Аналіз методів забезпечення конфіденційності даних, які передаються з БПЛА

Размещено на http://www.allbest.ru/

Аналіз методів забезпечення конфіденційності даних, які передаються з БПЛА

Abstract

ANALYSIS OF METHODS FOR DATA CONFIDENTIALITY ENSURING DURING TRANSMITTING FROM UAV

Bohdan M. Horbakha

Laboratory Assistant of NAU Cybersecurity R&D Lab National Aviation University, Kyiv, Ukraine

The rapid development of unmanned aerial vehicles (UAVs), as well as the expansion of the list of actions performed by modern UAVs, led to increased requirements for the safety and reliability of data transmission. In the context of warfare, when confidential information is collected, the protection of such information is a top priority. The practical level of conducting aerial reconnaissance during current warfare demonstrates the urgent need to create UAV which capable of performing flight tasks and aerial reconnaissance in the mode of installed radio interference, and also emphasizes the importance of ensuring the data confidentiality about target objects transmitted by an optical channel for the implementation of their processing in automated systems. The paper provides a review and comparative analysis of modern cryptoalgorithms that are used to ensure data confidentiality during their transmission by radio channel from UAV to ground objects. There are the system of criteria (multi criteria analysis) was used to compare following cryptographic algorithms (similar to AES, NESSIE, etc competitions): block and key sizes; modes of operation; encryption speed; memory requirements; resistance (security) to cryptanalysis. The conducted analysis showed that each cryptographic algorithm has advantages and disadvantages. Also, there is no universal cryptographic algorithm that capable to resolve all privacy problems in UAV. According to the limited resources in the process of UAV operation, it is necessary to create a universal set (dataset) of cryptographic algorithms that could solve various problems in different conditions including different aspects of UAV exploitation. It is these studies that will be devoted to the further work of the authors within the framework of the ongoing scientific project.

Keywords: UAV; data confidentiality; cryptography; cryptographic algorithm; encryption; data transmission; dataset.

ВСТУП

У [16] аналізується надійність безпеки двох популярних і практичних методів криптографії з відкритим ключем RSA і ECC. Безпека криптосистеми RSA базується на проблемі цілочисельної факторизації (IFP), а безпека ECC - на проблемі дискретного логарифмування еліптичної кривої (ECDLP). Головна перевага ECC порівняно з RSA полягає в тому, що найвідоміший алгоритм для розв'язання ECDLP займає повний експоненціальний час, тоді як для розв'язання IFP RSA потрібен субекспоненціальний час. Це означає, що в ECC можна використовувати значно менші параметри, ніж у RSA, з еквівалентними рівнями безпеки. Наприклад, для досягнення рівня безпеки 112 біт алгоритму RSA потрібен розмір ключа 2048 біт, тоді як ECC - 224-255 біт. конфіденційності криптоалгоритм безпілотний літальний

Симетричний блоковий криптоалгоритм AES

Advanced Encryption Standard - симетричний алгоритм блокового шифрування (розмір блока 128 біт, ключ 128 / 192 / 256 біт) [22]. Через фіксований розмір блоку AES оперує із масивом 4*4 байт, що називається станом (версії алгоритму із більшим розміром блоку мають додаткові колонки). Для ключа у 128 біт алгоритм має 10 раундів, у яких послідовно виконуються операції: SubBytes(), ShiftRows(), MixColumns() (у десятому раунді ця операція пропускається) та AddRoundKey(). Структура алгоритму AES показана на Рис. 1.

Рис. 1. Структура алгоритму AES

Відповідно до оцінок розробників, шифр стійкий проти таких видів крипто- аналітичних атак: диференціального криптоаналізу; лінійного криптоаналізу; крипто- аналізу на основі зв'язаних ключів (слабких ключів в алгоритмі немає). Єдиний працюючий спосіб злому шифру AES - це атаки за побічними каналами. Такі атаки не пов'язані з математичними особливостями AES, а використовують певні особливості реалізації систем, що використовують шифр, з метою розкрити частково або повністю секретних даних, у тому числі ключ.

