Методи захисту інформації від її реконструкції аналізом споживання потужності в термінальних компонентах комп’ютерних систем

Размещено на http://www.allbest.ru

НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

”КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”

Зюзя Олександр Андрійович

УДК 004.056

МЕТОДИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД ЇЇ РЕКОНСТРУКЦІЇ АНАЛІЗОМ СПОЖИВАННЯ ПОТУЖНОСТІ В ТЕРМІНАЛЬНИХ КОМПОНЕНТАХ КОМП'ЮТЕРНИХ СИСТЕМ

Спеціальність 05.13.05 - Комп'ютерні системи та компоненти

АВТОРЕФЕРАТ

дисертації на здобуття наукового ступеня

кандидата технічних наук

Київ - 2011

Дисертацією є рукопис.

Робота виконана на кафедрі обчислювальної техніки Національного технічного університету України “Київський політехнічний інститут”, Міністерство освіти і науки України.

Науковий керівник - член-кореспондент Національної Академії Наук України, доктор технічних наук, професор Самофалов Костянтин Григорович, НТУУ “КПІ”, радник ректора

Офіційні опоненти:

доктор технічних наук, професор Зайцев Володимир Григорович, НТУУ “КПІ”, професор кафедри спеціалізованих комп'ютерних систем

доктор технічних наук, професор Корченко Олександр Григорович, Національний авіаційний університет, завідувач кафедрою безпеки інформаційних технологій.

Відзиви на автореферат у двох примірниках, завірені печаткою установи, просимо надсилати на адресу: 03056, м. Київ, проспект Перемоги 37, вченому секретарю НТУУ ”КПІ”.

З дисертацією можна ознайомитися в бібліотеці Національного технічного університету України ”Київський політехнічний інститут”.

Вчений секретар

спеціалізованої вченої ради Д 26.002.02 Орлова М.М.

кандидат технічних наук, доцент

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Однією з домінуючих тенденцій сучасного етапу розвитку технологій комп'ютерної обробки даних є процес розширення та поглиблення інформаційної інтеграції. Забезпечуючи якісно більш високий рівень вирішення прикладних задач, інформаційна інтеграція охоплює всі рівні комп'ютерної обробки даних, включаючи вбудовані мікропроцесорні засоби, що вже зараз складають переважну частину термінальних пристроїв комп'ютерних мереж.

Важливою умовою ефективної взаємодії обчислювальних термінальних пристроїв в комп'ютерних мережах є надійна реалізація функцій захисту інформації, передбачених відповідними протоколами мережевого обміну даних. Основним засобом реалізації функцій захисту інформації в процесі мережевого обміну даними є криптографічні алгоритми. При реалізації цих алгоритмів на вбудованих мікроконтролерах і смарт-картах існує потенційна небезпека доступу до секретних елементів алгоритмів за допомогою вимірювання та аналізу параметрів технічної реалізації алгоритму на обчислювальному пристрої. В процесі виконання програми на портативних обчислювальних пристроях існує зв'язок між командами, що виконуються, а також даними, з якими оперують команди, і значеннями деяких технічних параметрів пристрою. Найбільш інформативними в цьому плані є такі параметри, як споживана потужність та час виконання окремих фрагментів програми. криптографічний поліморфний модулярний експоненціювання

До теперішнього часу створені розвинені технології реконструкції значень кодів окремих операндів за результатами вимірювання та аналізу динаміки споживання потужності мікроконтролерами в процесі реалізації ними алгоритмів захисту інформації. Аналіз цих технологій дозволяє зробити висновок про те, що витрати на порушення захисту при використанні динаміки зміни параметрів технічної реалізації при виконанні функцій захисту суттєво нижчі в порівнянні з методами, в основі яких лежить математичний та статистичний аналіз масивів вхідних та вихідних даних роботи криптографічного алгоритму (диференційний і лінійний криптоаналіз). Це створює серйозну небезпеку для надійної реалізації захисту інформації при роботі портативних обчислювальних пристроїв в комп'ютерних мережах и вимагає розробки ефективних засобів протидії. Важливість вдосконалення засобів протидії від всіх можливих різновидів та технологій протиправних посягань на інформаційні ресурси підкреслюється діючими нині Законами України щодо захисту інформації в автоматизованих та інформаційно-комунікаційних системах і поправками до них від 2009 р.

Таким чином, дослідження, розробка та впровадження засобів протидії несанкціонованому доступу до інформації шляхом вимірювання та аналізу параметрів технічної реалізації алгоритмів захисту даних являють собою важливу і актуальну задачу для сучасного етапу розвитку комп'ютерних технологій.

Зв'язок роботи з науковими програмами, планами, темами. Дисертаційне дослідження виконувалось на кафедрі обчислювальної техніки НТУУ “КПІ” в рамках держбюджетної теми ”Розробка цифрових систем обробки даних з високошвидкісними комутаторами” (номер держреєстрації 0102U000222) згідно з науковим напрямком “Інформаційна безпека комп'ютерних систем і мереж”.

Мета і завдання дослідження. Метою роботи є підвищення ефективності захисту даних від їх несанкціонованої реконструкції, яка проводиться шляхом аналізу динаміки споживання потужності криптографічних алгоритмів при їх реалізації на термінальних обчислювальних пристроях комп'ютерних систем і мереж: мікроконтролерах та смарт-картах за рахунок організації стохастично поліморфного виконання програм.

Об'єктом дослідження є процеси програмної реалізації алгоритмів криптографічного захисту інформації на мікроконтролерах та смарт-картах, пов'язані з загрозою несанкціонованої реконструкції ключів алгоритмів шляхом аналізу динаміки споживання потужності вказаними обчислювальними пристроями.

