual bool SetDigitalSignature(Adata *data, BYTE *buf) вычисляет цифровую подпись для параметров data и пакета данных buf. При этом вычисленная подпись встраивается в пакет данных buf. В случае успеха фуик-(ия возвращает значение true, иначе—значение false.

Функция virtual bool VerDigitalSignature(Adata *data, BYTE *buf) проверяет цифровую подпись для параметров data и пакета данных buf. В случае ■спсха функция возвращает значение true, иначе—значение false.

Представлены описания технологических особенностей, разработанных автором программ. Модуль цифровой подписи на основе эллиптических кривых ECDSM реализован, как отмечалось выше, как виртуальный С+т- класс. Цс-1есообразность подобного технологического решения обусловлена гибкостью и простотой поддержания большого числа описанных подклассов, так как набор необходимых функций подобных классов единообразен. Модуль ECDSM интегрирован в МЦМ (многоканальный цифровой магнитофон) и в соответствующие системные библиотеки (ecdsm.dll). Тестовая реализация программы, написана с использованием графической библиотеки framework 2.5 на платформе ОС Windows Professional.

Далее перечислены поддерживаемые модулем ECDSM виды схем цифровой подписи. Виртуальный класс ECDSM приводится к одному из перечисленных ниже классов.

• ECDSA (Elliptic Curve Digital Signature Algorithm) является реализацией стандарта ECDSA, описанного в главе 1.

• ECGOST (Elliptic Curve GOST) является реализацией действующего ГОСТ РФ 34.10-01.

• SECDSA (Strong Elliptic Curve Digital Signature Algorithm) соответствует реализации усиленной схемы ECDSA, описание которой приведено в главе 5. Данная схема является устойчивой к изначальной фальсификации сообщений.

• SECGOST (Strong Elliptic Curve С08Т)-рсализация ГОСТ РФ 34.10-01, устойчивого к изначальной фальсификации сообщений (см. главу 5).

• ECELDSA (Elliptic Curve El—Gamal Digital Signature Algorithm) представляет собой реализацию алгоритма цифровой подписи Эль—Гамаля.

• SECELDSA (Strong Elliptic Curve El-Gamal Digital Signature Algorithm) представляет собой реализацию усовершенствованной автором схемы цифровой подписи Эль—Гамаля.

• ECNRDSA (Elliptic Curve Nyberg—Rucppel Digital Signature Algorithm) является реализацией алгоритма цифровой подписи с восстановлением.

• ECSDSA (Elliptic Curve Schorr Digital Signature Algorithm)—реализация аналога схемы Шнорра на основе эллиптической кривой.

• ECBDSA (Elliptic Curve Blind Digital Signature Algorithm)— соответствует алгоритму "слепой"подписи на основе эллиптических кривых.

• ECWHCDSA (Elliptic Curve Without Hidden Channels Digital Signature Algorithm) представляет собой схему цифровой подписи, устойчивую к внедрению скрытых каналов передачи данных, обладающих высокой пропускной способностью.

• WDSA (Weak Digital Signature Algorithm)—является "сла-бой"симметричной цифровой подписью (см. главу 4 диссертационной работы).

Каждый из перечисленных классов наследует ряд классов полученных применением разработанных автором методов повышения эффективности программно—аппаратных реализаций однонаправленных хеш—функций, представленных в главе 4. Для каждого из введенных классов SS, PC, С, S, SUB, SSUB, реализована зависимость от следующих подклассов, представленных на рисунке 3.

Отмечено, что в качестве хеш—функций возможно применять, не только представленные на рисунке 3 функции, но и произвольную однонаправленную хеш—функцию. Данное обстоятельство расширяет список возможных классов, увеличивая время жизни системы информационной безопасности подконтрольного объекта. Список классов расширяется также путем применения различных блочных шифров (класс МАСВС) и их SB—модификаций (подкласс UECB— Universal Electronic Code Book соответствующий разработанной автором в главе 4 универсальной схеме построения однонаправленных хеш—функций на основе блочных шифров). Приведенное обстоятельство свидетельствует о возможности оперативной модификации реализованного модуля ECDSM.

Полученные автором в диссертационной работе результаты применяются в информационных системах объективного контроля оперативных и диспетчерских служб в рамках Концепции информационной безопасности организации

| кстем] £

I ЕСР&А| ( ЕССОКт| | ЕСЕЫЮА] | ЕСГПШКА | | ЕСЕР£А | { есвр8л | |КОУДСР&А)

| ЬКСРКА | | 5КС<Х>вт| | БЕСВЬ-гел) | 1УР&А }

£ £

|ю| | гс) [с] [Т] | ксв | I .таья |

0

( МОСШИ Л МОСШГЕШ) || МОСТКЕК || МООУШЫЛХХ, | 1 I ШХХЮБТ | | ШХЗНЛ! ЦшКЛОИ

I МАСШМЦ МАСВ1Г«МЮ ] | МАСПСЕК ] | МАС^СНИЫЛЮС | | МАССОСТ | | МАСБПА1 ¡1 МАСМ05

I МООША! |( мложлг [| МОСНАУЛА, || МАСИЛУЛЬ | I МАССВС

П $

(¿СВ | |свс| |сга| |ога| | СЕСВ |

£ п V

| РЕ5 ] | шел |) тоет | I АКБ 11 ИАЬ | | 5ВОЕ8 111 КВСОБТ)

Рис. 3. Схема сопряжения подклассов ЕСОБМ.

воздушного движения РФ. Данные системы разрабатываются ФГУП Научно— гехнологичеекий центр "Электроптех"РАН с целыо реализации автоматической записи, обработки, архивирования и воспроизведения речевой, телеметрической и видеоинформации в реальном масштабе времени, а также для обеспечения многоуровневой защиты информации от несанкционированного доступа. Использование данной аппаратуры позволяет на высоком уровне обеспечивать объективность контролируемой информации автоматизированной системы управления полетами, навигации, посадки и связи аэродромов государственной авиации"(ОКР шифр—"Рейс—2000"). Модуль ЕСОЭМ и соответствующие программные комплексы применяются НТЦ "Электроптех"РАН в современных многоканальных цифровых магнитофонах (МЦМ) и станциях воспроизведения регистрируемой информации.

В заключении диссертационной работы перечисляются ее основные результаты.

• Усовершенствованы методы использования модели эллиптической кривой с целыо построения схем цифровой подписи, устойчивых к изначальной фальсификации, внедрению скрытых каналов передачи данных и других методов компрометации. Создана схема "слсной"цифровой подписи на основе эллиптических кривых. На основе метода Полларда получена формула расчета длин ключей, позволяющая определять уровень безопасности систем на основе эллиптических кривых.