Алгоритм має високу швидкість шифрування. Програмна реалізація на машині з частотою 2 ГГц дозволяє шифрувати дані зі швидкістю 700 Мбіт/с. Такої швидкості достатньо для шифрування відео в форматі MPEG-2 в реальному часі. Апаратні реалізації працюють ще швидше. Останнім часом з'явилася нова версія АЕС -NI (New Instructions), яка дозволяє оптимізувати роботу алгоритму (знизити завантаження процесора на 50%). Ця версія може використовуватися і спільно з SSL (протокол, який забезпечує встановлення безпечного з'єднання між клієнтом і сервером). Компанія Intel розробила мікросхему, що реалізує цей алгоритм (серія X5600).

Симетричний блоковий криптоалгоритм DES

Стандарт шифрування даних DES (Data Encryption Standard) - блоковий шифр із симетричними ключами, розроблений Національним Інститутом Стандартів та Технології США (NIST - National Institute of Standards and Technology) [23]. Для шифрування DES (Рис. 2) приймає 64-бітовий відкритий текст і перетворює його в 64- бітовий зашифрований текст і навпаки, отримавши 64 біти зашифрованого тексту - він видає 64 біти розшифрованого. У обох випадках для зашифрування та розшифрування застосовується той самий 56-бітовий ключ.

Рис. 2. Структура алгоритму DES

Процес шифрування складається з двох перестановок, які називають початковою і фінальною (кінцевою), та 16 раундів Фейстеля. Кожен раунд використовує різні згенеровані 48-бітові ключі. На вхід кожної з них надходить 64 біти, які потім переставляються відповідно до заданих таблиць (box). Ці перестановки є взаємно оберненими. Інакше кажучи, 58-й біт на вході початкової перестановки перетворюється на 1-шу позицію на виході з неї, а фінальна - 1-й вхідний біт переведе в 58 позицію на виході. Функція DES за допомогою 48-бітового ключа зашифровує 32 найправіших біт, щоб отримати на виході 32-бітовий результат. Ця функція містить 4 складові: операція XOR, P-box розширення, групу S-box і прямий box. DES створює 16 раундових ключів k по 48 бітів із ключа к шифру на 56 бітів. Однак, щоб задати ключ шифру треба серед 56 біт ключа додатково вписати 8 біт в позиції 8,16,...,64 для перевірки парності таким чином, щоб кожен байт містив непарне число одиниць. За допомогою цієї операції виявляють помилки під час обміну та зберігання ключів.

Найбільша проблема DES - розмір ключа (56 бітів). Щоб здійснити атаку грубої сили потрібно перевірити 256 ключів. Якщо перевіряти 106 ключів / сек. потрібно, приблизно 2 000 років, щоб виконати атаку грубої сили на DES на одному процесорі. Якщо зробити комп'ютер з мільйоном крипточипів, то така кількість ключів перевіриться за 20 годин. Зазначений криптоалгоритм був зламаний у 1998 році, атака була реалізована протягом 56 годин компанією Electronic Frontier Foundation, використовуючи спеціальний комп'ютер DES Cracker.

Симетричний блоковий криптоалгоритм 3DES

Triple DES (3DES) - симетричний блоковий шифр, створений на основі алгоритму DES з метою усунення головного недоліку останнього - малої довжини ключа (56 біт), який був зламаний методом повного перебору. Швидкість роботи 3DES в 3 рази нижче, ніж у DES, але криптостійкість набагато вища - час, необхідний для криптоаналізу 3DES, може бути в 109 разів більше, ніж час, необхідний для розкриття DES [24]. Структура роботи алгоритму показана на Рис. 3.

Процес шифрування виглядає таким чином: 1) Виконується шифрування блоку відкритого тексту за допомогою DES (одного) з ключем K1. 2) Проводиться розшифрування вхідних даних кроку 1 за допомогою DES з ключем K2. 3) Проводиться шифрування вхідних даних кроку 2 за допомогою DES з ключем K3. Результатом кроку 3 є зашифрований текст.