Предметом дослідження є методи організації виконання алгоритмів захисту інформації на мікроконтролерах і смарт-картах, що унеможливлюють реконструкцію ключів алгоритмів шляхом вимірювання та аналізу динаміки споживання потужності, а також програмні засоби стохастичної поліморфної реалізації алгоритмів криптографічного захисту даних.

Основні задачі дослідження у відповідності до поставленої мети полягають у наступному:

1. Аналіз існуючих технологій реконструкції даних, що оброблюються на мікроконтролерах і смарт-картах, за результатами вимірювання та аналізу динаміки споживання їх потужності під час виконання програми. Обґрунтування критеріїв ефективності та огляд існуючих способів протидії несанкціонованому доступу до ключових елементів криптографічних алгоритмів і протоколів захисту інформації через аналіз параметрів роботи обчислювальних пристроїв.

2. Дослідження структури алгоритму шифрування ГОСТ 28.147-89 з позицій можливості його поліморфної реалізації на мікроконтролерах та смарт-картах. Розробка методу стохастичної поліморфної реалізації ГОСТ 28.147-89 на мікроконтролерах, створення програмних засобів, що реалізують запропонований спосіб, теоретична та експериментальна оцінка його ефективності.

3. Теоретичне дослідження структурної організації алгоритму шифрування нового покоління Rijndael, його базових операцій з точки зору організації захисту його ключів від реконструкції аналізом динаміки споживання потужності під час програмної реалізації. Розробка методу стохастичного поліморфного виконання алгоритму Rijndael на мікроконтролерах та смарт-картах, створення програмних засобів реалізації, теоретичне та експериментальне дослідження його ефективності, як засобу протидії реконструкції ключів за результатами аналізу споживання потужності.

4. Дослідження, з позицій можливості поліморфної реалізації, обчислювальних процедур модулярного експоненціювання над числами великої розрядності, яке лежить в основі більшості алгоритмів шифрування з відкритим ключем, цифрового підпису та механізмів автентифікації абонентів мереж. Розробка способу стохастичного поліморфного виконання на мікроконтролерах і смарт-картах обчислення модулярної експоненти, а також створення програмних засобів його реалізації.

Методи дослідження базуються на теорії ймовірності та математичної статистики, теорії булевих функцій та комбінаторики, теорії організації обчислювальних процесів, а також на використанні методів моделювання.

Наукова новизна одержаних результатів полягає в наступному:

- Вперше запропоновано метод реалізації алгоритмів симетричного шифрування на основі дворівневого поліморфізму: на рівні зміни послідовності обробки блоків даних, а також на рівні зміни послідовності виконання операцій при обробці одного блоку даних, що дозволяє значно збільшити значення варіації моментів виконання команд програмної реалізації, і цим самим, підвищити ефективність програмного поліморфізму у якості протидії диференційному аналізу динаміки споживання потужності. Метод конкретизовано для прийнятого в Україні у якості стандарту алгоритму ГОСТ 28.147-89.

- Вперше запропоновано метод поліморфного виконання симетричного шифрування, який відрізняється комбінованим використанням статичного поліморфізму у вигляді множини дублюючих програмних модулів з різним порядком виконання команд і стохастичного динамічного вибору модулів на основі механізмів переривань, що забезпечує значну варіацію моментів виконання команд при порівняно невеликій втраті швидкодії. Метод конкретизовано для алгоритму шифрування Rijndael.

- Вдосконалено спосіб протидії реконструкції коду експоненти технологією часового аналізу динаміки споживання потужності при виконанні базової операції криптографічних алгоритмів з відкритим ключем - модулярного експоненціювання. Спосіб полягає з зміщенні часу виконання операцій множення зі збереженням в пам'яті необхідних даних без використання команд умовних переходів, що виключає можливість співставлення моментів виконання операцій множення з одиничними бітами двійкового коду експоненти.

- Вперше запропоновано метод поліморфної реалізації модулярного експоненціювання, який полягає в еквівалентному перетворенні цієї операції в декілька з їх обчисленням з використанням стохастичного переривання, що забезпечує значне підвищення варіації часу виконання операцій множення і, тим самим, унеможливлює реконструкцію коду експоненти шляхом аналізу моментів виконання операцій множення.

Практичне значення одержаних результатів роботи визначається тим, що їх використання дозволяє підвищити ефективність захисту секретних ключів протоколів інформаційної безпеки, що реалізуються на термінальних мікропроцесорних пристроях в широкому класі систем комп'ютерного управління. Найбільш вагомими з практичної точки зору є те, що запропоновані методи захисту даних від аналізу динаміки споживання потужності конкретизовані для найбільш поширених в України криптографічних алгоритмів з реалізацію у вигляді програм.

Особистий внесок здобувача полягає в теоретичному обґрунтуванні одержаних результатів, їх експериментальній перевірці та дослідженні, а також у створенні програмних продуктів для практичного використання одержаних результатів. У роботах, що написані в співавторстві, автору належать: [2] - спосіб виконання алгоритмів симетричного шифрування з комбінуванням статичного та динамічного поліморфізму, [3] - спосіб поліморфної реалізації операції модулярного експоненціювання з часовим зміщенням операцій множення, [4] - спосіб використання булевих функціональних перетворень для захисту систем ідентифікації абонентів від часового аналізу динаміки споживання потужності, [5] - спосіб заміни при формуванні цифрового підпису операції модулярного експоненціювання на булеві перетворення, [6] - спосіб поліморфної реалізації операції модулярного експоненціювання на основі еквівалентних перетворень експоненти, [7] - спосіб та програмні засоби генерації стохастичного вибору для поліморфної реалізації криптографічних алгоритмів в мікроконтролерах, [8] - засоби захисту ключів ідентифікації касових апаратів від несанкціонованого доступу через аналіз динаміки споживання потужності, [9] - спосіб поліморфної реалізації операції модулярного експоненціювання та програмні засоби його реалізації.