• Разработаны алгоритмы кодирования данных точками эллиптических

кривых, используемые для создания на их основе программных средств, позволяющих в реальном времени использовать в целевой системе протоколы выработки общих ключей и передачи информации на основе эллиптических кривых.

• Созданы методы построения эффективных программно—аппаратных реализаций однонаправленных хеш—функций, решающие задачи отсечения "недоверенной"стороны, "нехватки"и создании резерва ключей, а также задачи защиты от коллизий и долговременного поддержания высокого уровня безопасности информационной системы. Предложен мультиклю-чевой алгоритм' реализации хеш—функций, при котором ключ может обновляться на каждом раунде, что позволило существенно увеличить порядок ключевого множества.

• Реализован и прошел тестовые испытания комплекс программно-аппаратных средств, обеспечивающих целостность и конфиденциальность информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения.

Благодарности. Автор выражает глубокую признательность своему научному руководителю кандидату физико-математических наук, в.н.с. Носову Валентину Александровичу за постановку задач и осуществление научного руководства, доктору физико—математических наук, профессору Васенину Валерию Александровичу за ценные замечания по тексту диссертации, способствующие ее улучшению.

Публикации по теме диссертации

[1|. Левин В.Ю. Кодирование алфавитов точками эллиптических кривых.// Интеллектуальные системы, 2007, т. 11, вып. 1—4, стр. 171—183.

[2). Лёвин В.Ю., Носов В.А. Анализ повышения криптографической сложности систем при переходе на эллиптические кривые.// Интеллектуальные системы, 2008, т.12, вып. 1—4, стр. 253—269. (В.Ю. Левину принадлежат результаты по обоснованию целесообразности использования эллиптической кривой в построении стойких протоколов цифровой подписи и проведение соответствующего математического расчета изменения криптостой-костн подобных систем).

[3]. Лёвин В.Ю., Носов В.А. Повышение криптостойкостн криптосистем при переходе на эллиптические кривые.// Материалы международной конференции "Современные проблемы математики, механики и их приложений "посвященной 70-летию ректора МГУ академика В.А.Садовничсго,

2009, стр. 304—365. (В.10. Левину принадлежат результаты проведенного расчета изменения стойкости систем при переходе па модель эллиптической кривой).

Лёвин В.Ю. Повышение криптографической стойкости протокола цифровой подписи на эллиптических кривых.// Информационные технологии,

2010, №5, стр. 33-37.

Подписано в печать 25.11.2010 Формат 60x88 1/16. Объем 1.0 п.л. Тираж 100 экз. Заказ № 1060 Отпечатано в ООО «Соцветие красок» 119991 г.Москва, Ленинские горы, д.1 Главное здание МГУ, к. А-102

Введение

1. Постановка задачи, эллиптическая кривая, исследование протоколов и стандартов цифровой подписи, обеспечивающих целостность и конфиденциальность регистрируемой информации.

1.1. Постановка задачи.

1.2. Цифровая подпись и однонаправленные хеш—функции в задаче обеспечения целостности и конфиденциальности цифровой информации.

1.3. Протоколы и стандарты цифровой подписи, особенности и выявленные недостатки

1.4. Выводы и основные этапы решения поставленных задач.

2. Кодирование данных точками эллиптических кривых

2.1. Анализ спектра конечного поля и теорема симметрии.

2.2. Детерминированный алгоритм кодирования конечных алфавитов точками эллиптических кривых.

2.3. Вероятностный алгоритм кодирования конечных алфавитов точками эллиптических кривых.

3. Получение формулы расчета размеров ключей в протоколах цифровой подписи целевой системы

3.1. Понятие сложности алгоритма цифровой подписи

3.2. Анализ сложности решения задачи дискретного логарифмирования в мультипликативной группе конечного поля.

3.3. Анализ сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой.

3.4. Сравнительный расчет соотношения сложности задач дискретного логарифмирования на эллиптической кривой и в мультипликативной группе конечного поля.

4. Модификация однонаправленных хеш—функций с целью повышения эффективности их программно—аппаратных реализаций

4.1. Анализ трудоемкости основных атак на однонаправленные хеш—функции

4.2. Повышение устойчивости однонаправленных хеш—функций, на основе совершенствования метода Шнайера

4.3. Внутреннее повышение устойчивости однонаправленных хеш—функций

4.4. Построение реализаций хеш—функций на основе модифицированных стандартов блочного шифрования.

5. Совершенствование и описание программных реализаций схем цифровой подписи на основе эллиптических кривых, решающих поставленные в рамках целевой системы задачи

5.1. Совершенствование и реализация алгоритма цифровой подписи Эль— Гамаля на основе эллиптических кривых устойчивого к изначальной фальсификации подписываемой информации.

5.2. Совершенствование и описание реализации алгоритма цифровой подписи с восстановлением на основе эллиптических кривых.

5.3. Реализация алгоритма цифровой подписи Шнорра на основе эллиптических кривых с целью построения эффективной схемы слепой подписи.

5.4. Построение и реализация алгоритма "слепой"цифровой подписи на основе эллиптических кривых.

5.5. Реализация алгоритма цифровой подписи на основе эллиптических кривых устойчивого к внедрению скрытых каналов передачи данных.

5.6. Описание программно—аппаратного комплекса.

Стремительное развитие информационных технологий оказывает существенное влияние на все стороны жизни общества. Широкое использование телекоммуникаций, технологий Интернет, небывалые масштабы информатизации систем управления в различных сферах деятельности человека и технологических процессах привели к резкому возрастанию потребности в обеспечении информационной безопасности. Ключевое значение при этом отводится целостности и конфиденциальности (достоверности и аутентичности) передаваемой цифровой информации. Таким образом, в развитии инфраструктуры информационной безопасности различных информационно—аналитических систем целостность и конфиденциальность цифровой информации являются центральными задачами. Особое внимание этим вопросам отводится при построении единой системы обработки, анализа и документирования регистрируемой информации в интересах предупреждения и расследования авиационных происшествий. Концепция безопасности такой информационно-аналитической системы изложена в Распоряжении Правительства Российской Федерации "Обеспечение безопасности полетов воздушных судов государственной авиации Российской Федерации в 2010—2014 годах"от 22 апреля 2009 г. По этой причине, исследование проблемы обеспечения целостности и конфиденциальности регистрируемой и передаваемой в подобной системе цифровой информации является крайне важной и актуальной задачей.