Рис. 3. Структура алгоритму 3DES

Розшифрування традиційно є зворотнім процесом - користувач спочатку розшифровує за допомогою K3, потім шифрує за допомогою K2 і, нарешті, розшифровує за допомогою K1. Завдяки такій конструкції Triple DES як процесу зашифрування- розшифрування-зашифрування можна використовувати реалізацію 3TDES (апаратне забезпечення) для одного DES, встановивши K1, K2 і K3 однаковими значеннями. Це забезпечує зворотну сумісність з DES. Другий варіант Triple DES (2TDES) ідентичний 3TDES за винятком того, що Кз замінено на Кі. Іншими словами, користувач шифрує блоки відкритого тексту за допомогою ключа Кі, потім розшифровує за допомогою ключа К2 і, нарешті, знову шифрує за допомогою Кі. Тому 2TDES має довжину ключа 112 біт.

Системи з потрійним DES є значно безпечнішими, ніж одинарний DES, але вони значно повільніші, ніж шифрування з використанням одного алгоритму DES.

Асиметричний криптоалгоритм RSA

RSA - це криптографічний алгоритм з відкритим ключем, що грунтується на обчислювальній складності задачі факторизації великих цілих чисел [25].

Перевагами алгоритму є те, що:

¦ відсутня проблема розподілу секретних ключів (як і в усіх асиметричних криптоалгоритмах);

¦ алгоритм дозволяє кільком (багатьом) користувачам обмінюватися інформацією незахищеними каналами зв'язку;

¦ користувач сам може змінювати як відкритий, так і закритий ключ на власний розсуд, потім він має поширити відкритий ключ у мережі (це дає можливість збільшити криптостійкість).

Недоліками цього алгоритму є:

¦ невисока швидкість роботи;

¦ значне навантаження на апаратну платформу.

Структура роботи алгоритму RSA показана на Рис. 4:

Рис. 4. Структура алгоритму RSA

Безпека алгоритму RSA ґрунтується на трудомісткості розкладання на множники (факторизації) великих чисел. Відкритий та закритий ключ є функціями двох великих простих чисел, розрядністю 100-200 десяткових цифр (або навіть більше). Передбачається, що відновлення відкритого тексту за шифртекстом і відкритим ключем рівносильне розкладанню числа на два великі прості множники.

Симетричний потоковий криптоалгоритм RC4

RC4 (від англ. Rivest Cipher 4 або Ron's Code) - потоковий шифр, що широко застосовується у різних системах захисту інформації в комп'ютерних мережах (наприклад, в протоколах SSL і TLS, алгоритмах безпеки бездротових мереж WEP та WPA) [26]. Алгоритм RC4 (Рис. 5), як і будь-який потоковий шифр, будується на основі генератора псевдовипадкових бітів. На вхід генератора записується ключ, а на виході читаються псевдовипадкові біти. Довжина ключа може становити від 40 до 2048 біт.

Рис. 5. Структура алгоритму RC4

Генеровані біти мають рівномірний розподіл. Основні переваги - висока швидкість роботи та змінний розмір ключа. Недоліки - вразливість, якщо: використовуються не випадкові чи пов'язані ключі, а також використання одного ключового потіку двічі.

Ядро алгоритму складається з генератора псевдовипадкових бітів (гами), який видає потік бітів ключа (ключовий потік, гаму, послідовність псевдовипадкових бітів). Алгоритм зашифрування складається з наступних кроків: спочатку функція генерує послідовність бітів (k,); послідовність бітів за допомогою операції «підсумовування за модулем два» (XOR) поєднується з відкритим текстом (m,) і в результаті виходить шифрограма (c,): c,= m, + k,. Алгоритм розшифрування: повторно створюється (регенерується) потік бітів ключа (ключовий потік) (k); потік бітів ключа складається із шифрограмою (c,) операцією XOR. Завдяки властивостям операції XOR, на виході отримуємо вихідний (незашифрований) текст m, = c, + k, = (m, + k) + k,.