Апробація результатів дисертації. Основні результати дисертації доповідались та обговорювались на:

1. Х Міжнародній науково-технічній конференції ”Системний аналіз та інформаційні технології”, 20-24 травня 2008 р., м. Київ.

2. ХІ Міжнародній науково-технічній конференції ”Системний аналіз та інформаційні технології”, 26-30 травня 2009 р., м. Київ.

3. ХІІ Міжнародній науково-технічній конференції ”Системний аналіз та інформаційні технології”, 25-29 травня 2010 р., м. Київ.

4 VII Міжнародній науково-практичної конференції “Проблеми впровадження інформаційних технологій в економіці”. 23-24 квітня 2009 р., м. Ірпінь.

5 ХХІ-й Міжнародній конференції CODATA. 5-8 жовтня 2008 р. м.Київ.

Публікації. Основні результати роботи викладені в 9 публікаціях, з них 4 статті в провідних фахових виданнях, перелік яких затверджений ВАК України.

Структура та об'єм роботи. Дисертаційна робота складається з вступу, чотирьох розділів, висновків та додатків. Загальний обсяг роботи складає 144 сторінки, робота містить 12 малюнків, 6 таблиць та список використаної літератури на 100 найменувань, 2 додатки.

ОСНОВНИЙ ЗМІСТ

У вступі обґрунтована актуальність проблеми захисту ключів криптографічних алгоритмів, що реалізуються в протоколах інформаційної безпеки на термінальних компонентах комп'ютерних систем - портативних мікроконтролерах і смарт-картах від незаконної реконструкції вимірюванням та аналізом динаміки споживання потужності. Формулюються мета та задачі дослідження, визначені наукова новизна та практичне значення одержаних результатів.

У першому розділі дисертації виконано огляд існуючих технологій реконструкції даних за результатами аналізу споживання потужності в процесі їх обробки на портативних обчислювальних пристроях - мікроконтролерах та смарт-картах.

Значну частину термінальних компонентів комп'ютерних систем і мереж складають портативні обчислювальні пристрої - мікроконтролери та смарт-карти, особливістю яких є те, що в кожний момент часу в них виконується лише один процес, тобто об'єктивно існує зв'язок між даними, що оброблюються і потужністю, яку споживає обчислювальний пристрій.

Сила струму, що споживається портативним обчислювальним пристроєм в момент виконання команди, залежить от типу команди і від кодів операндів та результату. Для портативних обчислювальних пристроїв відносно просто виконати вимірювання динаміки споживання потужності під час виконання програми і поставити у відповідність командам, що виконуються.

На сьогоднішній день існує дві технології такої реконструкції: простий аналіз споживання потужності (SPA -Simple Power Analysis) та диференційний аналіз споживання потужності (DPA - Differentional Power Analysis).

Сутність першої полягає у відновленні за осцилограмою споживання потужності послідовності команд, що виконуються програмою. На рис.1 наведено реальну осцилограму споживання потужності мікроконтролером при виконанні 2-го та 3-го циклів алгоритму DES. Стрілками позначені значення потужності, що співвідносяться з командами зсуву лівої та правої частин ключа. Чітко видно, що на 2-му циклі зсув виконується один раз, а 3-му - два рази.

Ефективність SPA в плані реконструкції даних визначається залежністю порядку виконання програми від цих даних. Наприклад, в основі алгоритмів несиметричного шифрування, цифрового підпису та ідентифікації віддалених абонентів лежить операція модулярного експоненціювання: A^E mod M n-розрядних чисел. Процедура обчислення полягає в виконанні n циклів, в кожному з яких реалізується операція піднесення до квадрату і, залежно від поточного біту експоненти - Е множення на А. Зафіксувавши номери циклів, на яких виконується операція множення достатньо просто реконструювати двійковий код Е, яка в згаданих вище алгоритмах являє собою секретний код.

Рис.1 Приклад реальної осцилограми споживання потужності мікроконтролером при виконанні 2-го та 3-го циклів алгоритму DES

Технологія DPA полягає у встановлені статичних залежностей між розрядами даних та потужністю, що споживається обчислювальним пристроєм під час виконання кожної з команд. Тобто ця технологія попереднього статистичного дослідження впливу розрядів даних на споживання потужності в кожний момент часу за умови, що програма не змінюється. Сам процес реконструкції даних за допомогою виявлених залежностей також являє собою статистичний аналіз. Відповідно, такий процес може бути ефективним лише за умови незмінності даних. Існує ряд модифікацій і різновидів технології DPA.

Активне використання технологій SPA і DPA ініціює розробку апаратних та програмних засобів протидії. Застосування апаратних засобів ускладнює структуру портативних обчислювальних компонент та помітно збільшує їх вартість. Тому на практиці більшого розповсюдження набули програмні засоби протидії SPA та DPA. Основними критеріями ефективності таких засобів є рівень захисту, що забезпечується їх застосуванням та об'єм додаткових обчислювальних ресурсів, потрібних для їх реалізації.

Для протидії DPA - технології, що має за основу статистичний аналіз, найбільш ефективними є методи, що базуються на введенні випадковості.

До цієї групи методів протидії відносяться:

- маскування значень даних, що використовуються при кожному виконанні програми (ключів криптографічних алгоритмів) випадковими кодами, які змінюються при кожному запуску програми. Маскування - найбільш простий метод протидії DPA, що потребує найменших додаткових ресурсів для своєї реалізації, хоча існує проблема “зняття маски” для одержання коректного результату. В останні роки з'явилась технологія незаконного доступу до даних - диференційний аналіз споживання потужності (DPA) другого порядку, при використанні якої маскування ключів випадковим кодом не забезпечує їх ефективного захисту від реконструкції.

