Способ шифрования блока двоичных данных

Иллюстрации

Показать все

Способ шифрования блока данных, представленного в виде битовой строки, относится к области электросвязи, а именно к области криптографических устройств и способов. Технический результат - повышение уровня защищенности шифруемой информации. Способ шифрования блока двоичных данных (М), заключающийся в формировании секретного ключа, включающего подключи Q и R, формировании вспомогательного n-битового блока двоичных данных Т, формировании n-битовой вспомогательной криптограммы CM путем выполнения над М операции блочного шифрования E в зависимости от Q по формуле CM=EQ(M), формировании n-битовой вспомогательной криптограммы CT путем выполнения над Т операции блочного шифрования E в зависимости от R по формуле CT=ER(T), формировании криптограммы С в зависимости от секретного ключа и вспомогательных криптограмм CM и CT, отличающийся тем, что подключ Q формируют в виде 2n-битовой строки, представляющей собой конкатенацию двух n-разрядных двоичных чисел q1 и q2, подключ R формируют в виде 2n-битовой строки, представляющей собой конкатенацию двух n-разрядных двоичных чисел r1 и r2, формируют (n+1)-разрядное двоичное число p и формируют криптограмму С в виде конкатенации двух многоразрядных двоичных чисел C1 и C2, являющихся решением системы из двух линейных уравнений q1C1+q2C2=CM mod р и r1C1+r2C2=CT mod р с двумя неизвестными C1 и C2. 2 з.п. ф-лы.

Реферат

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области криптографических способов и устройств для защиты информации, передаваемой по телекоммуникационным сетям путем шифрования сообщений (информации).

Известны способы шифрования электронных сообщений, представленных в цифровом виде, а именно в виде двоичных данных, выполняемые по секретному ключу, например способ, реализованный в виде алгоритма блочного шифрования RC5 [B.Schneier, "Applied Cryptography", Second Eddition, John Wiley & Sons, Inc., New York, 1996, рр. 344-346]. Способ включает в себя формирование секретного ключа в виде совокупности подключей, разбиение n-битового двоичного блока информации на n/2-битовые информационные подблоки А и В и поочередное преобразование этих подблоков. Подблоки преобразуются путем последовательного выполнения над ними линейных и нелинейных операций, в качестве которых используются операции суммирования по модулю 2m, где m=n/2=8,16,32,64, поразрядного суммирования по модулю 2 и циклического сдвига влево, причем число бит, на которое сдвигается преобразуемый подблок, зависит от значения другого подблока. Последнее свойство является характерным для способа RC5 и определяет зависимость операции циклического сдвига на текущем шаге преобразования подблока от исходного значения входного блока данных. Подблок информации, например подблок В, преобразуют путем наложения подблока А на подблок В с помощью операции поразрядного суммирования по модулю 2 В:=В⊕А. После этого над подблоком В выполняют операцию циклического сдвига влево на число бит, равное значению подблока А:В:=В<<<А. Затем над подблоком В и одним из подключей К выполняют операцию суммирования по модулю 2m, где m - длина подблока в битах: B:=(B+K)mod 2m. После этого аналогичным образом преобразуется подблок А. В зависимости от размеров ключа выполняется несколько таких итераций преобразования обоих подблоков. Данный способ обеспечивает достаточно высокую скорость шифрования при программной реализации. Недостатком способа шифрования RC5 является невысокая стойкость к дифференциальному и линейному видам криптоанализа [Kaliski B.S., Yin Y.L. On Differential and Linear Cryptanalysis of the RC5 Encryption Algorithm. Advances in Cryptology - CRYPTO 95. Proceedings, Springer-Verlag, 1995, pp. 171-184].