RC4 - фактично клас алгоритмів, що визначаються розміром блоку (S-box). Параметр n є розміром слова алгоритму і визначає довжину S-box. Зазвичай n = 8, але з метою аналізу можна його зменшити (відповідно, для підвищення безпеки необхідно збільшити). У алгоритмі відсутні протиріччя збільшення розміру S-box.

Симетричний блоковий криптоалгоритм CAST 128

CAST-128 (або CAST5) - алгоритм блокового шифрування, що використовується кількома прикладними програмами, включаючи деякі версії PGP і GNU Privacy Guard. Він був схвалений в Управлінні безпеки зв'язку Канади для використання урядом. Він шифрує інформацію блоками по 64 біт, використовуючи кілька фіксованих розмірів ключа: 40-128 біт (з кроком 8 біт); підтримує 40-, 64-, 80- і 128-бітні ключі [27]. Цей алгоритм є мережею Фейстеля, в якій виконується 12 або 16 раундів перетворення в залежності від розміру ключа (Рис. 6):

¦ 12 раундів (при ключах розміром до 80 біт включно);

¦ 16 раундів (якщо розмір перевищує 80 біт).

Рис. 6. Структура алгоритму CAST-128

Процедура розширення ключа передбачає формування 32-х 32-розрядних підключів, 16 з яких встановлюються маскувальними підключами Kmt, а інші 16 підключами зсуву Krt (в яких використовуються тільки по 5 молодших біт). Перед виконанням розширення ключа виконується доповнення ключа, меншого за 128 біт, нулевими бітами до досягнення 128-бітного розміру. Процедура розширення ключа є досить складною на відміну від алгоритму CAST-256 - CAST-128 має 8 (а не 4) таблиць заміни, причому 4 з них використовуються тільки в процедурі розширення ключа. Це сильно збільшує ресурсоємність алгоритму в частині вимог до енергонезалежної пам'яті. Розшифровування виконується аналогічно процедурі зашифрування, але зі зворотним порядком використання раундових ключів.

На сьогодні не відомо яких-небудь методів зламування алгоритму CAST-128 більш швидких, ніж прямий перебір варіантів ключа. Також, було проведено успішну атаку диференціального криптоаналізу (однак ця атака була спрямована на модифіковану версію алгоритму).

Функція хешування SHA256

Алгоритм SHA-256 (Secure Hash Algorithm 256-bit) - це безпечний алгоритм хешування, розмір вихідних даних якого становить 256 біт. Вихідне повідомлення після доповнення розбивається на блоки, кожен блок - на 16 слів. Алгоритм пропускає кожен блок повідомлення через цикл із 64 або 80 ітерацій (Рис. 7).

Рис. 7. Схема однієї ітерації алгоритму SHA-256

На кожній ітерації 2 слова перетворюються, функцію перетворення задають інші слова. Результати обробки кожного блоку складаються, сума є значенням хеш-функції. Тим не менш, ініціалізація внутрішнього стану здійснюється результатом обробки попереднього блоку, а тому незалежно обробляти блоки та складати результати не можливо [28].

Симетричний блоковий криптоалгоритм Blowfish

Blowfish - криптографічний алгоритм, що реалізує блокове симетричне шифрування зі змінною довжиною ключа (Рис. 8). Виконаний на простих та швидких операціях: XOR, підстановка, додавання. Алгоритм складається з розширення ключа та шифрування даних. На етапі розширення ключа вихідний ключ (довжиною до 448 біт) перетворюється у 18 32-бітових підключів і в 4 32-бітних S-box, що містять 256 елементів. Загальний обсяг отриманих ключів 33 344 біт або 4 168 байт [23].

Етап 1 - підготовчий (формування ключів шифрування за секретним ключем).

Ініціалізація масивів P та S за допомогою секретного ключа K:

1. Ініціалізація P1--P18 фіксованим рядком, що складається з шістнадцяткових цифр.

2. Проводиться операція XOR над P1 з першими 32 бітами ключа K над P2 з другим 32-бітами і так далі. Якщо ключ K коротший, він накладається циклічно.