- стохастичний програмний поліморфізм, що застосовується в двох формах: випадкова вставка команд, що не впливають на результат, але ускладнюють прив'язку моменту виміру потужності до конкретної команди програми; випадкова зміна послідовності виконання незалежних по даним команд.

Найбільш ефективним засобом протидії SPA і DPA є друга форма програмного поліморфізму, тобто випадкова зміна при кожному виконанні програми послідовності виконання команд, яка не впливає на результат. Такий поліморфізм дозволяє ефективно протидіяти DPA високих порядків.

Основним недоліком стохастичного поліморфізму, як засобу протидії SPA і DPA, є значний об'єм обчислювальних ресурсів на його реалізацію. Значною мірою цей недолік зумовлений тим, що в опублікованих дослідженнях задача поліморфної реалізації розв'язується в загальному вигляді, без урахування особливостей конкретного алгоритму. При такій постановці поліморфна реалізація постає доволі складною задачею, розв'язання якої пов'язано з аналізом графу залежності операцій по даним. В ряді публікацій такий аналіз пропонується виконувати динамічно. При такому підході застосування поліморфізму, як засобу протидії незаконній реконструкції ключів криптографічних алгоритмів аналізом споживання потужності, обмежене значним об'ємом потрібних для цього обчислювальних ресурсів, суттєво більшим в порівнянні з іншими методами.

Разом з тим, слід враховувати, що кількість криптографічних алгоритмів, що використовуються в протоколах інформаційного обміну з термінальними компонентами комп'ютерних систем і мереж відносно невелика. Тому обґрунтованою представляється розробка методу ефективної поліморфної реалізації для кожного алгоритму в рамках загальних принципів. Такий підхід дозволяє повною мірою враховувати структуру алгоритму, особливості його обчислювальних процедур, надає можливість проводити цілеспрямовані еквівалентні його перетворення і отримати в результаті ефективну реалізацію програмного поліморфізму, сумірну за витратами обчислювальних ресурсів з іншими методами.

Другий розділ роботи присвячено дослідженню обчислювальних процедур алгоритмів симетричного шифрування даних, а також розробці методів їх поліморфної реалізації на термінальних компонентах комп'ютерних систем мікроконтролерах і смарт-картах.

Характерна особливість обчислювальних процедур алгоритмів симетричного шифрування полягає в тому, що послідовність операцій не залежить від коду ключа. Це означає, що найбільшу потенційну загрозу з точки зору можливості реконструкції коду ключа становлять технології диференційного аналізу споживання потужності.

Виходячи з того, що диференційний аналіз базується на встановленні кореляційних залежностей між потужністю, споживаною обчислювальним пристроєм в кожний момент виконання програми та розрядами ключа, найбільш дієвим способом протидії такому аналізу є стохастична зміна порядку слідування команд при кожному виконанні програми, тобто поліморфна реалізація алгоритмів симетричного шифрування.

Ефективність поліморфної реалізації програми з точки зору протидії диференційному аналізу споживання потужності пропонується оцінювати через показники варіації моменту виконання команд програми. Для i-тої команди програми (i{1,..,N}, де N- загальна кількість команд в програмі) варіацією моменту виконання є інтервал v_i часу між пізнім t_li та раннім t_ei моментами її виконання: v_i = t_li-t_ei. Для програми в цілому показниками варіації часу виконання її команд при поліморфній реалізації є: середня варіація T_a моментів виконання команд, а також значення мінімальної варіації T_m:

(1)

.

Застосування симетричних алгоритмів передбачає незалежне шифрування кожного з блоків, на які розділяється повідомлення. Це дозволяє організувати квазіпаралельну обробку декількох блоків і, тим самим, створює передумови для реалізації поліморфізму на рівні обробки блоків даних.

Таким чином, верхній рівень поліморфної реалізації алгоритмів симетричного шифрування полягає в стохастичному переключенні з обробки одного блоку даних на обробку іншого. Реалізація цього рівня поліморфізму пов'язана з затратами ресурсів пам'яті для зберігання проміжних даних кожного з блоків, обробка яких зазнала переривання. Об'єм такої пам'яті залежить від кількості блоків, щоб оброблюються одночасно. Втрати в продуктивності шифрування залежать від частоти переключення з обробки одного блоку на інший. Застосування цього виду поліморфізму забезпечує можливість варіації часу виконання команд обробки в широких межах, тому поліморфізм на рівні одночасного виконання декількох блоків є особливо ефективним для протидії інтегральним різновидам диференційного аналізу споживання потужності. На рис.2 наведено приклад шифрування з використанням поліморфізму на рівні обробки блоків повідомлення.

Нижній рівень поліморфної реалізації алгоритмів симетричного шифрування даних полягає в тому, що змінюється порядок виконання команд обробки одного блоку.

Алгоритм Rijndael прийнято в більшості країн світу в якості універсального алгоритму симетричного шифрування даних комерційного призначення для заміни застарілого алгоритму DES. Особливістю алгоритму Rijndael є те, що в ньому не використовується розділення блоку на ліву та праву частину, а вся матриця даних блоку оброблюється одночасно. Алгоритм орієнтовано на обробку блоків довжиною 128, 192 або 256 бітів. Нижче детально досліджується поліморфна реалізація алгоритму для обробки блоку 128 бітів, організованого в матрицю 4 х 4 байтів, кількість циклів дорівнює 11. В кожному циклі використовується 4 базових операції: заміщення байту на його мультиплікативну інверсію поля Галуа (BS-Byte Substituted), додавання за модулем 2 до матриці даних матриці розширення ключа ((XK-XOR with Key), циклічний зсув рядків матриці (LR-Lines Rotation), лінійне перетворення байтів стовпця (RM-Rows Mix). Перші дві операції виконуються незалежно для кожного байту матриці.



