Підвищення ефективності захисту інформації в комп’ютерних системах на основі використання стохастичних параметрів їх роботи

Размещено на http://allbest.ru

НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

”КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”

УДК 004.056.5

АВТОРЕФЕРАТ

дисертації на здобуття наукового ступеня

кандидата технічних наук

ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ ЗАХИСТУ ІНФОРМАЦІЇ В КОМП'ЮТЕРНИХ СИСТЕМАХ НА ОСНОВІ ВИКОРИСТАННЯ СТОХАСТИЧНИХ ПАРАМЕТРІВ ЇХ РОБОТИ

Спеціальність 05.13.13 - Обчислювальні машини, системи та мережі

Абабне Оксана Анатоліївна

Київ 2007

Дисертацією є рукопис.

Робота виконана в Національному технічному університеті України ”Київський політехнічний інститут” на кафедрі обчислювальної техніки.

Науковий керівник - член -кореспондент Національної Академії Наук України, доктор технічних наук, професор Самофалов Костянтин Григорович, НТУУ ”КПІ”, радник ректора

Офіційні опоненти: доктор технічних наук, професор Брюхович Євген Іванович, Інститут кібернетики ім.В.М.Глушкова НАН України, завідувач лабораторії

кандидат технічних наук, професор Гузій Микола Миколайович, Національний авіаційний університет, Заступник директора Інституту комп'ютерних технологій.

Захист відбудеться 15 жовтня 2007 р. о 14-30 годині на засіданні спеціалізованої ради Д 26.002.02 у НТУУ ”КПІ” (м. Київ, проспект Перемоги 37, корп.18,ауд.306)

З дисертацією можна ознайомитися в бібліотеці Національного технічного університету України ”Київський політехнічний інститут”.

Відзиви на автореферат у двох примірниках, завірені печаткою установи, просимо надсилати на адресу: 03056, м. Київ, проспект Перемоги 37, вченому секретарю НТУУ ”КПІ”.

Автореферат розісланий 14 вересня 2007 р.

Вчений секретар

спеціалізованої вченої ради Д 26.002.02 Орлова М.М.

кандидат технічних наук, доцент

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Динамічне поглиблення інформаційної інтеграції на основі комп'ютерних мереж відіграє домінуючу роль на сучасному етапі розвитку більшості сфер людської діяльності. Важливою передумовою розширення інформаційної інтеграції є забезпечення надійного захисту даних в комп'ютерних системах та мережах. Розширення сфер застосування комп'ютерних і мережових технологій в управлінні складними технічними системами та фінансовому обігу вимагає адекватного вдосконалення засобів захисту інформації. Однією з складових сучасних систем захисту інформації є випадкові числа та їх послідовності.

Історія використання випадкових чисел в ЕОМ починається з 50-х років, тобто, фактично з початку практичного застосування обчислювальної техніки. Нині вони широко застосовуються для відтворення зовнішніх навантажень в системах математичного та імітаційного моделювання, а також при тестуванні апаратних засобів обчислювальної техніки. Здебільшого, в комп'ютерних системах замість послідовностей випадкових чисел використовують псевдовипадкові, які порівняно просто генеруються програмними засобами, хоча для ініціалізації початкового значення таких послідовностей виникає потреба генерувати випадкове число.

Потужний імпульс розвитку засобів одержання випадкових чисел надав швидкий прогрес систем захисту інформації, в яких такі числа знаходять широке застосування. Переважна більшість протоколів захисту інформації передбачає використання випадкових елементів.

В останні роки, однією з найбільш потенційно небезпечних загроз інформаційній безпеці систем комп'ютерного управління на базі мережових технологій є несанкціонований доступ до даних через вимірювання та аналіз динаміки споживаної потужності термінальних обчислювальних пристроїв. В сучасних комп'ютерних мережах значну частину термінальних пристроїв становлять мікроконтролери, для яких проблема вимірювання динаміки споживаної потужності та співставлення її з виконанням програми вирішується порівняно просто. Разом з тим, такі термінальні пристрої підтримують мережові протоколи захисту інформації, при реалізації яких використовуються секретні дані: паролі та ключі криптографічних алгоритмів. Сучасні технології дозволяють виконати статистичне реконструювання таких даних на основі аналізу динаміки потужності, споживаної обчислювальним пристроєм при реалізації алгоритмів та протоколів захисту інформації.

Для запобігання цьому виду порушення захисту інформації може бути використане маскування обчислень за допомогою випадкових послідовностей. Для цього потрібно вирішити низку складних задач, пов'язаних з отриманням, нормалізацією, тестуванням та використанням випадкових чисел для маскування обчислень в комп'ютерних системах.

Таким чином проблема використання випадкових чисел для підвищення ефективності захисту інформації в комп'ютерних системах є важливою та актуальної на сучасному етапі розвитку інформаційних технологій.

Зв'язок роботи з науковими програми, планами, темами. Дисертаційне дослідження проводилось в рамках держбюджетної теми ”Розробка цифрових систем обробки даних з високошвидкісними комутаторами” (номер держреєстрації 0102U000222).

Мета і завдання дослідження. Метою роботи є підвищення ефективності підвищення ефективності захисту інформації з застосуванням випадкових чисел за рахунок вдосконалення способів їх формування на основі вимірювання стохастичних параметрів роботи апаратних засобів комп'ютера та зовнішнього середовища, поліпшення статистичних характеристик послідовностей випадкових чисел, підвищення достовірності і оперативності оцінки їх якості, а також вдосконалення способів їх використання для захисту даних в комп'ютерних системах та мережах.

Об'єкт дослідження - процеси одержання випадкових чисел, їх нормування, оцінка якості та способи використання для захисту інформації в комп'ютерних системах і мережах.