Известен способ шифрования n-битовых блоков данных [B.Schneier, "Applied Cryptography", Second Eddition, John Wiley & Sons, Inc., New York, 1996, pp. 193-194] путем генерации секретного ключа К, разбиения сообщения М на n-битовые блоки данных М1, М2,…,Мk, где k - число блоков в сообщении; n≥64 бит, и последующего шифрования блоков данных М1, М2,…Мk, причем процесс шифрования выполняют следующим путем. Шифруют блок М1 по секретному ключу, получая блок криптограммы C1, затем, начиная со значения i-2 и до значения i=k, суммируют с помощью операции поразрядного суммирования блок криптограммы Ci-1 и блок Mi, полученный в результате суммирования блок данных шифруют по секретному ключу, получая в результате текущий блок криптограммы Сi. Совокупность блоков криптограммы C1, C2,…, Ck представляет собой криптограмму, содержащую сообщение М в скрытом виде. Извлечение сообщения М из криптограммы практически возможно только с использованием секретного ключа, использованного при шифровании, за счет чего достигается защита информации, содержащейся в сообщении М, при его передаче по открытым каналам связи. Данный способ обеспечивает улучшение статистических свойств криптограммы, однако он имеет недостаток, состоящий в том, что теряется возможность независимого расшифрования отдельных блоков криптограммы.

Наиболее близким по своей технической сущности к заявляемому способу шифрования n-битового блока двоичных данных М является способ, описанный в патенте №2459275 [Молдовян А.А., Молдовян Н.А. Способ блочного шифрования сообщения М, представленного в двоичном виде. Патент №2459275] по п.2 формулы изобретения указанного патента. Способ прототип включает в себя формирование секретного ключа, включающего подключи Q и R, формирование вспомогательного n-битового блока двоичных данных Т, формирование n-битовой вспомогательной криптограммы СM путем выполнения над М операции блочного шифрования E в зависимости от Q по формуле СM=EQ(M), формирование n-битовой вспомогательной криптограммы CT путем выполнения над Т операции блочного шифрования E в зависимости от R по формуле CT=ER(T), формирование криптограммы С в зависимости от секретного ключа и вспомогательных криптограмм CM и CT.

Способ-прототип позволяет реализовать защиту информации с использованием механизма обманных ловушек, который состоит в том, что потенциальному злоумышленнику подставляется часть секретного ключа, включающая подключ R, в качестве ключа расшифрования, а в качестве вспомогательного n-битового блока двоичных данных Т используется n-битовый блок фиктивного сообщения. Блок криптограммы С расшифровывается путем его преобразования по дополнительному ключу, приводящего к получению вспомогательной криптограммы С∗, представляющей собой конкатенациию двух n-битовых строк CM и CT:С∗=CM||CT. Затем правая n-битовая строка CT расшифровывается путем выполнения операции блочного преобразования D, обратной к операции блочного шифрования Е, т.е. по формуле Т=DR(CT). Аналогичная процедура расшифрования выполняется с использованием подключа К и левой n-битовой строки CM вспомогательной криптограммы C∗=CM||CT. Недостатком способа прототипа является то, что различные части вспомогательной криптограммы C∗ используются при расшифровании блока данных М и блока фиктивного сообщения Т. Это демаскирует факт наличия в блоке криптограммы С блока данных М.

Задачей заявленного нового технического решения является разработка способа шифрования блока двоичных данных, представленного в виде n-битовой строки, обеспечивающего эффективную маскировку факта наличия n-битового блока данных М в блоке криптограммы С за счет того, что при выполнении процедуры расшифрования осуществляется преобразование С в n-битовую вспомогательную криптограмму и использование всех битов вспомогательной криптограммы при выполнении процедур расшифрования как n-битового блока данных М, так и вспомогательной n-битовой строки Т.

Техническим результатом нового способа шифрования блока двоичных данных М является повышение уровня защищенности информации, шифруемой с его применением.

Указанный технический результат достигается тем, что в способе шифрования блока двоичных данных М, заключающемся в формировании секретного ключа, включающего подключи Q и R, формировании вспомогательного n-битового блока двоичных данных T, формировании n-битовой вспомогательной криптограммы CM путем выполнения над М операции блочного шифрования Е в зависимости от Q по формуле CM=EQ(M), формировании n-битовой вспомогательной криптограммы CT путем выполнения над Т операции блочного шифрования Е в зависимости от R по формуле CT=ER(T), формировании криптограммы С в зависимости от секретного ключа и вспомогательных криптограмм CM и CT,

новым является то, что подключ Q формируют в виде 2n-битовой строки, представляющей собой конкатенацию двух n-разрядных двоичных чисел q1 и q2, подключ R формируют в виде 2n-битовой строки, представляющей собой конкатенацию двух n-разрядных двоичных чисел r1 и r2, формируют (n+1)-разрядное двоичное число p и формируют криптограмму С в виде конкатенации двух многоразрядных двоичных чисел C1 и C2, являющихся решением системы из двух линейных уравнений k1C1+k2C2=CM mod p и q1C1+q2C2=CT mod р с двумя неизвестными C1 и C2.