Рис.2. Приклад шифрування з поліморфізмом на рівні обробки блоків

Операція зсуву рядків може бути виключена за умовою, що лінійне перетворення над стовпцями заміняється лінійним перетворенням діагоналей (DM-Diagonal Mix) зі збереженням результату в стовпцях нової матриці. З урахуванням цього, обчислювальна процедура Rijndael складається з 10 ідентичних циклів та заключного перетворення, як показано на рис. 3.

Размещено на http://www.allbest.ru

Рис.3. Структура модифікованої процедури алгоритму Rijndael

Якщо позначити матрицю даних як Х=x_il,i=0..3, l=0..4, то операція лінійного перетворення байтів j-тої діагоналі D_j ={x_0j, x_1,(j+1)mod4, x_2,(j+2)mod4, x_3,(j+3)mod4} в j-тий стовпчик Y_j = {y_0,j,y_1,j,y_2,j,y_3,j} виконується згідно з виразом:

, (2)

причому операції множення 8-розрядних кодів виконуються за правилами множення на полях Галуа с утворюючим поліномом х⁸+х⁴+х²+х+1.

Таким чином, кожний з циклів складається з 4-х незалежних блоків обробки діагоналей. Блок включає операції, що виконуються над 4-ма байтами діагоналі матриці. Структура операцій блоку обробки діагоналі показана на рис. 4. Через М2 та М3 позначені операції множення байту на 2 та 3 відповідно.



Рис.4. Структура операцій обробки діагоналі

Фінальні операції XOR реалізують лінійне перетворення, яке, згідно з (2), потребує додавання за модулем 2 результату байтового заміщення одного іншого байту діагоналі, результату множення на 2 ще одного байту діагоналі і результату множення на 3 останнього байту діагоналі. Позначки у вигляді стрілок на рис. 4 вказують на те, що для виконання операції потрібні вказані вище результати обробки інших байтів діагоналі.

Обробка діагоналей в рамках одного циклу алгоритму Rijndael виконується незалежно. При переході до наступного циклу виникає необхідність в обміні результатів. Структура залежностей по даним двох послідовних циклів показана на рис.5.



Рис.5. Структура залежностей по даним двох послідовних циклів Rijndael

Як видно з рис.5, по готовності результатів однієї діагоналі блоку j-го циклу алгоритму може бути розпочата обробка одного байта кожної із діагоналей наступного, (j+1)-го, циклу.

Це відкриває можливість суміщення обробки блоків j-го та (j+1)-го циклів. Діагоналі (j+1)-го циклу не можуть бути повністю оброблені до закінчення обробки всіх діагоналей попереднього циклу. З цього випливає, що існує можливість суміщення обробки не більше 2-х циклів алгоритму.

Для реалізації стохастичного поліморфізму при виконанні j-го та (j+1)-го циклів пропонується компонувати програму із спеціально підготовлених програмних секцій. Доведено, що найбільш ефективним варіантом є використання секцій, які здатні оброблювати два байти діагоналі. Очевидно, що після закінчення обробки двох байтів діагоналі j-го циклу може бути розпочата обробка двох байтів наступного, (j+1)-го циклу. Тому для реалізації такої ідеї потрібні два різновиди програмних секцій - стартові та фінішні.

Стартові секції здатні виконувати 5 перших операцій обробки двох байтів (10 операцій). Фінішні секції реалізують всі інші 18 операцій. Загалом існує 6 варіантів (по числу варіантів вибору пари байтів із 4-х) стартових секцій та 6 варіантів фінішних секцій. За рахунок перестановки незалежних по даним команд, для кожної з 6-ти стартових секцій може бути утворено 140 варіантів, а для кожної із 6-ти фінішних - 4352 варіантів.

Схематично, приклад одного варіанту стартової та фінішної секції показано на рис.6.

Размещено на http://www.allbest.ru

Рис.6. Приклад одного різновиду стартової і фінішної програмних секцій

Сутність розробленого методу поліморфної реалізації алгоритму Rijndael полягає в тому, що наперед складаються заготовки 6-ти стартових і 6-ти фінішних програмних секцій обробки діагоналей матриці даних, причому кожна з секцій, залежно від наявності ресурсу пам'яті може складатися в k різновидах, які утворюються перестановкою команд обробки байтів.

Програма обробки формує список секцій, що можуть виконуватися. Випадковим чином вибирається одна з секцій і починає виконуватися. Після завершення виконання секції корегується список готових до виконання програмних секцій. Випадковим чином вибирається одна з готових до виконання секцій і запускається.

Таким чином, метод являє собою комбінацію статичного поліморфізму у вигляді завчасно заготовлених програмних секцій з різним порядком виконання команд та динамічного поліморфізму, що реалізується випадковим вибором однієї з готових до виконання програмних секцій.

Аналіз ефективності запропонованого методу поліморфної реалізації алгоритму Rijndael виконано з використанням теоретичної моделі та за результатами експериментальних досліджень. В якості першої було використано граф двох суміжних циклів алгоритму за умови, що кожна із 6-ти стартових та фінішних секцій може бути реалізована k різновидами. Загальна кількість команд для реалізації одного циклу становить 130.

Дослідження показали, що при k=1 кількість варіантів вибору секцій при виконання пари циклів становить 2.610⁶. Кількість операцій вибору секції при виконанні одного циклу дорівнює 10, при тому, що середня кількість альтернатив вибору секцій в циклі становить 31. Ці результати свідчать про те. що вже при k=1 число варіантів практично виключає можливість підбору коду програми при аналізі споживання потужності обчислювальним пристроєм.

Експериментальні дослідження виконувалися з використанням програми поліморфної реалізації, написаної на Асемблері для емулятора однокристального мікроконтролера. Аналіз результатів експериментів показав, що максимальне значення варіації локалізації окремої команди в коді програми дорівнює 142. Це становить 85% часу виконання циклу. Експерименти показали, що застосування розробленого методу поліморфної реалізації алгоритму Rijndael збільшує час його виконання на 76%.