Предмет дослідження - способи використання випадкових чисел для підвищення ефективності захисту інформації, методики їх одержання на основі стохастичних параметрів роботи апаратних засобів комп'ютера, методи нормування та оцінки їх якості з точки зору використання в системах захисту даних.

Основні задачі дослідження у відповідності до поставленої мети полягають у наступному:

1. Аналіз використання випадкових чисел та їх послідовностей для захисту інформації в комп'ютерних системах і мережах. Обгрунтування на основі результатів аналізу вимог до випадкових послідовностей, орієнтованих на використання для захисту інформації, а також до засобів їх формування.

2. Оглядовий аналіз сучасних методів отримання, нормалізації та оцінки якості послідовностей випадкових чисел на основі вимірювання стохастичних параметрів роботи апаратних засобів комп'ютерних систем і зовнішнього середовища. Виявлення можливостей підвищення ефективності отримання, нормування та тестування послідовностей випадкових чисел.

3. Дослідження можливостей вдосконалення одержання випадкових чисел шляхом вимірювання стохастичних за фізичною природою параметрів роботи жорсткого диску. Розробка способу одержання випадкових величин шляхом спеціального форматування доріжок жорсткого диску.

4. Дослідження способів одержання випадкових величин на основі вимірювання зовнішнього шуму за допомогою вбудованого мікрофону, вдосконалення відповідної методики та розробка програмних засобів і рекомендацій по їх використанні на практиці.

5. Теоретичні дослідження можливостей спрощення стандартизованих хеш-алгоритмів MD-5 і SHA-1 при їх застосуванні для нормалізації результатів вимірювання випадкових за фізичною природою параметрів роботи апаратних засобів комп'ютерних систем та зовнішнього середовища.

6. Дослідження характеру розподілу випадкових за фізичною природою чисел, одержаних в результаті вимірів параметрів роботи комп'ютерних систем та зовнішнього середовища і розробка методу та програмних засобів нормалізації цих чисел.

7. Теоретичне дослідження використання нелінійної відтворюючої моделі для оцінки можливості наближеної екстраполяції випадкових двійкових послідовностей при їх тестуванні для використання в системах захисту інформації. Розробка методу тестування випадкових послідовностей з використанням нелінійної відтворюючої моделі, порівняльний аналіз характеристик методу з відомими.

8. Дослідження обчислювальних процедур алгоритму ГОСТ 28.147-89 і розробка способу маскування випадковими числами проміжних результатів з метою протидії реконструкції ключів шляхом вимірювання та аналізу динаміки потужності, споживаної обчислювальною платформою при реалізації алгоритму.

Методи дослідження базуються на теорії імовірностей та математичної статистики, теорії булевих функцій та комбінаторики, теорії організації обчислювальних процесів, а також на використанні методів моделювання.

Наукова новизна одержаних результатів полягає в наступному:

- розвинуті методи одержання випадкових чисел шляхом вимірювання зовнішнього шуму в частині розробки рекомендацій для вибору частоти дискретизації при зверненні до вбудованого мікрофону, що дозволяє оптимізувати параметри продуктивності генерації випадкових чисел та їх статистичні характеристики;

- вдосконалено використання хеш-алгоритмів MD-5 і SHA-1 для нормалізації результатів вимірів випадкових за фізичною природою параметрів роботи обчислювальних систем та зовнішнього середовища шляхом спрощення їх структури, що забезпечує підвищення продуктивності формування випадкових чисел з рівномірним розподілом;

- запропоновано спосіб отримання випадкових чисел шляхом спеціального форматування жорсткого диску, що дозволило покращити статистичні характеристики розподілу випадкових чисел;

- розроблено метод та процедуру нормування випадкових бітових послідовностей, які відрізняється збільшеною продуктивністю програмної реалізації за рахунок оптимізації процедури перемішування бітів;

- розроблено метод тестування якості двійкових випадкових послідовностей, а саме оцінки можливості їх наближеної екстраполяції, який відрізняється використанням нелінійної відтворюючої моделі і забезпечує, за рахунок цього, суттєво меншу обчислювальну складність тестування в порівнянні зі способами, основаними за застосуванні лінійної моделі, що дозволяє підвищити достовірність та оперативність оцінки якості засобів генерації випадкових послідовностей;

- запропоновано спосіб використання випадкових чисел для захисту ключів криптографічного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки потужності споживаною обчислювальною платформою під час виконання алгоритму. Спосіб полягає в спеціальному маскуванні з застосуванням випадкових чисел всіх проміжних результатів під час реалізації алгоритму ГОСТ 28147-89 та знятті маски після закінчення його виконання і забезпечує суттєве підвищення рівня захищеності інформації в комп'ютерних системах і мережах, що використовують в якості термінальних пристроїв мікроконтролери та вбудовані мікропроцесори.

Практичне значення одержаних результатів роботи визначається розробкою на основі запропонованих способів одержання, нормалізації, тестування та використання випадкових чисел програмних засобів і рекомендацій щодо їх ефективного застосування для захисту інформації в компютерних системах та мережах. Практичне значення має запропонований спосіб тестування засобів генерації випадкових послідовностей, застосування якого дозволяє суттєво підвищити достовірність оцінки ефективності згаданих засобів в системах захисту інформації.

Найбільш практично вагомим є способ використання випадкових чисел для захисту ключової інформації стандартизованого в Україні криптографічного алгоритму ГОСТ 28.147-89 від її статистичної реконструкції шляхом вимірювання та аналізу динаміки споживання потужності мікроконтролерами і мікропроцесорами при програмній реалізації згаданого алгоритму. Проведене модулювання довело, що застосування запропонованого способу практично виключає можливість порушення захисту інформації шляхом аналізу споживаної потужності в компютерних системах і мережах, термінальними приястроями якиї є мікроконтролери і вбудовані мікропроцесори.