Шифрування ключів та таблиць замін:

1. Алгоритм шифрування 64-бітного блоку, використовуючи ініціалізовані ключі P1-P18 та таблицю замін S1-S4, шифрує 64 бітну нульову (0x0000000000000000) рядок. Результат записується в P1, P2.

2. P1, P2 шифруються зміненими значеннями ключів та таблиць замін. Результат записується в P3, P4.

3. Шифрування продовжується до зміни всіх ключів P1-P18 та таблиць замін S1-S4.

Етап 2 - шифрування тексту (отриманими ключами та F(x), з попереднім розбиттям на блоки по 64 біти). Якщо неможливо розбити початковий текст на блоки по 64 біта, використовуються різні режими шифрування для побудови повідомлення, що складається з цілого числа блоків. Сумарна пам'ять 4 168 байт.

Рис. 8. Структура алгоритму Blowfish

Розшифрування відбувається аналогічно, тільки P1-P18 застосовуються у зворотньому порядку.

Асиметричний криптоалгоритм ECC

Криптографія на основі еліптичних кривих часто обговорюється в контексті криптографічного алгоритму RSA, на відміну від якого ECC базується на тому, як еліптичні криві структуровані алгебраїчно над кінцевими полями. Таким чином, ECC створює ключі, які складніше зламати з математичної точки зору.

ECC підтримує високий рівень як продуктивності, так і безпеки. Це пов'язано з тим, що ECC використовується все ширше, оскільки веб-сайти прагнуть одночасно забезпечити кращу безпеку даних клієнтів в Інтернеті та оптимізацію для мобільних пристроїв [29]. Еліптична крива для цілей ECC - це плоска крива над кінцевим полем, яке складається з точок, що задовольняють рівняння (Рис. 9): y2=x3 + ax + b. У цьому прикладі будь-яка точка кривої може бути дзеркально відображена на осі х, і крива залишиться незмінною. Будь-яка невертикальна лінія перетинатиме криву в трьох місцях (або менше).

Рис. 9. Схема Elliptic Curve Cryptography

Рис. 10. Схема шифрування з використанням ECC

ECC містить менші зашифровані тексти, ключі та підписи, а також швидшу генерацію ключів і підписів. Його швидкість шифрування є помірно високою. ECC забезпечує нижчу затримку, ніж інверсна, завдяки обчисленню підписів у два етапи. ECC має надійні протоколи для автентифікованого обміну ключами (Рис. 10).

Є кілька потенційних уразливостей для криптографії на основі еліптичної кривої, включаючи атаки за побічними каналами і атаки зі зміною безпеки. Обидва типи мають на меті зробити недійсним захист ECC для приватних ключів.

Симетричний потоковий криптоалгоритм OTP

OTP - це алгоритм, який використовує структуру симетричного потокового шифру [8]. У передавачі відкритий текст перетворюється на біти та генерується випадковий бітовий ключ. Довжина ключа має бути принаймні такою ж, як і повідомлення. Для отримання зашифрованого тексту між відкритим текстом і ключем виконується операція XOR. Щоб отримати оригінальне повідомлення, одержувач виконує операцію XOR між

Рис. 11. Структура алгоритму ОТР

OTP вимагає, щоб ключ безпечно доставлявся користувачам і було досягнуто справжньої випадковості генерації ключів. Ключ не можна використовувати більше одного разу, а розмір ключа повинен бути невідомий зловмиснику. Якщо ці вимоги виконуються, OTP неможливо зламати. Однак, якщо обмін ключами скомпрометовано, техніка шифрування дає збій, оскільки легко скасувати одну операцію XOR. Крім того, успішне розшифрування ніколи не слід використовувати як форму автентичності, оскільки мережеві атаки (типу атаки «людина посередині» та атаки з відтворенням), можуть розкрити зловмиснику частини ключа. Якщо відомий розмір ключа, ключ можна зламати грубою силою; однак, залежно від розміру ключа, це, швидше за все, буде неможливо. Крім того, якщо ключ використовується кілька разів, зловмисники можуть виконати атаку потокового шифру, щоб розкрити вміст ключа. Через просту складність OTP він одночасно надійний і легкий.