В третьому розділі досліджується проблема захисту експоненти від реконструкції простим аналізом споживання потужності під час виконання програми модулярного експоненціювання та розробляються способи протидії вказаному виду несанкціонованого доступу до даних.

Традиційно, модулярне експоненціювання A=X^E mod M n-розрядних чисел A, X, M, E={e_n e_n-1… e₁} виконується за n циклів, в кожному i-тому (i{0,1}) з яких оброблюється (починаючи з молодших) i-тий розряд e_i експоненти E: обчислюються значення двох проміжних змінних S_i та A_i, причому S_i= S_i-1S_i-1 mod M і, при e_i=1, виконується множення A_i=A_i-1S_i-1 modM. SPA дозволяє визначити факт виконання операції A_i=A_i-1S_i-1 mod M і таким чином визначити значення e_i. Так можна визначити всі n розрядів коду Е. Одним з шляхів протидії реконструкції Е шляхом аналузу споживання потужності є виконання множення A_i=A_i-1S_i-1 mod M не в своєму, i-тому, циклі. Операція A_i=A_i-1S_i-1 mod M може бути виконана в j-тому циклі (j>i) за умови, що в пам'яті будуть збережені значення S_l : l{i-1,…,j-1}: e_l+1=1.

Для реалізації вказаної ідеї розроблено спосіб рандомізації виконання операції модулярного експоненціювання, сутність якого полягає в випадковому виборі циклу виконання групи операцій множення. Для цього в пам'яті організуються дві циклічні черги: в першій L₁ розміщуються операнди S для операцій множення, що виконуються з затримкою. В другій L₂ розміщується декілька значень S, що не використовуються для множення.

В кожному i-тому циклі модулярного експоненціювання виконується операція піднесення до квадрату S_i= S_i-1S_i-1 mod M і залежно від значення біту e_i результат зберігається в черзі L₁ (при e_i =1) або L₂. При виконанні запису S_i відповідний фрагмент програми має бути написаний таким чином, щоб не використовувати умовного переходу за значенням e_i. Для цього керуючі елементи циклічної черги L₁ та L₂ (вказівники початку та кінця) повинні мати адреси, що відрізняються лише молодшими розрядами. На i-тому циклі генерується випадкове число r (0 r 1), і ,залежно від поточного значення кількості k_i чисел в циклічній черзі L₁, обчислюється кількість q_i відкладених операцій множення, що виконуються в поточному i-тому циклі: якщо k_i = 0, то q_i = 0, інакше . Значення коефіцієнту <1 залежить від максимальної довжини k_max циклічної черги L₁. Значення k_max, в свою чергу, визначається наявними резервами пам'яті мікроконтролера. Після завершення всіх n циклів виконуються відкладені операції множення, операнди яких містяться в черзі L₁.

Проведене статистичне моделювання запропонованої схеми протидії SPA шляхом рандомізації виконання модулярного експоненціювання показало суттєве зменшення (на 1- 1.5 порядки) кореляції між моментами виконання операцій множення A_i=A_i-1S_i-1 mod M та значеннями розрядів експоненти Е. Ефективність розробленого підходу суттєвим чином залежить від технології програмування мікроконтролеру та наявних ресурсів пам'яті.

Четвертий розділ роботи присвячено розробці способів та засобів генерації випадкових чисел та послідовностей, що використовуються при стохастичному програмному поліморфізмі. Формування випадкових послідовностей (ФВП) заданої множини елементів ={X₁,X₂,…,X_n} значною мірою визначає ефективність поліморфної реалізації криптографічних алгоритмів на портативних обчислювальних пристроях.

Задача ФВП може бути зведена до вибору послідовності їх номерів слідування. В цьому ракурсі елементами є натуральні числа від 1 до n.

Для підвищення ефективності ФВП пропонується спосіб, що має за основу використання моделі зсувного регістру з нелінійною функцією зворотного зв'язку ( Nonlinear Feedback Shift Register - NFSR).

Розрядність m NFSR: m=log₂n. Якщо позначити через х₁,x₂,…,x_m розряди NFSR від старших до молодших, то його робота формально може бути описана у вигляді: i{2,…,m}: x_i=x_i-1, x₁=f(x₁,..,x_m). Показано, що для всіх значень n існує w нелінійних булевих функцій зворотного зв'язку f(x₁,..,x_m) таких, що при будь-якому стартовому коді X_j на NFSR формується послідовність кодів множини . Загальна кількість N різних послідовностей дорівнює nw. Наприклад, при n=6: m=3 і w=2, причому f₁=x₁x₂x₂x₃, f₂=x₁x₃x₂x₃. При використанні f₁ і стартовому коді 5 формується послідовність S={5,3,6,4,1,2}. N=62=12.

Для збільшення числа w функцій зворотного зв'язку можна використовувати пару функцій f(x₁,..,x_m) та (x₁,..,x_m), так, що робота NFSR формально описується як: q{3,…,m}: x_q=x_q-1, x₁=f(x₁,..,x_m), x₂=(x₁,..,x_m). Наприклад, для n=8: m=3 і w=72. Прикладом пари функцій є: =1х₁, f=x₁x₃x₁x₂. При стартовому коді 5 ці функції забезпечують формування послідовності S={5,1,0,2,5,4,3,7}. Загальна кількість можливих послідовностей N=576. Згідно з запропонованим способом генеруються всього два випадкових числа: перше h{1,..,w} для вибору функції зворотного зв'язку і друге j{1,..,n} - для вибору стартового коду.