Новым также является то, что формируют (n+1)-разрядное двоичное число p, которое является простым.

Формирование и использование простого (n+1)-разрядного двоичного числа p упрощает процедуру генерации подключей Q и R.

Новым является и то, что формируют (n+1)-разрядное двоичное число p, которое представимо в виде 2n+1.

Использование в качестве (n+1)-разрядного двоичного числа р МДЧ вида 2n+1 обеспечивает формирование криптограммы, имеющей размер 2n бит, что упрощает программную и аппаратную реализацию заявленного способа шифрования n-битового блока двоичных данных М.

Благодаря указанной новой совокупности существенных признаков за счет формирования n-битовых вспомогательных криптограмм CM и CT обеспечивается использование всех битов вспомогательной криптограммы при выполнении процедуры расшифрования как блока данных М, так и вспомогательного n-битового блока двоичных данных Т, в качестве которой может быть применен n-битовой блок некоторого фиктивного сообщения. Это обеспечивает эффективную маскировку факта наличия n-битового блока данных М в блоке криптограммы С при ее расшифровании потенциальным нарушителем при использовании им подключа Q при расшифровании криптограммы С, поскольку процедура расшифрования выполняется по одной и той же формуле как при расшифровании блока данных M, так и при расшифровании блока фиктивного сообщения Т.

Корректность заявленного способа шифрования n-битового блока двоичных данных М состоит в том, что по криптограмме С=С1||C2, где знак || обозначает операцию конкатенации (объединения битовых строк), может быть восстановлен «-битовый блок двоичных данных М по подключу Q=q1||q2 по формуле M=DQ((q1C1+q2C2)mod p), где D - операция блочного расшифрования, обратная операции блочного шифрования Е, и вспомогательный n-битовый блок двоичных данных Т по подключу R=r1||r2 по формуле T=DR((r1C1+r2C2)mod р).

Действительно, при выполнении процедуры расшифрования по подключу Q=q1||q2 имеем

а при выполнении процедуры расшифрования по подключа R=r1||r2 имеем

Далее реализуемость и корректность заявленного способа шифрования n-битового блока двоичных данных М иллюстрируется частными примерами его реализации.

Пример 1. Шифрование 64-битового блока двоичных данных М. Формируют простое МДЧ р=1844674407370955162910=264+23+22+1=

=100000000000000000000000000000000000000000000000000000000000011012, , где индекс 10 (индекс 2) обозначает то, что число записано с использованием десятичной (двоичной) системы записи чисел, формируют секретный ключ в виде подключей Q и R, причем подключ Q формируют в виде 128-битовой строки, представляющей собой конкатенацию двух 64-разрядных двоичных чисел q1 и q2, т.е. Q=q1||q2, а подключ R формируют в виде 128-битовой строки, представляющей собой конкатенацию двух 64-битовых строк r1 и r2 (т.е. R=r1||r2), которые удовлетворяют условиям

q1≡q2≡r1≡r2≡1 mod 2 (условие нечетности чисел q1, q2, r1, r2), а именно формируют следующие МДЧ:

q1=1534408932451638078910; q2=1257177864409632101310;

r1=1560818547202969419310; r2=1536912929527758147710.

Проверка показывает, что сформированные нечетные МДЧ q1, q2, r1 и r2 удовлетворяют условию q1r2-q2r1=812714980881351227≠0 mod p. Затем формируют вспомогательный 64-битовый блок двоичных данных Т и 64-битовую вспомогательную криптограмму СM путем выполнения над блоком данных М операции блочного шифрования Е в зависимости от подключа Q=q1||q2 по формуле CM=EQ(M), где операция блочного шифрования описывается следующим алгоритмом:

1. Установить значение счетчика i←0 и переменной CM←М, где знак ← обозначает операцию присваивания.