Математическая модель, использование которой обеспечивает решение поставленной задачи, должна быть достаточно гибкой в плане реализуемых на ее основе функций и пригодной для проведения с ее помощью вычислений в реальном масштабе времени. Бурное развитие вычислительной техники расширяет набор требований к данной модели. Основные из них: обеспечение высокого уровня информационной безопасности; обеспечение высокой производительности; возможность безопасной реализации соответствующих программных механизмов и создания на их основе средств, обладающих особенностями оперативной модификации.

Настоящая работа, посвящена исследованию и совершенствованию алгоритмов цифровой подписи на основе эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи в рамках развития инфраструктуры информационной безопасности автоматизированной системы управления полетами, навигации, посадки и связи аэродромов государственной авиации (именуемой далее АСУП НПО или целевой системой). В работе предложены алгоритмы цифровой подписи на основе эллиптических кривых которые, по эффективности применения в целевой системе, существенно превосходят имеющиеся аналоги. Установлено, что стандартные алгоритмы цифровой подписи Эль—Гамаля на эллиптической кривой неустойчивы к определенным методам их компрометации, таких как изначальная фальсификация, внедрение скрытых каналов передачи данных и ряд других. Данные особенности не удовлетворяют настоящим повышенным требованиям к безопасности и быстродействию, предъявляемым системой информационной безопасности организации воздушного движения. Для решения поставленной в работе задачи автором систематизированы и дополнены математические знания в области эллиптических кривых, алгоритмов цифровой подписи с восстановлением, с дополнением, алгоритмов 11 слепой" подписи на эллиптических кривых. Процесс построения надежных протоколов цифровой подписи на эллиптической кривой рассматривается в диссертации как единый метод, включающий в себя не только асимметричный алгоритм'подписи, но и алгоритм выработки уникального хеш—значения сообщения. При изучении однонаправленных хеш—функций разработаны методы, позволяющие строить надежные однонаправленные хеш—функции, как из "недоверенных"хеш—функций, так и из произвольных алгоритмов блочного шифрования. Следует отметить, что в процессе разработки предлагаемых методов удалось в несколько раз увеличить количество ключей MAC—хеш—функций, основанных на алгоритмах блочного шифрования, являющихся сетями Фейстеля (например, ГОСТ 28147-89, DES) применяемых автором для построения хеш—функций без снижения их быстродействия. Одним из ключевых достоинств указанного решения является тот факт, что была максимально сохранена структура подобных шифров, что позволяет создавать эффективные аппаратные реализации усовершенствованных MAC—хеш-функций. Кроме этого в работе рассмотрены подходы к решению ряда сопутствующих задач и примеры, позволяющие использовать модель эллиптической кривой не только для построения эффективного протокола цифровой подписи в системе информационной безопасности организации воздушного движения, но и для развития математического обеспечения и создания программных средств, связанных с обеспечением целостности и конфи денциалыюсти информации в процессе ее сбора, хранения и передачи.

Необходимо отметить, что Постановлением Правительства РФ от 18 июня 1998 года JY2 605 (ст. 1, п. 4) определено: "Единая система организации воздушного движения Российской Федерации имеет стратегическое значение для безопасности государства". Отмеченные выше обстоятельства определяют актуальность задачи обеспечения целостности и конфиденциальности цифровой информации.

С учетом изложенного выше, основной целью настоящей работы является разработка программных средств на основе совершенствования алгоритмов цифровой подписи на эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения.

Научная новизна результатов диссертации состоит в развитии методов использования модели эллиптической кривой в протоколах цифровой подписи, используемых для защиты целевой системы, а также в усовершенствовании однонаправленных хеш—функций с целью повышения их устойчивости к различным методам их компрометации: генерация коллизий, "нехватка,,ключей, разглашение служебных параметров, нарушение целостности и ряд других. Предложено улучшение метода Шнайера борьбы с туннельными коллизиями хеш—функций. Создан мультиключевой алгоритм реализации хеш—функций, при котором ключ может обновляться на каждом раунде, что позволило существенно увеличить порядок ключевого множества. На основе метода Полларда получена формула расчета длин ключей, позволяющая определять уровень безопасности систем на основе эллиптических кривых. Применен системный подход к созданию эффективных средств обеспечения целостности и конфиденциальности информации, объединяющий полученные результаты по однонаправленным хеш—функциям, ключевой подсистеме, схемам цифровой подписи и выработке технологических параметров.

Практическая значимость диссертационной работы заключается в разработанных автором в интересах системы обеспечения информационной безопасности организации воздушного движения методах построения безопасных протоколов цифровой подписи на основе эллиптических кривых, в создании эффективных, с позиции программно-аппаратных реализаций, алгоритмов построения однонаправленных хеш—функций. По результатам диссертационной работы автором спроектирован и реализован комплекс средств по работе с эллиптическими кривыми, однонаправленными хеш—функциями, протоколами цифровой подписи. При решении задачи обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи, удалось конструктивно решить вопрос создания резерва ключей, "отсечении11 недоверенной стороны, оперативной модификации и противодействия методам компрометации. Результаты диссертации используются при разработке автоматизированной системы управления полетами, навигации, посадки и связи для аэродромов государственной авиации (далее именуемой АСУП НПС или целевой системой).

Внедрение результатов работы. Результаты диссертации нашли свое применение при разработке "Автоматизированной системы управления полетами, навигации, посадки и связи аэродромов государственной авиации"(ОКР шифр—"Рейс—2000"). Получен Акт от одного из ведущих предприятий по созданию программно—аппаратных комплексов управления воздушным движением—ОАО НПО "Лианозовский Электромеханический За-вод"Концерна ПВО "Алмаз—Антей "об использовании результатов разработки методов и средств обеспечения целостности и конфиденциальности регистрируемой информации.