В рамках розділу описуються розроблені автором програмні реалізації запропонованих методів стохастичного виконання алгоритмів криптографічного захисту. Приводяться результати їх експериментальних досліджень.

ВИСНОВКИ

В дисертаційній роботі виконано теоретичне обґрунтування і одержано нове вирішення наукової задачі захисту закритої для доступу інформації - ключів криптографічних алгоритмів, від їх несанкціонованої реконструкції в процесі обробки на термінальних компонентах комп'ютерних систем - мікроконтролерах та смарт-картах шляхом аналізу динаміки споживання цими пристроями потужності за рахунок розробки методів поліморфної реалізації вказаних алгоритмів.

Основні наукові і практичні результати полягають у наступному:

1. Проведено аналіз існуючих технологій реконструкції даних, в процесі їх обробки на мікроконтролерах і смарт-картах шляхом вимірювання та аналізу динаміки споживання ними потужності. Обґрунтовано вибір критеріїв ефективності для методів протидії незаконному доступу до інформації з використанням вказаних технологій. Виконано огляд і аналіз з позицій вибраних критеріїв існуючих способів протидії несанкціонованому доступу до ключових елементів криптографічних алгоритмів і протоколів захисту інформації через аналіз параметрів роботи обчислювальних пристроїв.

2. Вперше запропоновано метод реалізації алгоритмів симетричного шифрування на основі дворівневого поліморфізму: на рівні зміни послідовності обробки блоків даних, а також на рівні зміни послідовності виконання операцій при обробці одного блоку даних, що дозволяє значно збільшити значення варіації моментів виконання команд програмної реалізації і, цим самим, підвищити ефективність програмного поліморфізму у якості протидії диференційному аналізу динаміки споживання потужності.

3. Запропоновано спосіб поліморфної реалізації алгоритму шифрування ГОСТ 28.147-89 на основі дворівневого поліморфізму, який відрізняється динамічним переключенням процесів обробки блоків повідомлення, а також динамічною зміною порядку виконання незалежних операцій при обробці кожного окремого блоку, що забезпечує значне число варіантів виконання програми та високе значення варіації в часі моменту виконання кожної операції, чим практично унеможливлює результативне реконструювання ключів згаданого алгоритму статистичним аналізом споживання потужності.

4. Вперше запропоновано метод поліморфного виконання симетричного шифрування, який відрізняється комбінованим використанням статичного поліморфізму у вигляді множини дублюючих програмних модулів з різним порядком виконання команд і стохастичного динамічного вибору модулів на основі механізмів переривань, що забезпечує значну варіацію моментів виконання команд при порівняно невеликій втраті швидкодії. Метод конкретизовано для алгоритму шифрування Rijndael.

5. Вперше теоретично визначені границі варіації в часі виконання базових операцій алгоритму шифрування Rijndael при поліморфній реалізації. На основі теоретичних результатів та комбінованого використання статичного та динамічного поліморфізму розроблено спосіб та програмні засоби поліморфної реалізації алгоритму шифрування Rijndael, який забезпечує часову варіацію моменту виконання базових операцій - 85% від тривалості виконання циклу алгоритму при збільшенні часу на його реалізацію на 76%.

6. Вдосконалено спосіб протидії реконструкції коду експоненти часовим аналізом динаміки споживання потужності при виконанні базової операції криптографічних алгоритмів з відкритим ключем - модулярного експоненціювання. Спосіб полягає в зміщенні часу виконання операцій множення зі збереженням в пам'яті необхідних даних без використання команд умовних переходів, що виключає можливість співставлення моментів виконання операцій множення з одиничними бітами двійкового коду експоненти.

7. Вперше запропоновано метод поліморфної реалізації модулярного експоненціювання, який полягає в еквівалентному перетворенні цієї операції на декілька незалежних операцій модулярного експоненціювання з подальшим їх обчисленням в режимі стохастичних за часом переривань, що забезпечує значне підвищення варіації часу виконання операцій множення і, тим самим, утруднює реконструкцію коду експоненти шляхом аналізу моментів виконання операцій множення.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ:

1. Зюзя А.А. Способ противодействия реконструкции ключей блоковых алгоритмов защиты информации анализом динамики потребляемой мощности / А.А.Зюзя // Вісник Національного технічного університету України ”KПI”. Інформатика, управління та обчислювальна техніка. К.,"ВЕК++",- 2009.- № 50.- С.89-96.

2. Зюзя А.А. Стохастически полиморфная реализация алгоритма Rijndael на микроконтроллерах и смарт-картах / К.Г. Самофалов, А.П. Марковский, А.А. Зюзя, А.С.Лёзин // Проблеми інформатизації та управління. Збірник наукових праць. К.:НАУ.- 2010.- Вип. 1(29).- С.150-158. - Дисертантом запропоновано спосіб виконання алгоритмів симетричного шифрування з комбінуванням статичного та динамічного поліморфізму.

3. Зюзя А.А. К проблеме защиты операндов модулярного экспоненцирования от их реконструкции анализом динамики потребления мощности / А.П. Марковский, Мухаммад Мефлех Алиса Абабне, А.А. Зюзя, В.М. Гаразд // Вісник Національного технічного університету України ”KПI”. Інформатика, управління та обчислювальна техніка. К.,"ВЕК++",- 2007.- № 47.- С.22-32.- Дисертантом запропоновано спосіб поліморфної реалізації операції модулярного експоненціювання з часовим зміщенням операцій множення.

4. Зюзя А.А. Получение булевых преобразований специальных классов для построения эффективных алгоритмов защиты информации / А.П. Марковский, А.А. Зюзя, В.Д. Шерстюк // Вісник Національного технічного університету України ”KПI”. Інформатика, управління та обчислювальна техніка. К.,"ВЕК++",- 2008.- № 49.- С.7-13. - Дисертантом досліджено можливості використання булевих функціональних перетворень для захисту систем ідентифікації абонентів від часового аналізу динаміки споживання потужності.