Особистий внесок здобувача полягає в теоретичному обґрунтуванні одержаних результатів, експериментальній їх перевірці та дослідженні, а також в створенні програмних продуктів для практичного використання одержаних результатів. У роботах, що написані в співавторстві, автору належать: [2] - дослідження шляхів вдосконалення та оптимізації отримання випадкових чисел на основі вимірювання зовнішнього шуму, розробка рекомендацій щодо вибору частоти квантування вимірів; [3] - розробка методу тестування якості двійкових випадкових послідовностей через оцінку можливості їх екстраполяції на основі нелінійної відтворюючої моделі; [4] - розробка способу використання випадкових чисел для захисту ключів криптографічного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки споживаної потужності; [5] - теоретичне обґрунтування способу нормування випадкових бітових послідовностей, а також розробка процедури його реалізації; [6] - спосіб одержання випадкових чисел на основі нестандартного форматування жорсткого магнітного диску.

Апробація результатів дисертації. Основні результати дисертації доповідались та обговорювались на:

1. II Міжнародній науково-технічній конференції ”Моделювання-2006”, 16-18 травня 2006 р., м. Київ.

2. VІ Міжнародній науково-практичній конференції Современные информационные и электронные технологии, 21-24 травня 2005 р. м. Одеса.

3. VI Міжнародній науково-практичній конференції ”Проблеми впровадження інформаційних технологій в економіці”, 31 травня -1 червня 2007 р., м. Ірпінь.

Публікації Основні результати роботи викладені в 6 публікаціях, з них 4 статті в провідних фахових виданнях.

Структура та об'єм роботи. Дисертаційна робота складається з вступу, чотирьох розділів, висновків та додатків. Загальний обсяг роботи складає 151 сторінки, робота містить 14 малюнків, 8 таблиць та список використаної літератури на 96 найменувань, 2 додатки.

ОСНОВНИЙ ЗМІСТ

У вступі обґрунтована актуальність проблеми підвищення ефективності засобів захисту інформації, в яких використовуються випадкові числа, шляхом вдосконалення способів їх отримання, нормалізації і тестування, а також за рахунок розробки нових способів їх використання для вирішення важливих для практики задач захисту даних. Формулюються мета та задачі дослідження, визначені наукова новизна та практичне значення одержаних результатів.

У першому розділі дисертації виконано аналіз сучасного стану проблеми використання випадкових чисел в системах захисту інформації.

Випадкові числа широко застосовуються в сучасних системах захисту інформації поряд з псевдовипадковими. Основною відмінністю випадкових чисел від останніх є принципова неможливість закону їх відтворення. Відповідно, випадкові числа використовуються: для генерації паролів в протоколах автентифікації, ключів криптографічних алгоритмів, випадкових елементів для взаємної автентифікації віддалених абонентів, початкових кодів для засобів генерації псевдовипадкових послідовностей.

В останні роки однією з найбільш потенційно небезпечних видів загроз інформаційній безпеці комп'ютерних систем є несанкціонований доступ до даних шляхом вимірювання та аналізу динаміки параметрів технічної реалізації обчислень цих даних. Найбільшу небезпеку становлять технології несанкціонованої реконструкції закритої інформації через аналіз динаміки споживаної потужності. Ця проблема загострюється тим, що значна частина термінальних пристроїв комп'ютерних систем та мереж являє собою вбудовані мікроконтролери та мікропроцесори, для яких виконати вимірювання динаміки споживання потужності та співставити її з командами програми відносно просто.

З іншого боку, ці термінальні пристрої підтримують протоколи захисту мереж, при реалізації яких використовуються секретні дані: паролі, ключі криптографічних алгоритмів. Таким чином, існує технологічна можливість реконструкції вказаних даних шляхом аналізу динаміки споживання потужності.

На сьогоднішній день існує дві технології такої реконструкції: простий аналіз споживання потужності (SPA-Simple Power Analysis) та диференційний аналіз споживання потужності (DPA- Differentional Power Analysis).

Найбільш ефективні на сьогоднішній день методи протидії вказаним технологіям пов'язані з використанням випадкових чисел. Зокрема вони можуть використовуватися для: маскування проміжних результатів, для випадкової зміни порядку виконання команд, вставок додаткових команд в код програми. Вказані застосування випадкових чисел для захисту від SPA та DPA вимагають підвищення ефективності засобів генерації таких чисел, а також розробки способів їх використання для конкретних механізмів захисту інформації. Для України актуальним є розробка способів протидії реконструкції ключів стандартизованого в країні криптографічного алгоритму ГОСТ 28.147-89.

Аналіз наведених використань випадкових чисел в системах захисту інформації свідчить про те, що основним критерієм якості засобів одержання випадкових чисел та послідовностей є виключення можливості побудови відтворюючої моделі.

Виходячи з цього актуальною проблемою є розвиток засобів тестування випадкових послідовностей.

В другому розділі роботи досліджуються можливості вдосконалення одержання первинних випадкових чисел шляхом вимірювання стохастичних за фізичною природою параметрів роботи комп'ютерних систем та зовнішнього середовища.

Для значної частини задач, пов'язаних з захистом інформації, найбільш прийнятним джерелом випадкових чисел є зовнішнє середовище і, зокрема, зовнішній шум. Вбудований мікрофон входить до штатної комплектації широкого кругу обчислювальних платформ. Як показали експериментальні дослідження, сигнал на виході мікрофону залежить не тільки від зовнішнього шуму, який сам по собі є результатом накладання шумових ефектів різних джерел, але й від місця встановлення мікрофону та характеристик останнього. Структура отримання випадкових чисел з використанням мікрофону показана на рис.1.