1.4. Выводы и основные этапы решения поставленных задач

Анализ литературных источников, представленных автором в главе 1 настоящей работы, позволяет сделать вывод о том, безопасность любого протокола цифровой подписи непосредственно зависит от сложности обращения и сложности вычисления коллизий хэш—функции. В первом случае, например, можно вычислить сообщение для имеющейся подписи, а во втором—заготовить пару сообщений с одинаковыми значениями хэш-функции, подписать одно из них, а потом заменить одно сообщение другим. Более того, накопившийся десятилетиями статистический материал, известные уязвимости в указанных схемах цифровых подписей только усугубляют ситуацию. Как следствие, протоколы цифровой подписи нуждаются не только в постоянной доработке, но и в глубоком анализе их эффективности. Действительно, установлено, что протокол цифровой подписи ГОСТ Р 34.10-2001, ECDSA являются частными случаями схемы Эль—Гамаля цифровой подписи, которая является неустойчивой к изначальной фальсификации сообщений и к внедрению скрытых каналов передачи информации с высокой пропускной способностью, а также других методов компрометации. Конструирование и поддержание единой информационной системы, которая определена целью настоящей работы невозможно без решения поставленных ранее задач. В ходе подготовки диссертации решалась задача построения схем цифровой подписи, не обладающих отмеченными выше недостатками. За основу бралась эллиптическая кривая, так как в работе удалось доказательно обосновать целесообразность использования модели эллиптической кривой в протоколах цифровой подписи целевой системы. Для достижения поставленной цели в работе сформулированы и решаются следующие задачи.

• Совершенствование стандартов цифровой подписи на основе эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения.

• Исследование модели эллиптической кривой с целью получения формулы, позволяющей разработчику повысить точность определения размеров используемых в протоколах цифровой подписи автоматизированной системы управления ключей.

• Построение алгоритмов кодирования данных точками эллиптических кривых, пригодных для применения в системах реального времени.

• Создание математических методов совершенствования и модификации однонаправленных хеш—функций с целыо повышения их эффективности при программно-аппаратных реализациях.

• Разработка и тестовые испытания комплекса программно—аппаратных средств, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи, и отвечающих требованиям системы информационной безопасности организации воздушного движения.

Для каждой из перечисленных задач в диссертации рассмотрен ряд важных вопросов, разрешение которых необходимо на отдельных этапах создания инфраструктуры информационной безопасности АСУП НПС. В качестве таких этапов в контексте целей настоящей работы рассматриваются следующие.

На первом этапе рассмотрены вопросы: построения однонаправленных хеш-функций нужных порядков; разработка методики совершенствования произвольной однонаправленной хеш—функции с целыо увеличения количества ключей и эффективного отсечения "недоверенной" стороны и ряд других. При решении подобных задач необходимо было учитывать требования, предъявляемые особенностями информационного объекта. Так, инфраструктура информационной безопасности единой информационно-аналитической системы управления полетами, навигации, посадки и связи государственной авиации обладает большим числом типов информационных потоков, приведенных на рисунке 1.8. Для каждого информационного потока вводятся как долгосрочные, так и

Объекты (центры и боевые посты)УС и РТ( (аэродрома и гарнизона)

КП ЛВБСиПеО

СКП аэродрома вштабеАВВСиЛЙО

Дежурный] врач I

ПУАТО (ПУЛГе*Б> внййуд ВВП РА\

КДП аэродрома+ ПУ УС и РТО (ПУОбсрто)

КПКЛВО

Наблюдатель за включением форсажа

КП иэп + КП ртб + ПУ ЦЛСУ

Сипы и средства ПСС

Стоянка ДОС (дежурное звено)

Элементы системы НОиНП

ПУЕСОрВД

Пост ИАС ПУИАС

Штабная Дежурные средства АТО

Стоянки самолетов

Рис. 1.6. Схема типов информационных потоков объекта краткосрочные ключи, что подчеркивает сложность организации ключевого обмена и возникающие при этом вопросы нехватки ключей для поддержки жизненного цикла указанной системы. По этой причине решалась задача конструирования хеш—функций с неограниченным набором ключей, обладающих высоким быстродействием. Предложен мульти-ключевой алгоритм построения хеш—функции, в котором ключ может изменяться на каждом раунде. Отметим, что множество аппаратных решений, применение современной микроэлектроники требует оптимального быстродействия на разных архитектурах 8,16,32,64 разрядных процессоров. Последнее обстоятельство принималось во внимание при построении методик организации однонаправленных хеш—функций, сохраняющих уникальную архитектуру построений. Полученные решения представлены в главе 4 настоящей работы.

На втором этапе исследования рассматривались задачи: построение схем цифровой подписи на основе эллиптических кривых, обладающих высокой надежностью (в смысле, введенном в разделе 1.1) и быстродействием в целевой системе. Изучение эффективности работы указанных схем приведены в главах 3, 5 настоящей работы. Следует отметить важность решения задач построения протоколов "слепой"подписи, подписи с восстановлением. Действительно, одной из ключевых особенностей информационного объекта является тот факт, что возникает необходимость сведения к минимуму количества секретных параметров, необходимых для верификации подписи. Подчеркивая важность построения схем слепой"цифровой подписи, решалась задача обеспечения анонимности подписывающей стороны. Последнее означает, что необходимо добиться того, чтобы по подписи и сообщению было невозможно однозначно определить подписывающую сторону. На втором этапе, в работе рассматривалась задача построения схем цифровой подписи на эллиптических кривых стойких к внедрению в схему потайных (скрытых) каналов передачи данных с высокой пропускной способностью. Показано, что решение указанной задачи на несколько порядков повысит уровень информационной безопасности объекта, затрудняя процесс внедрения вредоносных агентов в каналы передачи данных. Примеры конкретных эллиптических кривых и сопутствующих технологических параметров, пригодных для схем цифровой подписи, а так же результаты изучения процессов инвертирования, умножения, сложения в группе точек эллиптической кривой приведены в приложении.

На третьем этапе конструктивно решалась задача реализации перехода от символов конечного алфавита к точкам эллиптической кривой. Соответствующие решения представлены в главе 2 и приложении диссертационной работы. Актуальность указанной задачи связана с возможностью в этом случае успешно применять стандартные системы на основе эллиптических кривых не только для асимметричных схем цифровой подписи, но и для систем выработки общих ключей и передачи цифровых сообщений в реальном масштабе времени. Решение поставленной задачи расширяет и систематизирует использование модели эллиптической кривой при решении важных народно-хозяйственных задач, повышающих обороноспособность страны.

По результатам приведенных в настоящей работе исследований, автором разработан и прошел тестовые испытания программно—аппаратный комплекс, состоящий из модуля ECDSM (Elliptic Curve Digital Signature Module), станции объективного разбора (СОР) и комплекса программ EL. Подробное описание перечисленных программно—аппаратных решений представлено в разделе 5.7. Написанные автором программы и полученные в диссертационной работе результаты нашли свое применение при разработке "Автоматизированной системы управления полетами, навигации, посадки и связи аэродромов государственной авиации"(ОКР шифр—1"Рейс—2000"). Получен АКТ от НПО "Лианозовский Электромеханический Завод" Концерна ПВО "Алмаз—Антей "об использовании результатов разработки методов и средств обеспечения целостности и конфиденциальности регистрируемой информации, соответствующий АКТ представлен в приложении к диссертационной работе. Модуль ECDSM и программный комплекс СОР применяются Научно-технологическим центром "Электронтех"РАН в современных многоканальных цифровых магнитофонах (МЦМ) и станциях воспроизведения. Учитывая, что Постановлением Правительства РФ от 18 июня 1998 года № 605 (ст. 1, п. 4) определено: "Единая система организации воздушного движения Российской Федерации имеет стратегическое значение для безопасности государства", представленные в настоящей работе решения являются актуальными и востребованными при рассмотрении методов обеспечения целостности и конфиденциальности передаваемой цифровой информации в рамках системы информационной безопасности организации воздушного движения.