Симетричний потоковий криптоалгоритм CHACHA20

Chacha20 - потоковий шифр, що складається з 256-бітного ключа (key), 32-бітного лічильника (counter), 96-бітного одноразового номеру (nonce) і звичайного тексту (Рис. 12). Його початковий стан - це матриця 4*4 із 32-розрядних слів. Перший рядок - це постійний рядок «expand 32-byte k», який ділиться на 4 32-бітові слова. Другий і третій - заповнюються 256-бітним ключем. Перше слово в останньому рядку є 32-бітним лічильником, а інші - 96-бітним nonce. Він генерує 512-бітний потік ключів у кожній ітерації для шифрування 512-бітного блоку звичайного тексту. Процес зашифрування та розшифрування однакові, якщо ввести той самий початковий key, counter і nonce [30].

Рис. 12. Структура алгоритму CHACHA20

Chacha20 складається з 2 частин: ініціалізація та шифрування. Початковий стан генерується вхідним 256-бітним ключем, 32-бітним лічильником і 96-бітним одноразовим номером. Під час шифрування генерується новий 512-бітний ключ, який використовується для виконання XOR із 512-бітним простим текстом, а потім виводить блок шифру під час кожної ітерації.

Симетричний потоковий криптоалгоритм CHACHA20-POLY 1305

ChaCha20-Poly1305 - це алгоритм автентифікованого шифрування з додатковими даними (AEAD), який поєднує потоковий шифр ChaCha20 із кодом автентифікації повідомлення Poly1305. Його використання в протоколах IETF стандартизовано в RFC 8439. Він має швидку програмну продуктивність і без апаратного прискорення зазвичай швидше ніж AES-GCM.

Алгоритм ChaCha20-Poly1305 приймає як вхідні дані 256-бітний ключ і 96-бітний одноразовий номер для шифрування відкритого тексту з розширенням зашифрованого тексту 128-біт (Рис.13).

Рис. 13. Структура алгоритму CHACHA20-Poly1305

У конструкції ChaCha20-Poly1305, ChaCha20 використовується в режимі лічильника для отримання потоку ключів, який об'єднується операцією XOR з відкритим текстом. Потім зашифрований текст і пов'язані дані перевіряються за допомогою варіанту Poly1305, який спочатку кодує два рядки в один [31].

ПОРІВНЯННЯ КРИПТОАЛГОРИТМІВ ЗА ВИЗНАЧЕНИМИ КРИТЕРІЯМИ

З огляду на велику кількість алгоритмів, які можуть використовуватись в БПЛА, необхідно провести порівняльний аналізу за певними критеріями (критерій 1 будемо позначати К1, критерій 2 - К2 і т.д.). Такими критеріями є:

1) 128-бітний розмір блоку даних, що шифруються (К1);

2) не менше трьох підтримуваних алгоритмом розмірів ключів шифрування: 128, 192 та 256 біт (К2);

3) алгоритм має бути стійким проти криптоаналітичних атак, відомих на цей час (К3);

4) структура алгоритму має бути зрозумілою, простою та обґрунтованою, що гарантувало б відсутність запроваджених розробниками «закладок» (тобто в даному випадку, особливостей архітектури алгоритму, якими теоретично могли б скористатися його автори у зловмисних цілях) (К4);

5) повинні бути відсутніми слабкі та еквівалентні ключі (тобто ключі, що є різними, але призводять до одного і того ж результату шифрування) (К5);

6) швидкість шифрування даних має бути високою на всіх потенційних апаратних платформах - від 8-бітових до 64-бітових (К6);

7) алгоритм повинен пред'являти мінімальні вимоги до оперативної та енергонезалежної пам'яті (К7);

8) не повинно бути обмежень для використання алгоритму; зокрема, алгоритм не повинен обмежувати своє використання в різних стандартних режимах роботи, генераторів псевдовипадкових послідовностей і т.д (К8).

Багатокритеріальний аналіз алгоритмів наведено у Табл. 1, де N/A - NOT APPLICABLE (критерій не використовується для асиметричних криптоалгоритмів).

Таблиця 1