Зовнішній шум (ЗШ), у вигляді неперервного сигналу W(t) поступає на вхід мікрофону (М), сигнал якого дискретизується аналого-цифровим перетворювачем (АЦП) по часу та рівню.

Якщо позначити через M(X)- перетворення, що реалізується М та АЦП, то код G(t)= M(W(t)). Коди G(t) накопичуються в пам'яті (П) у вигляді блоку з N_S відліків за час t: S(t,t)={M(W(t)),M(W(t+)), M(W(t+2)),…,M(W(t+t))}, де -іниервал часової дискретизації, так, що t=N_S. В подальшому, над блоком S(t,t) виконується нормуюче перетворення (НП), яке формує блок рівномірно розподілених кодів - R(t,t):

,

де F(X) - функція НП. Якщо об'єм блоку R(t,t) становить V_R біт, для того, щоб цей блок включав істинно випадкові числа, його ентропія Н_R має бути близькою до V_R. З іншого боку, значення Н_R залежить від ентропії H_S блоку S(t,t): H_S H_R. Значення ентропії H_S блоку S(t,t) k-розрядних відліків визначається його об'ємом V_s та ентропією одного байту дискретизованого шуму - h_S:

, (1)

Із (1) випливає, що при фіксованому об'ємі V_R, об'єм V_s блоку S(t,t), і відповідно час t його накопичення, а, значить і продуктивність генерації випадкових чисел залежить від типу зовнішнього шуму.

Для визначення середнього значення ентропії байту були проведені експериментальні дослідження, результати яких наведені в таблиці 1.

Таблиця 1.

Результати дослідженні зовнішніх шумів різних типів

Тип шуму	Кореляция між відліками	Ентропія байту, біт
Фоновий шум	0.43	3.5
Мовний шум	0.01	7.2
Медійний шум	0.005	7.9

Основним джерелом випадкових величин фізичної природи в роботі апаратних засобів обчислювальних систем є пристрої, що мають механічні компоненти. До таких пристроїв відноситься магнітний диск. основним механічним рухом диску є його швидке обертання.

Швидкість обертання залежить від багатьох параметрів і фактично є величиною випадковою. В порівнянні з часом виконання команди звернення до диску його обертання відбувається повільно, тому його положення є також випадковою величиною.

Відомо, що в якості джерела випадковості може слугувати накладення двох асинхронних процесів, один з яких більш швидкий, а інший - повільніший. Часові флуктуації повільного процесу сприймаються в часовому просторі іншого процесу, як випадкові величини. Справедливим є і зворотне: значення параметру швидкого процесу, що вимірюються в більш повільному також є випадковою величиною. Конкретизація цього відомого теоретичного положення дає два способи отримання випадкових чисел, пов'язаних з обертанням диску.

Перший спосіб полягає в тому, щоб читати час Т від початку виконання команди читання сектору до отримання результату. Цей час складається з двох складових:

,

де tS - час встановлення головки на сектор с заданим маркером, цей час залежить від положення диску і фактично є випадковим, tR - час читання сектору, що є сталою величиною. Таким чином, для отримання випадкової величини потрібно за допомогою відповідних програмних засобів виміряти час Т.

Другий спосіб значно простіший в реалізації і полягає в тому, що випадкове число читається з сектору, вибір якого є випадковим. Для реалізації цього способу пропонується виконувати форматування доріжки на низькому рівні таким чином, що маркери всіх секторів доріжки будуть однакові і міститимуть однаковий номер сектору - N.

В самих секторах послідовно записуються числа 1,2,…,nm, де nm - максимальний номер сектору на доріжці. При виконанні команди на читання сектору N, згідно з механізмом роботи диску, буде прочитаний перший, відносно поточного положення головки, сектор, маркер якого містить номер N. Прочитаний з сектору код буде з рівною ймовірністю приймати значення з множини {1,2,…,nm}.

Проведені експериментальні дослідження підтвердили наведені теоретичні посилки. Основною перевагою запропонованого способу є високі статистичні характеристики чисел, що генеруються в такий спосіб.

Важливим чинником ефективного використання випадкових чисел в системах захисту інформації виступає процедура нормування результатів вимірювання стохастичних параметрів.

З точки зору критеріїв ефективності нормування n-бітової випадкової послідовності S={s₁,s₂,…s_n}, вихідна послідовність R={r₁,r₂,…,r_n} повинна задовольняти наступним умовам:

Для будь-якого j-го біту r_j , j{0,…,n} ймовірність того, що він дорівнює одиниці має практично дорівнювати 0.5 при будь-яких значення послідовності S. При цьому, кожен з бітів R має не залежати від інших. Для будь-якої пари <i,j>, i,j{0,…,n},ij бітів r_i та r_j , ймовірність P(r_i r_j =1) 0.5. Кожен біт r_j з ймовірністю, близькою до 0.5 має змінюватися при зміні будь-якої підмножини бітів вхідної послідовності.

Сформульовані умови можуть бути виконані, якщо кожен j-тий біт r_j формується у вигляді суми за модулем 2 підмножини _j , яка складається з n/2 бітів S: _j = {s^j₁,s^j₂,…,s^j_n/2}, причому симетрична різниця будь-якої пари <_i, _j} має включати також n/2 бітів вхідної послідовності.

В основі способу нормалізації, що задовольняє викладеним вище умовам лежить базова процедура, яка складається з t=log₂n-1 циклів виконання наступної послідовності операцій:

1. Скопіювати : R=S. Встановити номер k циклу в одиницю: k=1.

2. Скопіювати бітову послідовність R в Т: T=R.