Автор выражает глубокую признательность своему научному руководителю кандидату физико-математических наук, в.н.с. Носову Валентину Александровичу за постановку задач и осуществление научного куководства, доктору физико-математических наук, профессору Васенину Валерию Александровичу за ценные замечания по тексту диссертации, способствующие ее улучшению.

Глава 2

Кодирование данных точками эллиптических кривых

Во многих, распространенных на практике системах объект должен быть представлен в виде набора точек на эллиптической кривой. Данное представление является малоизученным, несмотря на то, что впервые о необходимости такого представления было заявлено еще в 1985 Н. Коблицом [36]. В работе [68] задачу в такой постановке удалось конструктивно решить. Основные результаты последней работы представлены в данной главе. В рамках ее выполнения, автору удалось сформулировать и доказать теорему симметрии дискретного спектра конечного поля. Использование указанной теоремы, позволило ему разработать детерминированные и вероятностные схемы кодирования символов конечного алфавита точками эллиптических кривых. Применение полученных автором результатов, позволяет в единой инфраструктуре информационной безопасности целевой системы в полной мере применять протоколы цифровой подписи и системы выработки ключей и передачи сообщений на основе эллиптических кривых. Следует отметить то обстоятельство, что разработанные алгоритмы кодирования способны работать в системах реального времени, что делает их востребованными с практической точки зрения.

2.1. Анализ спектра конечного поля и теорема симметрии

Рассматривая эллиптические кривые в форме Вейерштрасса (1.18) над простыми полями, удалось установить определенную симметрию их распределения, что послужило основой для построения алгоритмов кодирования конечных алфавитов точками эллиптических кривых.

Для построения указанных алгоритмов необходимо ввести несколько определений. Рассмотрим простое поле Fp и эллиптическую кривую в общей форме, заданную над этим полем (1.16). Для этой эллиптической кривой определены две величины: дискриминант и инвариант. Введем стандартные обозначения: Ь2 = а\ + Аа21 Ь4 = 2а4+а1аз, = а|+4аб, Ь3 — а\ + 4а2ав — а^а^ + а2а2 — а|, — Ь\ — 24£>4, Сб = —Щ + 36Ь2^4 — 216Ь^.

Теперь для любого поля К определим дискриминант Д кривой (1.16) формулой

Д = -Ь% - 8Ь\ - 27% + 9Ь2Ь4Ьв. (2.1)

Если сЪ.ахК 2, 3, то дискриминант определяют формулой

Д = {<$- с26) / 1728. (2.2)

Для справки, 1728 = 2633. Далее, если Д ф 0, то определим 3—инвариант кривой (1.16) формулой

3 (Е) = сЦ Д (2.3)

Определение 2.1.1. Допустимой заменой переменных над полем в уравнении (1.16) называется замена: х = и2 х + г у = и^у + + I где и, г, й, Ь £ Fp, и ф 0.

Заметим, что это своего рода переход к другой системе координат, который в матричной форме записывается в виде: аЛ /х'\ /и2 0 г\ у\ = Л Л ; А = и3 Л . (2.5)

Подобные замены переменных оставляют на месте особую точку О, которая в проективных координатах имеет вид (0:1:0). Легко проверить, что замена, обратная к допустимой, будет допустимой. С точностью умножения переменных на константы кривая, заданная в форме (1.16), после допустимой замены переходит в эллиптическую кривую вида (1.16). С этим обстоятельством свяжем следующее определение.

Определение 2.1.2. Две эллиптические кривые, связанные допустимое заменой переменных, называются изоморфными.

Для дальнейшего построения алгоритмов представления необходимо ввести понятие дуальных эллиптических кривых. Пусть эллиптическая кривая задана в форме Вейер-штрасса (1.18). Рассмотрим для неё допустимую замену переменных, которая сохраняет вид кривой. В уравнении эллиптической кривой (1.18) отсутствуют члены у, ху, х2. Данное свойство влечет за собой то, что у такой замены переменных г = 5 = Ь — 0. Действительно, если г ф 0, то наша эллиптическая кривая перейдет в кривую, которая задается уравнением, где в правой части будет член х2. По этой причине г = 0; если же я ф 0, то в левой части полученного уравнения будет член ух\ а если t ф 0, то в левой части полученного уравнения будет у. Следовательно, определение допустимой замены переменных, сохраняющих вид кривых, для эллиптических кривых в форме Вейерштрасса приобретает вид:

2 '

X = их

2-6) у = и у

При подобной замене переменных, если ввести обозначения а = и4а, b' — uGb, то Еаь : У2 = х3 + ах + b —> Еа>ъ, : у'2 = х'3 + ах' + Ь'.

Следовательно, Еаь = Еа>ь' О а' = u4a,b' = и6Ь, для некоторого и G Fp. Введем вспомогательное определение.

Определение 2.1.3. Пусть над полем Fp заданы две эллиптические кривые:

ЕаЬ у2 = х3 + ах + Ь и Ea'b' : у2 = х3 + а'х + У, причем a,b,a',b' G Fp. Далее, пусть имеет место следующее соотношение: а' = v2a b' = v3b, где v G Fp— квадратичный невычет по модулю р. Тогда такие кривые назовем дуальными.

Получим простейшую оценку числа точек на эллиптической кривой, знание которой и техника доказательства которой позволила автору предложить алгоритмы решающие поставленную задачу. Рассмотрим эллиптическую кривую над простым полем Fp, заданную в форме Вейерштрасса. Ниже, если это не оговаривается специально, считаем, что находимся именно в рамках этих ограничений. Опишем модификацию одного из известных алгоритмов нахождения количества F9—точек на эллиптической кривой. При описании этого алгоритма будет выведена формула, позволяющая считать количество точек на произвольной эллиптической кривой над простым полем. Данную формулу используем при построении детерминированного алгоритма, поэтому она представляет особую значимость.