5. Зюзя О.А. Формування цифрового підпису на основі булевих функціональних перетворень / О.П. Марковський, О.А.Зюзя // Матеріали ХІ-ї Міжнародної науково-технічної конференції “Системний аналіз та інформаційні технології” - Київ, НТУУ “КПІ”, ІПСА.- 2009. - С. 511. Дисертантом досліджено можливості заміни при формуванні цифрового підпису операції модулярного експоненцювання на булеві перетворення

6. Зюзя О.А. Спосіб рандомізації виконання операцій модулярного експоненціювання / О.А. Зюзя, О.І. Носовська., А.О. Арістов // Матеріали Х Міжнародної науково-технічної конференції ”Системний аналіз та інформаційні технології”. - К.: НТУУ ”КПІ”. ІПСА. - 2008. - С. 355. - Дисертантом запропоновано спосіб поліморфної реалізації операції модулярного експоненціювання на основі еквівалентних перетворень експоненти.

7. Зюзя А.А. Эффективная реализация псевдослучайного выбора элементов множества / А.П. Марковский, А.А.Зюзя // Матеріали ХII Міжнародної науково-технічної конференції ”Системний аналіз та інформаційні технології”. - К.: НТУУ ”КПІ”. ІПСА.- 2010.- С.458. - Дисертантом запропоновано спосіб та програмні засоби генерації стохастичного вибору для поліморфної реалізації криптографічних алгоритмів в мікроконтролерах.

8. Зюзя А.А. Эффективная идентификация абонентов в системах сбора налоговой информации с использованием булевых функций / А.П.Марковский, А.А.Зюзя, О.И. Федоречко // Матеріали VII Міжнародної конференції “Проблеми впровадження інформаційних технологій в економіці”. 23-24 квітня 2009 р. - Ч.2.- Ірпінь: Національний університет ДПС України. - 2009.- С.269-271. - Дисертантом запропоновано засоби захисту касових апаратів від несанкціонованого доступу через аналіз динаміки споживання потужності ключів ідентифікації в податковій службі.

9. Zuza O.A. High-efficiency Implementation of Modular Exponentiation of Large Word Length Numbers in Data Protection Systems/ K.G. Samofalov, O.P.Markovskyi, O.A.Zuza // Abstracts of 21-st International CODATA Conference. October 5-8, 2008. Kyiv, Ukraine.-К.-2008. - P.60. - Дисертантом запропоновано спосіб поліморфної реалізації операції модулярного експоненціювання та програмні засоби його реалізації.

АНОТАЦІЇ

Зюзя Олександр Андрійович. Методи захисту інформації від її реконструкції аналізом споживання потужності в термінальних компонентах комп'ютерних систем. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.05 - Комп'ютерні системи та компоненти. - Національний технічний університет України “Київський політехнічний інститут”, Київ, 2011.

Дисертація присвячена проблемі захисту ключів криптографічних алгоритмів при їх реалізації на мікроконтролерах і смарт-картах від можливої реконструкції аналізом споживання потужності.

Виконано аналіз структур та базових операцій криптографічних алгоритмів з позицій можливості поліморфної реалізації. Показано, що для симетричних алгоритмів, таких як DES, Rijndael та ГОСТ 28.147-89 існує два рівня поліморфної реалізації - рівень обробки блоків повідомлення і рівень шифрування окремого блоку. Теоретично доведено, що поліморфна реалізація алгоритму Rijndael обмежена двома послідовними ітераціями алгоритму. Розроблено і досліджено методи поліморфної реалізації алгоритмів Rijndael та ГОСТ 28.147-89. Запропонований метод поліморфної реалізації алгоритму Rijndael забезпечує варіацію моментів виконання операції в межах 85% від часу обчислення однієї ітерації алгоритму.

Показано, що ступінь операції модулярного експоненціювання, яка є закритим ключем алгоритмів RSA, El-Gamal та DSA, може бути реконструйована при застосування часового аналізу споживання потужності. В якості протидії розроблено метод поліморфної реалізації модулярного експоненціювання. Запропонований метод не використовує умовних операторів і забезпечує поліморфне виконання модулярних множень за рахунок збереження в пам'яті операндів.

Застосування запропонованих методів дозволяє суттєво підвищити надійність захисту даних в термінальних пристроях комп'ютерних мереж.

Ключові слова: поліморфна реалізація, програмний поліморфізм, аналіз динаміки споживання потужності, смарт-карти, криптографічні алгоритми, протоколи захисту даних, термінальні обчислювальні пристрої.

Зюзя Александр Андреевич. Методы защиты информации от ее реконструкции анализом потребления мощности в терминальных компонентах компьютерных систем. - Рукопись.

Диссертация на соискание ученой степени кандидата технических наук по специальности 05.13.05 - Компьютерные системы и компоненты.- Национальный технический университет Украины “Киевский политехнический институт”, Киев, 2011.

Диссертация посвящена проблеме защиты ключей криптографических алгоритмов от реконструкции путем анализа динамики потребления мощности при реализации этих алгоритмов на терминальных компонентах компьютерных систем и сетей - микроконтроллерах и смарт-картах

Выполнен анализ существующих технологий реконструкции данных по результатам измерения и анализа динамики потребления мощности вычислительными устройствами во время обработки этих данных. На основе анализа обоснованы требования и основные критерии эффективности противодействия таким технологиям. Показано, что наибольшую опасность они представляют для ключей криптографических алгоритмов, которые реализуют протоколы защиты информации в портативных терминальных устройствах компьютерных систем и сетей. Выполнен обзор известных средств защиты от несанкционированного доступа к данным через анализ динамики потребления мощности вычислительными устройствами во время обработки этих данных.

...