3. Якщо k=1, то виконати циклічний зсув вліво послідовності Т на один біт:

T=T<<1, інакше на q = 2^k - 2^k-2 бітів: T<<q.

4. Виконати логічне додавання послідовностей R і Т : R = R T.

5. k=k+1. Якщо k t, то повернення на п. 2, інакше - кінець.

В третьому розділі роботи досліджуються шляхи підвищення достовірності оцінки якості випадкових послідовностей з точки зору ефективності їх використання в системах захисту інформації.

З ціллю зменшення обчислювальної складності оцінки можливості наближеної екстраполяції довгих послідовностей і розширення тим самим достовірності тестування запропоновано спосіб, що базується на використанні нелінійної відтворюючої моделі, у вигляді зсувного регістру поточні значення розрядів якого утворюють вектор X={x₁,x₂,…,x_m}, з нелінійною, частково-визначеною функцією f(X) зворотного зв'язку.

Обчислювальна складність алгоритму формування нелінійної моделі складає O(nlog₂n).

Сутність алгоритму полягає в побудові бінарного дерева G, число ярусів якого відповідає значенню нелінійної складності.

Аналіз можливостей застосування нелінійної відтворюючої моделі для визначення складності n-бітовой двійкової послідовності S з k-кратною похибкою дозволяє виділити два способи вирішення цієї задачі.

Перший спосіб дозволяє оцінити можливість спрощення відтворюючої моделі при заміні k бітів послідовності на якісному рівні, другий - дозволяє виконати кількісну оцінку.

Сутність першого способу полягає в оцінці отриманого значення нелінійної складності M(S): перевищення значення M(S) рівня 2log₂n непрямо пов'язано з незбалансованістю бінарного дерева G.

В свою чергу, незбалансованість дерева G свідчить при можливість зменшення числа його ярусів за рахунок балансування шляхом зміни k кінцевих вершин, що є тотожним інвертуванню відповідних k бітів заданої послідовності S.

Доведено, що нелінійна складність розподілена на нормальним законом с математичним очікуванням 2log₂n та середньоквадратичним відхиленням 0.5log₂n.

Відповідно, ймовірність Р₁ того, що для випадкової послідовності значення нелінійної складності M(S) перевищить 2log₂n визначається як:

Обчислене за допомогою функції Лапласа значення Р₁ порівнюється з пороговим значенням Р_П і при умові Р₁>P_П приймається рішення щодо невідповідності послідовності, що проходить тестування, критерію неможливості екстраполяції з невеликою помилкою.

Запропонований спосіб простий в реалізації і може бути, в принципі, модифікований для лінійної відтворюючої моделі.

Сутність другого способу полягає в обчисленні ваги Хемінга диференціалу частково визначеної булевої нелінійної функції f(X) зворотного зв'язку по змінній х₁. Визначений диференціал порівнюється зі значенням k - кількості помилок апроксимації.

Хемінгова вага диференціалу частково визначеної функції нелінійної функції f(X) по змінній х₁ визначається з виразу:

,

де функція (y₁,y₂) =y₁y₂, якщо обидві булеві змінні y₁,y₂ визначені, тобто y₁,y₂{0,1} і (y₁,y₂)=0, якщо значення хоча б однієї з змінних y₁,y₂ не визначено, Z₁ - множина з 2^m-1 всіх можливих наборів значень булевих змінних x₂,x₃,…,x_m. Враховуючи, що нелінійна модель відтворює послідовність S, то фактично показує кількість бітів послідовності змінються при зміні функції f(x₁,x₂,…,x_m) зворотного зв'язку на функцію f(x₁1,x₂,…,x_m). Іншими словами, значення дорівнює кількості бітів послідовності S, які будуть невірно відтворені нелінійною моделлю без врахування старшого розряду х₁ зсувного регістру, тобто за допомогою (m-1)-розрядного зсувного регістру.

Зі сказано випливає, що якщо , або , то задана послідовність S може бути апроксимована послідовністю S з помилкою не більше ніж в k бітів, причому нелінійна складність S на одиницю менша за складність заданої послідовності S: M(S)=M(S)-1.

Важливою є оцінка затрат обчислювальних ресурсів, потрібних на реалізацію запропонованого способу тестування можливого спрощення відтворюючої моделі послідовності. Обчислювальна складність формування Хемінгової ваги диференціалу частково визначеної нелінійної функції f(X) по змінній х₁ визначається перебором половини таблиці істинності f(X) і дорівнює O(2^m-1)=O(2n).

Враховуючи обчислювальну складність побудови нелінійної моделі - O(nlog₂n), в результаті чого формується таблиця функції f(X), отримуємо, що обчислювальна складність визначення можливості зменшення на одиницю складності нелінійної відтворюючої моделі за рахунок d помилок апроксимації заданої двійкової послідовності становить O(n(log₂n + 2)).

Це означає, що витрати часу на вирішення вказаної задачі незначно перевищує витрати на побудову самої нелінійної відтворюючої моделі. Знайдене значення обчислювальної складності є суттєво меншим від вирішення аналогічної задачі з використанням лінійної відтворюючої моделі, обчислювальна складність якої експоненційно залежить від значення k - O(n^k).

Слід зазначити, що значне зменшення ресурсів часу, потрібного для визначення можливості спрощення відтворюючої моделі за рахунок допустимої похибки інтерполяції послідовності досягається за рахунок трьох факторів:

1. використанням нелінійної відтворюючої моделі, розмірність якої (2log₂n) значно менша за розмірність лінійної моделі (n/2);

2. суттєвим збільшенням, а порівнянні з відомими методами, об'єму пам'яті, потрібної для формування таблиці істинності нелінійної булевої функції f(X) зворотного зв'язку.