Напомним несколько определений. Пусть а—целое число, р > 2—простое число, тогда возможно корректно определить понятие символа Лежандра [61]. Данный символ появился при изучении решений квадратичных сравнений [61] вида х2 = а( mod р.) При этом, если такое х существует, то число а называется квадратичным вычетом по модулю р, в противном случае—квадратичным невычетом по модулю р. Формально, символ Лежандра является способом обозначения является ли данное число квадратичным невычетом или нет. Символ Лежандра имеет обширное применение в теории чисел и ее приложениях, так как обладает рядом свойств (мультипликативность, квадратичный закон взаимности и рядом других) [61]. Применение данных свойств позволяет создать рекурсивный алгоритм вычисления значения символа Лежандра, не требующий разложения на простые множители. Пусть нужно вычислить ( — |, а < р. Представим а в виде а = 2ЬЬ, где 6—нечетное

Pj число. Далее, основываясь на представленных выше свойствах символа Лежандра, имеем: р mod Ъ\

После чего для нахождения символа I --- I опять применяем этот алгоритм. Заметим, что скорость сходимости этого метода высока и равна скорости сходимости классического алгоритма Евклида, что составляет 0((1пр)2)—двоичных операций [61]. Данное свойство алгоритма позволяет успешно использовать его на практике и в соответствующих алгоритмах кодирования.

Для оценки числа точек на эллиптической кривой над простым полем используем теорему Хассе 1.3.2. Приведем свое, краткое доказательство этой теоремы, необходимое для полученной автором теоремы симметрии. 1 Заметим, что char (Fp) = р. что совпадает с количеством элементов в поле Fp. Следовательно, эллиптическая кривая может иметь не более 2р + 1 различных Fp—точек, т.е точку О и 2р пар (х, у) х, у Е Fp, удовлетворяющих уравнению у2 = х3 + ах + Ь. А именно для каждого из р значений х имеется не более двух значений у, удовлетворяющих уравнению у2 — х3 + ах + Ь. Пусть х —> 1, если х является квадратом элемента из F* ,

2.7) х —► —1, в противном случае. Такое отображение называют квадратичным характером Fp. Положим, что х(0) = 0. Тогда х(х) — ( — ] является символом Лежандра. По этой причине, число решений у Е F„ КРУ уравнения у2 = и равно 1 + х(и)> а число решений уравнения у2 — я3 + ах + Ь, с учетом точки в бесконечности равно

1 + 5^(1 + + ах + Ь)) =р+ 1 + ^2(х(х3 + ах + Ь)). хе¥„ xeF„

Следует ожидать, что х{х3 + ах + Ь) одинаково часто принимает значения ±1. Вычисление этой суммы подобно "случайному блужданию "в статистических испытаниях Бер-нулли (когда мы подбрасываем монетку р раз, продвигаясь на шаг вперед, если выпал герб и на шаг назад, если выпала решка). В теории вероятности подсчитано, что после р бросаний случайное блуждание оказывается на расстоянии ^/р от исходного положения. Сумма + ах + Ь)) ведет себя подобно случайному блужданию. Более точно удалось доказать, что ^ (х(я3 + ах + Ь)) < 2^/р. Данная теорема позволяет подсчитывать хе¥р количества точек на различных эллиптических кривых, заданных над простыми полями, что структурирует предложенный автором анализ.

Пусть эллиптическая кривая задана в форме Вейерштрасса над простым полем уравнением вида у2 = х3 + Ах + В, А, В Е Опираясь на теорему Хассе, формула

1полное и строгое доказательство приводится в [34] для подсчета точек на эллиптической кривой над простым полем может быть записана следующим образом:

Как несложно заметить, подсчет точек по этой формуле (2.8) требует 0(р1+£) арифметических операций, что для небольших значений р позволяет использовать ее на практике.

Пример 2.1.1. В приложении 5.6 приведен пример подсчета точек на эллиптических кривых по формуле (2.8).

Изучим, необходимые для решения поставленной задачи, свойства дуальных эллиптических кривых. Рассмотрим дуальные эллиптические кривые над полем ¥р вида: Къ : У2 = д(х), где д(х) = х3 + ах + 6; Еа>ъ< : у2 = дь(х), где ду{х) = х3 + а'х + Ь'. Причем имеет место следующее соотношение:

I ч а = и а

V = у3Ь, где V Е квадратичный невычет по модулю р. Заметим, что имеет место соотношение ду(х) = ь3д (-). Действительно, ду(х) = х3 + а'х + Ь' = х3 + и2ах + у3Ь =

V3 + а = У3д ^. Пусть Еаь, и Еач/—две дуальные эллиптические кривые над полем Тогда справедливо соотношение фЕаЪ + #Еа'ь' — 2р + 2.

Пример 2.1.2. В качестве иллюстрации представленных соотношений в приложении 5.6 приведены всевозможные дуальные кривые над полем .

Введенные определения и представленные рассуждения позволяют доказать теорему симметрии, служащую автору основой для построенных алгоритмов кодирования. Введем вспомогательное понятие дискретного спектра конечного поля

Определение 2.1.4. Дискретным спектром поля назовем числовой отрезок вида }р + 1 — 2 Л/р[, .,р+1,.,[рЧ-1 + 2^/р] с приписанным каэ/сдой точке N этого отрезка количеством эллиптических кривых, на которых ровно N точек.

Если перебрать все эллиптические кривые над текущем полем, считая количество точек на каждой из них, то обнаружится симметрия вида: эллиптических кривых на которых р точек будет столько же, сколько эллиптических кривых, на которых р+ 2 точки и так далее. Заметим то обстоятельство, что если п < [2у/р]—целое число, эллиптическая кривая в форме (1.3.3) над простым полем, а Еу(¥р) — дуальная эллиптическая кривая в форме (1.18), причем #Е(¥Р) = р + 1 — п. Тогда #Е„(¥р) = р + 1 + п, если у—невычет, #Е(¥Р) = р + 1 — п—иначе. Приведенное замечание позволяет автору доказать теорему симметрии в следующей постановке.