2. Сформировать 64-битовую строку CM в виде МДЧ, вычисленного по формуле CM←(q1CM mod264)<29<, где (…)<29< обозначает операцию циклического сдвига битовой строки (…) на 29 бит влево.

3. Преобразовать 64-битовую строку CM по формуле CM←(q1CM mod264)<17<, где (…)<17< обозначает операцию циклического сдвига битовой строки (…) на 17 бит влево.

4. Прирастить значение счетчика i:i←i+1. Если i<16, то перейти к шагу 2, в противном случае текущее значение CM взять в качестве выходного значения операции блочного шифрования EQ, выполненной над 64-битовым блоком двоичных данных М.

Затем формируют 64-битовую вспомогательную криптограмму CT путем выполнения над вспомогательным 64-битовым блоком двоичных данных Т операции блочного шифрования Е в зависимости от подключа R=r1||r2 по формуле CT=ER(T) в соответствии со следующим алгоритмом:

1. Установить значение счетчика i←0 и переменной CT←Т.

2. Сформировать 64-битовую строку CT в виде МДЧ, вычисленного по формуле CT←(r1CT mod264)<29<.

3. Преобразовать 64-битовую строку CT по формуле CT←(r2CT mod264)<17<.

4. Прирастить значение счетчика i:i←i+1. Если i<16, то перейти к шагу 2, в противном случае текущее значение CT взять в качестве выходного значения операции блочного шифрования ER, выполненной над вспомогательным 64-битовым блоком двоичных данных Т.

После формирования вспомогательных криптограмм CM и CT, рассматривая их как 64-битовые МДЧ, формируют криптограмму C=C1||C2 путем решения следующей системы из двух линейных уравнений с неизвестными C1 и C2.

Решением данной системы являются два МДЧ C1 и C2, которые объединяются в криптограмму C=C1||C2.

Доказательство корректности данного частного варианта реализации заявленного способа шифрования n-битового блока двоичных данных М доказывается аналогично описанному ранее общему доказательству корректности заявленного способа с учетом того, что для нечетных МДЧ q1, q2, r1, r2 по модулю 264 существуют и легко вычисляются по расширенному алгоритму Евклида соответствующие обратные значения q 1 − 1 , q 2 − 1 , r 1 − 1 , r 2 − 1 а операция блочного расшифрования DQ(CM), обратная операции блочного шифрования EQ(M), реализуется следующей процедурой преобразования:

1. Установить значение счетчика i←0 и переменной M←CM.

2. Преобразовать 64-битовую строку М, выполняя последовательно вычисления по формулам М←М>17> и M ← M q 2 − 1   mod 2 64 , где (…)>17> обозначает операцию циклического сдвига битовой строки (…) на 17 бит вправо.

3. Преобразовать 64-битовую строку М, выполняя последовательно вычисления по формулам М←М>29> и M ← M q 1 − 1   mod 2 64 , , где (…)>29> обозначает операцию циклического сдвига битовой строки (…) на 29 бит вправо.

4. Прирастить значение счетчика i:i←i+1. Если i<16, то перейти к шагу 2, в противном случае текущее значение М взять в качестве выходного значения операции DQ, выполненной над 64-битовой вспомогательной криптограммой CM.

Аналогично записывается процедура для реализации операции блочного расшифрования DR(CT), обратная операции блочного шифрования ER(T).

Рассмотренная частная реализация заявленного способа может быть применена для совместного шифрования двух сообщений Message и Text, каждое из которых, например, имеет размер 64 Кбит. Сообщение Message разбивается на 64-битовые блоки данных M1, M2,…,Mw, где w=1000. Сообщение Text разбивается на 64-битовые блоки данных T1, T2,…,Tw. Поочередно для значений i=1, 2,…, 1000 пары блоков данных (Mi, Ti) совместно шифруются в соответствии с описанным примером реализации заявленного способа, в результате чего формируется шифртекст в виде последовательности 128-битовых криптограмм (C1||C2)i, i=1, 2,…,1000.