Згаданий об'єм становить 22^m = 8n бітів. Наприклад, для типової довжини послідовності 10⁶ бітів, об'єм пам'яті становить близько одного мегабайту, що цілком реалізуємо сучасними технічними засобами;

3. звуженням класу задачі тестування: фактично в попередніх розробках визначалась мінімальна складність відтворюючої лінійної моделі при всіх можливих k-бітових помилках апроксимації.

Запропоноване рішення дозволяє виявити можливість зменшення складності відтворюючої моделі при всіх можливих k-бітових помилках апроксимації. На практиці тестування визначення такої можливості цілком може бути прийнятним результатом.

Для визначення мінімальної складності нелінійної відтворюючої моделі при всіх можливих k-бітових помилках апроксимації заданої послідовності, запропонована процедура може бути застосована рекурсивно.

Нехай задана послідовність S довжиною n біт і допустима кількість k бітових помилок апроксимації S. Потрібно визначити мінімальну довжину зсувного регістру з нелінійною функцією зворотного зв'язку, який здатен відтворити послідовність S з похибкою не більше k біт.

Рекурсивне використання запропонованої процедури виконується в наступному порядку.

1. Для послідовності S будується нелінійна відтворююча модель і, відповідно, функція f(X) зворотного зв'язку, кількість аргументів вказаної функції визначає нелінійну складність -M(S) .

2. Для функції f(X) визначається значення її диференціалу по змінній х₁,: . Обчислюється значення .

3. Якщо d k, то в послідовності S інвертуються біти, які зумовлюють залежність функції f(X) від змінної х₁. Значення k зменшується на величину d: k:=k-d. Якщо k>0, то повернення на п.1, інакше M(S):=M(S)-1.

4. Якщо M(S) < log₂n, то тестування послідовності свідчить про невідповідність використанню в системах захисту інформації.

Обчислювальна складність реалізації запропонованої рекурсивної процедури визначається кількістю h кроків рекурсії і становить O(h(n+2)log₂n). Це значно менше в порівнянні з обчислювальною складністю O(n^k+2). вирішення цієї задачі з використанням відомих способів.

Таким чином, запропонований спосіб тестування через визначення складності апроксимації послідовностей дозволяє, за рахунок меншої обчислювальної складності, суттєво збільшити довжину послідовностей.

Експериментальними дослідженнями доведено, що тестування можливості апроксимації послідовностей довжиною 10⁸ відомими методами пов'язане зі значними технічними труднощами, в той час, як запропонований спосіб дозволяє реалізувати тестування таких послідовностей достатньо просто.

Можливість тестування довших послідовностей дозволяє підвищити достовірність оцінки якості засобів генерації випадкових та псевдовипадкових двійкових послідовностей.

В четвертому розділі роботи досліджується застосування випадкових чисел для захисту від реконструкції інформації шляхом вимірювання та аналізу динаміки споживаної обчислювальною платформою потужності при її обробці на прикладі захисту ключів стандартизованого в Україні криптографічного алгоритму ГОСТ 28.147-89.

Для протидії можливості реконструкції кодів ключів алгоритму ГОСТ 28.147-89 шляхом диференційного аналізу динаміки споживаної потужності при реалізації на мікроконтролерах та вбудованих мікропроцесорах пропонується виконувати маскування проміжних значень випадковими числами. Цей метод є найбільш ефективним для протидії DPA за умови маскування всіх проміжних значень, в яких замішані біти ключа.

При організації маскування проміжних результатів програмної реалізації алгоритму ГОСТ 28.147-89 мають виконуватися наступні умови:

1. Результати всіх команд, що виконуються процесором і залежать від розрядів ключа мають бути замасковані.

2. Після виконання всіх операцій, передбачених алгоритмом, необхідно зняти маску, з тим, щоб результат криптографічного перетворення з маскуванням не відрізнявся від результату стандартизованого алгоритму ГОСТ 28.147-89.

3. Реалізація маскування при виконанні алгоритму має використовувати можливо менше додаткових обчислювальних ресурсів.

Стосовно алгоритму ГОСТ 28.147-89 проблема зняття маски ускладнюється тим, що в цьому алгоритмі використовуються як арифметичні, так і логічні операції.

Вирішення проблеми спрощується, якщо після закінчення кожного з 32-х циклів алгоритму, дані, що передаються наступному циклу, будуть замасковані з використанням однакової маски. Зняття маски може бути виконане або шляхом відповідної послідовності арифметичних і логічних операцій, або з використанням табличних перетворень.

Перший варіант забезпечує більшу продуктивність, проте не завжди може бути виконаний так, щоб уникнути появи проміжних незамаскованих результатів.

При маскуванні проміжних результатів програмної реалізації алгоритму ГОСТ 28.147-89 може використовуватися різна кількість масок. Найбільш ефективним є варіант, за яким, додатково до маски Y даних, використовуються маски Х для маскування ключів. При цьому кількість різних масок Х може співпати з кількістью циклів (32) або з кількістю субключів (8).

Для розробки способу маскування проміжних результатів при реалізації алгоритму ГОСТ 28.147-89 доцільно проаналізувати кожне з перетворень, що виконується в циклі згаданого алгоритму. Оскільки алгоритмом ГОСТ 28.147-89 передбачає арифметичне додавання правої частини даних та поточного субключа, то для маскування цих складових доцільно використовувати також арифметичну аддитивну операцію.

Маскування нелінійного функціонального перетворення, передбаченого алгоритмом ГОСТ 28.147-89, має бути організовано таким чином, щоб:

- віднімалась арифметична маска X_j+Y від коду R_j+K_j+X_j+Y;

- виконувалося нелінійне функціональне перетворення F(R_j+K_j).