Теорема 2.1.1. (Теорема симметрии спектра конечного поля.) Дискретный спектр поля симметричен относительно центра отрезка ]р + 1 — 2 х/р[, .,р + 1,.,[р + 1 + 2 ^/р]. Нужно показать, что соответствие Еаь —Еа>ъ> взаимооднозначно, то есть у двух различных эллиптических кривых в форме Вейерштрасса не может быть одинаковой дуальной кривой. Рассмотрим две кривые Еа1ь1} Еа2ь2 а.\, ¿1,02,62 £ Положим b\ = b2, а\ несравнимо с а2 по модулю р и что обе эти кривые перешли в кривую Еа>ь>- Данное предположение основано на том, что кривые должны быть различные (иметь хотя бы одну пару несравнимых по модулю р коэффициентов), случай когда таких пар две есть прямое следствие рассматриваемого. Заметим, что в рассматриваемом случае условие того, что кривые перешли в одну равносильно условию a\V2 = a2v2 mod р, но тогда ci\ = а2 mod р. Последнее невозможно, так как рассматривались кривые, у которых а\ несравнимо с а2 по модулю р (то есть заданные разными многочленами). Пришли к противоречию, взаимооднозначность отображения доказана. ■

Эта теорема'позволяет применением отображения Еаь —> Еа>ь> порождать кривые, связанные соотношением #Еаъ + #Еа>ь' — 2р + 2.

2.2. Детерминированный алгоритм кодирования конечных алфавитов точками эллиптических кривых

Рассмотрим простое поле Е = эллиптическую в форме Вейерштрасса (1.18), над этим полем и конечный алфавит А — {ао, а2, ■., ал/-1}, символы которого необходимо закодировать точками эллиптической кривой. Поставим в соответствие буквам алфавита их номера, и без ограничения общности будем считать, что закодировать буквы алфавита это одно и тоже, что и закодировать их номера. Возьмем произвольный квадратичный невычет V, рассмотрим две кривые: Еаь и к ней дуальную Еа>ъ'- Пусть т € [0,., М — 1]—число которое необходимо закодировать. Рассмотрим удвоенный отрезок: [0,., 2М — 2]. Пусть у{х) = х3 + ах + Ь, ду(х) = х3 + а'х + Ъ'. Теперь последовательно, начиная с 0 до 2М — 2, вычисляем символ Лежандра , т е [0,., 2М — 2], если = 1, то данному д{™)\ числу соответствует точка на первой кривой, а если - = — 1, то данному числу

V V ) соответствует точка на второй кривой. Действительно, выше показана справедливость соотношения ду(х) = У3д Заметим, что если ^ = —1, то д{т)—квадратичный невычет по модулю р. Но тогда ду(ту) будет являться квадратичным вычетом, верно и наоборот. Свойство быть вычетом или невычетом здесь равносильно существованию на соответствующей эллиптической кривой точки Рт(х,у) в которую переводится число т. Информацию о том, является ли д(т) и дь(ть) вычетом/невычетом удобно представить в виде таблицы 2.1, где + означает, что д(т) или дь(ту)—вычет, а--невычет. Следовательно, можно считать, что + соответствует существованию представления числа т в виде точки на соответствующей эллиптической кривой, а--отсутствие такого представления.

После того как дойдем до 2М — 2, выбираем ту кривую, на которой больше или равно М плюсов. Теперь заметим, тот факт, что при подстановки х в Е^у получаем +, тп 6 [о.2 Л/ — 2] КдЬ : у2 = х3 + аа: + Ь Еагь/ ' у2 = х3 + о'х 4- Ь' позиция на Е^ь позиция на Еп/у

0 + ч

1 + 12

2 - + • Л

3 - + ■ ^

4 + - »3 •

5 + •

6 + ы

7 - + ¿4 + +

2М-2 +

Заключение

Изложенные в настоящей работе результаты позволили автору решить задачу разработки и совершенствования алгоритмов цифровой подписи на основе эллиптических кривых, решающих задачу обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения. Решение основной задачи обеспечения информационной безопасности подконтрольного объекта было разделено на несколько ключевых этапов. Указанное обстоятельство позволило осуществить наиболее полный анализ и повысить уровень детализации проведенного исследования. На первоначальном этапе удалось конструктивно решить задачу построения стойких MDC, MAC—хеш—функций. Разработанные автором методики позволяют не только строить надежные однонаправленные хеш—функции из произвольных однонаправленных хеш—функций, обладающих эффективными программно—аппаратными реализациями и решающими вопросы структуризации и организации процесса ключевого обмена и создания резерва ключей системы. Использование указанных решений позволяет пермоментно поддерживать уровень информационной безопасности подконтрольного объекта на высоком уровне. Кроме построения MDC—хеш—функций в работе приводятся схемы построения MAC—хеш—функций, которые в полном объеме решают задачу обеспечения аутентичности данных при их сборе, хранении и передаче. Используя разработанные методики построения однонаправленных хеш—функций на основе блочных шифров, удалось, на примере DES, построить однонаправленную хеш—функцию, обладающую необходимым быстродействием. Особенностью указанного решения является его мультиключевая структура, позволяющая изменять ключ на каждом раунде. Оперативная модификация мультиключевого алгоритма построения хеш—значения заключается в том, что появляется возможность применять любые блочные шифры, являющиеся сетями Фейстеля, основанные на фиксированных S—блоках, такие, например, как ГОСТ 28147-89, DES. За счет введения параметрического семейства латинских квадратов, позволяющих строить параметрические семейства S—блоков, удалось увеличить количество ключей и ввести их иерархию (например, при построении хеш—функции на основе модифицированного DES число ключей увеличено до 21024). Отметим, что в мультиключевом алгоритме расчета хеш—значения, используемый алгоритм блочного шифрования максимально возможно сохранил первоначальную архитектуру, при этом многократно снизилась эффективность применения дифференциального и линейного анализа. Предлагаемый мультиключевой способ построения хеш—функций обладает рядом преимуществ над имеющимися стандартами как по быстродействию, так и по архитектуре построения. Он удобен для программно—аппаратных реализаций, что делает его использование на микропроцессорах малой мощности особенно актуальным.