Пример 2. Шифрование 128-битового блока двоичных данных М.

Формируют МДЧ p вида 2128+1:

р=2128+1=34028236692093846346337460743176821145710, где индекс 10 обозначает то, что число записано с использованием десятичной системы записи чисел. В виде двоичного числа (т.е. при использовании двоичной системы записи чисел) р имеет вид

р=1000000000000000000000000000000000000000000000000000000000000 00\\0000000000000000000000000000000000000000000000000000000000000 000012,

где знак «\\» означает перенос записи на следующую строку. Затем формируют секретный ключ в виде подключей Q и R, причем подключ Q формируют в виде 256-битовой строки, представляющей собой конкатенацию двух 128-разрядных двоичных чисел q1 и q2, т.е. Q=q1||q2, а подключ R формируют в виде 256-битовой строки, представляющей собой конкатенацию двух 128-битовых строк r1 и r2 (т.е. R=r1||r2), которые удовлетворяют условию

q1≡q2≡r1≡r2≡1 mod 2 (условие нечетности чисел q1, q2, r1, r2), а именно формируют следующие МДЧ:

q1=32190904067557566377059537700856561566910;

q2=28630720506761823063630615061362575900310;

r1=29044042763419564515688183445091818615110;

r2=29426692692758328055910162911399398766110.

Проверка показывает, что сформированные нечетные МДЧ q1, q2, r1, и r2 удовлетворяют условию

q1r2-q2r1=75227762587413192201808942155507758598≠0 mod р.

Затем формируют вспомогательный 64-битовый блок двоичных данных Т и 128-битовую вспомогательную криптограмму CM путем выполнения над блоком данных М операции блочного шифрования Е в зависимости от подключа Q=q1||q2 по формуле CM=EQ(M), где операция блочного шифрования описывается следующим алгоритмом:

1. Установить значение счетчика i←0 и переменной CM←М.

2. Сформировать 64-битовую строку CM в виде МДЧ, вычисленного по формуле CM←(q1CM mod2128)<32<, где (…)<32< обозначает операцию циклического сдвига битовой строки (…) на 32 бита влево.

3. Преобразовать 64-битовую строку CM по формуле CM←(q2CM mod2128)<40<, где (…)<40< обозначает операцию циклического сдвига битовой строки (…) на 40 бит влево.

4. Прирастить значение счетчика i:i←i+1. Если i<16, то перейти к шагу 2, в противном случае текущее значение CM взять в качестве выходного значения операции блочного шифрования EQ, выполненной над 64-битовым блоком двоичных данных М.

Затем формируют 64-битовую вспомогательную криптограмму CT путем выполнения над вспомогательным 64-битовым блоком двоичных данных Т операции блочного шифрования Е в зависимости от подключа R=r1||r2 по формуле CT=ER(T) в соответствии со следующим алгоритмом:

1. Установить значение счетчика i←0 и переменной CT←Т.

2. Сформировать 64-битовую строку CT в виде МДЧ, вычисленного по формуле CT←(r1CT mod2128)<32<.

3. Преобразовать 64-битовую строку CT по формуле CT←(r2CT mod2128)<40<.

4. Прирастить значение счетчика i:i←i+1. Если i<16, то перейти к шагу 2, в противном случае текущее значение CT взять в качестве выходного значения операции блочного шифрования ER, выполненной над вспомогательным 64-битовым блоком двоичных данных Т.

После формирования вспомогательных криптограмм CM и CT, рассматривая их как 64-битовые МДЧ, формируют криптограмму C=C1||C2 путем решения следующей системы из двух линейных уравнений с неизвестными C1 и C2:

Решением данной системы являются два МДЧ C1 и C2, которые объединяются в криптограмму C=C1||C2.