- маскувався результат функціонального перетворення F(R_j+K_j).

Єдиним варіантом реалізації вказаних вище трьох операцій є використання табличного перетворення , яке віднімає маску X_j+Y від коду R_j+K_j+X_j+Y, виконує перетворення F(R_j+K_j) з маскуванням результату.

Для маскування коду F(R_j+K_j) доцільно застосовувати логічну операцію, оскільки далі виконується логічна операція - зсув на 11 розрядів вліво, причому в якості логічної маски доцільно вибрати X_j+Y.

На виході перетворювача буде отримано код F(K_j+R_j-1)(Y+X_j). Перетворення розділяється на q секцій, що реалізуються послідовно. Кожна секція оброблює d=32/q розрядів двох чисел и сигнал переносу. Загальний об'єм пам'яті таблиць становитиме при цьому q2^2d+1 d-розрядних слів або 2^2d+6 біт.

Результат циклічного зсуву F(K_j+R_j-1)(Y+X_j) можна представити у вигляді: ROL(F(K_j+R_j-1),11)ROL(Y+X_j,11). Маску ROL(Y+X_j,11)потрібно зняти, замінивши її більш простою - Y. Це може бути виконано логічним додаванням коду ROL(Y+X_j,11)Y.

Отримаємо код ROL(F(K_j+R_j-1),11)Y. Безпосереднє логічне додавання цього коду до L_j-1+Y утруднюється тим, що Y входить в згадані складові в якості як арифметичного, так і логічного доданку. Тому доцільним є використання табличного перетворення від трьох аргументів: Ф(ROL(F(K_j+R_j-1),11)Y, L_j-1+Y, Y). При реалізації табличного перетворення Ф від 3-х 32-розрядних чисел воно ділиться на v секцій, в кожній з яких оброблюється r=32/v розрядів. Об'єм пам'яті таблиць для реалізації Ф складає v2^3r+2 (r+2)-розрядних чисел або 2^3r+7 біт.

Об'єм пам'яті, що потребується для реалізації табличного перетворення Ф може бути суттєво зменшено шляхом заміни таблиці від 3-х аргументів до двох таблиць, що залежить від 2-х аргументів. Схематично цей варіант маскування проміжних результатів при програмній реалізації алгоритму ГОСТ 28.147-89 показано на рис. 2.

Всі три табличні перетворювачі виконуються у вигляді q секцій, кодна з яких реалізує обробку d=32/q розрядів. В силу того, що перетворювачі реалізують арифметичні операції, обробка їх секцій виконується послідовно з урахуванням переносу - с. Код Y' розрядністю 32 складається з q d-розрядних фрагментів Y'={Y₁',Y₂',…,Y_q'} і отримується з q d-розрядних фрагментів коду маски Y={Y₁,Y₂,…,Y_q} наступним чином: l{1,…,q}: Y_l' = ROL(Y_l,d/2).

Перетворювач використовується для переходу від арифметичного маскування лівої частини даних - L_j+Y до логічного: L_j Y. В рамках перетворення виконується операція віднімання коду Y з наступним логічним його додаванням: ((L_j+Y)-Y)Y . Перетворення використовується для заміни логічної маски YY' адитивною - Y.

Таким чином, загальний об'єм V₃ пам'яті таблиць для всіх трьох перетворювачів , та , за умови, що вони розділяються на d-розрядні секції становить: , в той час, як при застосуванні двох таблиць об'єм пам'яті складає .

Крім додаткової пам'яті, маскування проміжних результатів при реалізації алгоритму ГОСТ 28.147-89 пов'язано з уповільненням обчислень. При використанні двох таблиць час Т₂ виконання одного циклу ГОСТ 28.147-89 визначається формулою:

 ,

де t_ADD, t_XOR, t_ROL - час виконання відповідно операцій арифметичного і логічного додавання та циклічного зсуву на 11 розрядів, t_T - час звернення до пам'яті таблиць.

При використанні 3-х перетворювачів час Т₃ виконання циклу становить:

Вибір найбільш прийнятного для конкретного застосування варіанту маскування може бути виконаний за допомогою таблиці 2.

комп'ютерний двійковий нелінійний

Таблиця 2.

Порівняльні характеристики двох варіантів реалізації ГОСТ 28.147-89 з маскуванням проміжних результатів та базового варіанту

Схема маскування	Розрядність d секцій таблиць	Об'єм пам'яті (біт)	Порівняння з базовою реалізацією
			за часом	за об'ємом пам'яті таблиць
З двома таблицями	4	219	2	103
	8	231	1	107
З трьома таблицями	4	3214	3	102
	8	3222	1.5	104

Для оцінки ефективності запропонованого способу реалізації алгоритму ГОСТ 28.147-89 в плані протидії DPA були проведені спеціальні експериментальні дослідження.

В якості критерію ефективності реконструкції ключів за технологією DPA вибрано максимальне значення коефіцієнту кореляції між значеннями проміжних результатів та зміною одного розряду ключа.

В рамках проведених експериментів було досліджено 10⁴ реалізацій першого циклу базової реалізації ГОСТ 28.147-89 та варіанту з маскуванням проміжних результатів.

В результаті встановлено, що базової реалізації ГОСТ 28.147-89 максимальне значення коефіцієнту кореляції значення проміжного результату та зміною біту ключа становить 0.18 при середньому значенні 0.06. Експериментальне статистичне дослідження для запропонованого варіанту реалізації ГОСТ 28.147-89 показало зниження максимального коефіцієнту кореляції до рівня 0.007 при середньому значенні 0.0026.