Указанные решения рассматривались с целью построения хеш—функции, при рассмотрении же вопросов шифрования необходимо детально изучить вопросы слабых ключей и оптимальности выбора блоков замены. Данное обстоятельство подчеркивает необходимость проведения дальнейших исследований по данному направлению. Предложенные в работе решения позволяют строить хеш—функции с различными архитектурами и быстродействием. По этой причине, они представляют особую ценность при решении ряда практических задач. В работе удалось конструктивно разрешить вопрос о нехватке и создании резерва ключей, который является одним из центральных при обеспечении целостности и конфиденциальности цифровой информации реализации инфраструктуры информационной безопасности автоматизированной системы управления полетами, навигации, посадки и связи государственной авиации (АСУП НПС). При построении асимметричных протоколов цифровой подписи в работе использовалась модель эллиптической кривой. Показана, целесообразность применения модели эллиптической кривой в построении эффективных схем цифровой подписи на их основе, удовлетворяющих требованиям, предъявляемым к схемам целевой системой. Отметим, что применение эллиптической кривой в подобных протоколах позволяет использовать ключи существенно меньшего размера, чем в случае с имеющимися стандартами схем цифровой подписи в мультипликативной группе конечного поля. Проведен подробный, доказательно обоснованный расчет устанавливающий данную закономерность. Полученные при этом расчетные данные совпадают с, представленными в тексте работы, таблицами RSA, что свидетельствует об целесообразности и актуальности использования эллиптической кривой в протоколах цифровой подписи. С целью корректного применения систем на основе эллиптических кривых, в работе приводится ряд теорем и алгоритмов, позволяющих закодировать символы конечного алфавита точками эллиптической кривой. Решение указанной задачи позволяет в полном объеме использовать модель эллиптической кривой как при построении новых протоколов цифровой подписи, так и при применении имеющихся в целевой системе. Аналоги основных систем на основе эллиптических кривых изучены и представлены в приложении. Установлено, что имеющиеся протоколы цифровой подписи ECDSA, ГОСТ Р 34.10-01 не являются устойчивыми к изначальной фальсификации информации и к внедрению скрытых каналов передачи информации, обладающих высокой пропускной способностью и других методов компрометации. Предложены методики, позволяющие устранить указанные недостатки. Разработаны модели подписи с восстановлением, 11 слепой "подписи, подписи ECSDSA, подписи ECNRDSA на основе эллиптических кривых. Приведенные схемы успешно решают задачи анонимности подписывающей стороны (для схемы " слепой "подписи) и минимизации секретных данных системы, необходимых для принятия подписи (для схем с восстановлением и схем ECSDSA). Совершенствованы алгоритмы генерации эллиптических кривых и оптимального выбора точки основания с целью их эффективного применения в протоколах цифровой подписи целевой системы. Для всех типов эллиптических кривых оценена арифметическая трудоемкость основных групповых операций. При оценке арифметической трудоемкости, в рассмотрение введены не только характеристики конечного поля, но и различные способы представления его элементов. Подобные исследования представлены в приложении к работе. Автором реализован ряд программных средств для работы с эллиптическими кривыми и однонаправленными хеш—функциями. Исследованы методы рассчета основных технологических параметров, позволяющие успешного применять указанные схем цифровой подписи на основе эллиптических кривых в системе АСУП НПС.

Результаты диссертационной работы используются при разработке автоматизированной системы управления полетами, навигации, посадки и связи аэродромов государственной авиации и позволяют успешно решать ряд теоретических и прикладных задач, обусловленных необходимостью обеспечения целостности и конфиденциальности цифровой информации в процессе ее сбора, хранения и передачи, а также эффективного использования протоколов цифровой подписи на основе эллиптических кривых.

С учетом изложенного к основным результатам диссертации относятся следующие.

• Усовершенствованы методы использования модели эллиптической кривой с целью построения схем цифровой подписи, устойчивых к изначальной фальсификации, внедрению скрытых каналов передачи данных и других методов компрометации. Создана схема "слепой"цифровой подписи на основе эллиптических кривых. На основе метода Полларда получена формула расчета длин ключей, позволяющая определять уровень безопасности систем на основе эллиптических кривых.

• Разработаны алгоритмы кодирования данных точками эллиптических кривых, используемые для создания на их основе программных средств, позволяющих в реальном времени использовать в целевой системе протоколы выработки общих ключей и передачи информации на основе эллиптических кривых.

• Созданы методы построения эффективных программно—аппаратных реализаций однонаправленных хеш—функций, решающие задачи отсечения "недоверенной "стороны, "нехватки"и создании резерва ключей, а также задачи защиты от коллизий и долговременного поддержания высокого уровня безопасности информационной системы. Предложен мультиключевоЙ алгоритм реализации хеш—функций, при котором ключ может обновляться на каждом раунде, что позволило существенно увеличить порядок ключевого множества.

• Реализован и прошел тестовые испытания комплекс программно—аппаратных средств, обеспечивающих целостность и конфиденциальность информации в процессе ее сбора, хранения и передачи в рамках системы информационной безопасности организации воздушного движения.

1. Шпайер Б. Прикладная криптография, 2—ое издание, Протоколы, алгоритмы и исходные тексты на языке С, 2002.

2. Menezes A., Oorschot P., Vanstone S. Handbook of Applied Cryptography, CRC Press, 1996.

3. Алферов А.П., Зубов А.Ю.,Кузьмин А.С.,Черемушкин А.В. Основы криптографии, 3-е изд., изд—во Гелиос—АРВ, 2005

4. Griffiths G., Carlyle S. "The Tea Leaf Reader Algorithm: An Efficient Implementation of CRC 16 and CRC 32", Communications of the ACM, 30(7), pp. 617-620.

5. Knuth D.E. "The Art of Computer Programming", Volume 2: Seminumerical Algorithms, Section 4.6. (Кнут Д.Е. "Искусство программирования для ЭВМ", т. 2 "Получисленные алгоритмы"-М., "Мир", 1977).

6. Ross N. Williams "A painless guide to CRC error detection algorithms", 1993

7. Merkle R.C. "One Way Hash Functions and DES", Advances in Cryptology, CRYPTO'89 Proceedings, Springer—Verlag, 1990, pp. 428—446.

8. Shamir A., Biham E. "Differential cryptoanalysis of DES-like cryptosystems", advances in Cryptology, CRYPTO'90 Proceedings, Springer—Verlag, 1991, pp. 2-21.

9. Shamir A., Biham E. "Differential cryptoanalysis of the full 16-round DES", advances in Cryptology, CRYPTO'92 Proceedings, Springer—Verlag, 1993, pp. 487—496.

10. Shamir A., Biham E. "Differential cryptoanalysis of the Data Encryption Standard", Springer—Verlag, 1993.

11. Matsui M "Linear Cryptoanalysis Method for DES cipher", Advances in Cryptology, EUROCRYPT'93 proceedings, Springer-Verlag, 1994, pp. 386-397.12. ГОСТ 28147-89.

12. Chudov G., Leontiev S. "GOST 28147-89 Cipher Suites for Transport Layer Security (TLS)", CRYPTO-PRO December 8, 2008.

13. Hirose S. Some Plausible Constructions of Double-Block-Length Hash Functions. In: Robshaw, M.J.B. (ed.) FSE 2006, LNCS, vol. 4047, pp. 210-225, Springer, Heidelberg 200615.