Доказательство корректности данного частного варианта реализации заявленного способа шифрования n-битового блока двоичных данных М доказывается аналогично описанному ранее общему доказательству корректности заявленного способа с учетом того, что для нечетных МДЧ q1, q2, r1, r2 по модулю 2128 существуют и легко вычисляются по расширенному алгоритму Евклида соответствующие обратные значения q 1 − 1 ,   q 2 − 1 ,   r 1 − 1 ,   r 2 − 1 , операция блочного расшифрования DQ(CM), обратная операции блочного шифрования EQ(M), реализуется следующей процедурой преобразования:

1. Установить значение счетчика i←0 и переменной M←CM.

2. Преобразовать 64-битовую строку М, выполняя последовательно вычисления по формулам М←М>40> и M ← M q 2 − 1   mod 2 128 , где (…)>40> обозначает операцию циклического сдвига битовой строки (…) на 40 бит вправо.

3. Преобразовать 64-битовую строку М, выполняя последовательно вычисления по формулам М←М>32> и M ← M q 2 − 1   mod 2 128 , где (…)>32> обозначает операцию циклического сдвига битовой строки (…) на 32 бита вправо.

4. Прирастить значение счетчика i:i←i+1. Если i<16, то перейти к шагу 2, в противном случае текущее значение М взять в качестве выходного значения операции DQ, выполненной над 64-битовой вспомогательной криптограммой CM.

Аналогично записывается процедура для реализации операции блочного расшифрования DR(CT), обратная операции блочного шифрования ER(T).

Рассмотренная частная реализация заявленного способа может быть применена для совместного шифрование двух сообщений Message и Text, каждое из которых, например, имеет размер 128 Кбайт. Сообщение Message разбивается на 128-битовые блоки данных M1, M2,…, Mw, где w=8000. Сообщение Text разбивается на 128-битовые блоки данных T1, T2,…, Tw. Поочередно для значений i=1, 2,…, 8000 пары блоков данных (Mi, Ti) совместно шифруются в соответствии с описанным примером реализации заявленного способа, в результате чего формируется шифртекст в виде последовательности 256-битовых криптограмм (C1||C2)i, i=1, 2,…, 8000.

Приведенные примеры показывают, что заявляемый способ шифрования блока данных М, представленного в виде n-битовой строки, функционирует корректно, технически реализуем и позволяет решить поставленную задачу.

Заявляемый способ шифрования блока данных М, представленного в виде n-битовой строки, может быть применен для разработки средств комплексной защиты информации от несанкционированного доступа, обеспечивающих дополнительную защищенность информации за счет навязывания потенциальным злоумышленникам ложных сообщений. Данный способ также может быть применен для защищенной широковещательной рассылки сообщений с управлением доступа к сообщениям со стороны получателей при обеспечении идентичности процедуры расшифрования одной и той же криптограммы. Такие средства защищенной широковещательной рассылки сообщений решают задачу неотслеживаемости трафика при передаче информации по телекоммуникационным каналам.

1. Способ шифрования блока двоичных данных (М), заключающийся в формировании секретного ключа, включающего подключи Q и R, формировании вспомогательного n-битового блока двоичных данных Т, формировании n-битовой вспомогательной криптограммы CM путем выполнения над М операции блочного шифрования E в зависимости от Q по формуле CM=EQ(M), формировании n-битовой вспомогательной криптограммы CT путем выполнения над Т операции блочного шифрования E в зависимости от R по формуле CT=ER(T), формировании криптограммы С в зависимости от секретного ключа и вспомогательных криптограмм CM и CT, отличающийся тем, что подключ Q формируют в виде 2n-битовой строки, представляющей собой конкатенацию двух n-разрядных двоичных чисел q1 и q2, подключ R формируют в виде 2n-битовой строки, представляющей собой конкатенацию двух n-разрядных двоичных чисел r1 и r2, формируют (n+1)-разрядное двоичное число p и формируют криптограмму С в виде конкатенации двух многоразрядных двоичных чисел C1 и C2, являющихся решением системы из двух линейных уравнений q1C1+q2C2=CM mod р и r1C1+r2C2=CT mod р с двумя неизвестными C1 и C2.

2. Способ по п.1, отличающийся тем, что формируют (n+1)-разрядное двоичное число p, которое является простым.

3. Способ по п.1, отличающийся тем, что формируют (n+1)-разрядное двоичное число p, которое представимо в виде 2n+1.