ВИСНОВКИ

В дисертаційній роботі, відповідно до поставленої мети, виконано теоретичне обґрунтування і одержано нове вирішення наукової задачі: підвищення ефективності захисту інформації в комп'ютерних системах та мережах за рахунок вдосконалення способів одержання, нормування та тестування істинно випадкових чисел, а також розробки способів їх застосування для захисту даних.

Основні наукові і практичні результати полягають у наступному:

1. Одержав розвиток спосіб отримання послідовностей випадкових чисел на основі вимірювання зовнішнього шуму: вироблені рекомендації щодо оптимізації частоти дискретизації залежно від рівня ентропії та швидкості генерації послідовності, визначені статистичні особливості результатів вимірювань шуму та специфіковані процедури їх нормалізації.

2. Вдосконалено способи одержання випадкових величин з використанням жорсткого диску за рахунок нестандартного форматування його доріжки, що дозволило покращити статистичні характеристики розподілу результатів випадкових послідовностей.

3. Вдосконалено процедури нормування випадкових послідовностей з застосуванням хеш-алгоритмів MD-5 i SHA-1, що дозволило приблизно на 50% підвищити швидкість операцій нормування випадкових послідовностей за рахунок виключення надлишкових циклів та операцій.

4. Теоретично обґрунтовано і розроблено спосіб та процедуру нормування бітовох послідовності, які відрізняється збільшеною продуктивністю програмної реалізації за рахунок оптимізації процедури перемішування бітів.

5. Розроблено метод тестування якості двійкових випадкових послідовностей, а саме оцінки можливості їх наближеної екстраполяції, який відрізняється використанням нелінійної відтворюючої моделі і забезпечує, за рахунок цього, суттєво меншу обчислювальну складність тестування в порівнянні зі способами, основаними за застосуванні лінійної моделі, що дозволяє підвищити достовірність та оперативність оцінки якості засобів генерації випадкових послідовностей.

6. Розроблено метод оцінки можливості наближеної екстраполяції випадкових двійкових послідовностей, який відрізняється використанням нелінійної відтворюючої моделі і забезпечує, за рахунок цього, суттєво меншу обчислювальну складність тестування в порівнянні зі способами, основаними за застосуванні лінійної моделі, що дозволяє підвищити достовірність та оперативність оцінки якості засобів генерації випадкових послідовностей.

7. Запропоновано спосіб використання випадкових чисел для захисту ключів криптографічного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки потужності споживаною обчислювальною платформою під час виконання алгоритму. Спосіб полягає в спеціальному маскуванні з застосуванням випадкових чисел всіх проміжних результатів під час реалізації алгоритму ГОСТ 28147-89 та знятті маски після закінчення його виконання і забезпечує суттєве підвищення рівня захищеності інформації в комп'ютерних системах і мережах, що використовують в якості термінальних пристроїв мікроконтролери та вбудовані мікропроцесори.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ

1. Абабне О.А. Преобразование измерений физически стохастических величин для эффективной генерации случайных чисел // Вісник Національного технічного університету України “КПІ”. Інформатика, управління та обчислювальна техніка. К.: ТОО „ВЕК+”.- 2006.- № 45.- С. 17-26. (Автором вдосконалено процедури нормування випадкових послідовностей з застосуванням хеш-алгоритмів MD-5 i SHA-1 )

2. Марковский А.П., Абабне О.А., Чередник Р.В. Генерация случайных чисел на основе измерения внешнего шума // Вісник Національного технічного університету України “КПІ” Інформатика, управління та обчислювальна техніка. К.: ТОО „ВЕК+”.- 2005.- № 43.- С. 81-90. (Автором вдосконалено спосіб отримання послідовностей випадкових чисел на основі вимірювання зовнішнього шуму).

3. Самофалов К.Г., Марковський О.П., Абабне О.А. Оцінка якості генераторів двійкових послідовностей з використанням нелінійної відтворюючої моделі // Проблеми інформатизації та управління. Збірник наукових праць: К.,НАУ.- 2007.- Випуск 1(19).- С.142-147. (Автором запропоновано метод тестування якості двійкових випадкових послідовностей через оцінку можливості їх екстраполяції на основі нелінійної відтворюючої моделі).

4. Марковский А.П., Абабне О.А., Ияд Мохд Маджид Ахмад Шахрури. Способ защиты ключей алгоритма ГОСТ 28.147-89 от реконструкции анализом динамики потребляемой мощности // Вісник національного технічного університету України ”КПІ”. Інформатика, управління та обчислювальна техніка. К.: ТОО „ВЕК+”. - 2007.- № 46.- С.128-138. (Автором запропоновано і досліджено спосіб використання випадкових чисел для захисту ключів криптографічного алгоритму ГОСТ 28.147-89 від їх реконструкції шляхом вимірювання та аналізу динаміки споживаної потужності).

5. Абабне О.А., Левчун Д.Ю. К проблеме построения эффективных генераторов случайных последовательностей для систем моделирования // Сб.трудов конференции ”Моделирование-2006” 16-18 мая 2006, г.Киев.- К.: ИПМЭ НАН Украины.-2006.- С.91-94. (Автором теоретично обґрунтовано і запропоновано спосіб та процедуру нормування випадкових бітових послідовностей).

6. Марковский А.П., Абабне О.А., Драгунов Н.В. Получение случайных чисел на основе измерений скорости вращения жестких дисков // Труды 6-й ”Международной конференции Современные информационные и электронные технологии”. Одесса.-2005.- С.129. (Автором запропоновано вдосконалений спосіб одержання випадкових чисел з використанням жорсткого диску).

АНОТАЦІЯ

Абабне Оксана Анатоліївна. Підвищення ефективності захисту інформації в компютерних системах на основі використання стохастичних параметрів їх роботи. - Рукопис.

...