Каждый дополнительный кубит в два раза увеличивает площадь поиска данных, следовательно, значительно повышается и скорость их вычисления. Исходя из вышесказанного, квантовые компьютеры вероятно смогут разрушить большую часть, если не абсолютно все традиционные криптосистемы, которые широко используются в практике. Конкретно, системы, основанные на задаче факторизации целых чисел (например, RSA). Некоторые криптосистемы, как система RSA с четырех тысячными битными ключами, считаются полезными для защиты классических больших компьютеров от атак, но вероятно являются абсолютно бесполезными против атак на большие квантовые компьютеры.

Криптосистема RSA  используется в разных продуктах, на разных платформах и в различных сферах. На сегодняшний день данная криптосистема интегрируется во многие коммерческие продукты, количество которых растет с каждым днем. Также система RSA активно используется в операционных системах от Microsoft, Apple, Sun и Novell. В аппаратном исполнении RSA алгоритм используется в защищенных телефонах, Ethernet, сетевых платах, смарт картах, а также широко используется в криптографическом аппаратном обеспечении. Вместе с этим, данный алгоритм является частью основных протоколов защищенных коммуникаций Internet, в том числе S/MIME, SSL и S/WAN, и также используется во многих организациях, например, в правительственных, в банках, в большинстве корпораций, в государственных лабораториях и университетах.

Технология шифрации RSA BSAFE используется приблизительно 500 миллионами пользователей во всем мире. Так как в основном, в технологиях шифрования используется RSA алгоритм, то его можно считать одной из самых распространённых криптосистем открытого (public) ключа с тенденцией развития вместе с развитием Internet.

Исходя из этого, разрушение RSA повлечет за собой легкий взлом большинства продуктов, что может перерасти в полный хаос.

Разработаны различные “устойчивые к квантовым атакам” альтернативы системы RSA. Но на сегодняшний день на данные системы зафиксирован целый ряд успешно проведенных атак.

Одной из альтернатив являются схемы цифровой подписи, основанные на хешировании (Hash-based Digital Signature Schemes). Безопасность этих системы зависит от безопасности криптографической хеш-функции. Была предложена одноразовая схема подписи Лэмфорта “Lamport One-Time Signature Scheme “[1].

В данной схеме, чтобы подписать сообщение M = (0,1)ⁿ , нужно выбрать 2n случайных чисел X_ij, где 1≤i≤n, а j = {0, 1}. Для всех  i и j высчитывается Y_ij = h(X_ij), где  h – это хеш-функция: h:{0,1}^* ->{0,1}^s   Y_ij – это открытый ключ, X_ij – закрытый ключ.  Для сообщения M = m₁,m₂, …,m_n, где m_i ∈ {0, 1}, если m_i =  0 , то sig_i = X_i0, в другом случае sig_i = X_i1. Подпись sig – это объединение все sig_i; sig = (sig₁||sig₂||…||sig_n), в случае верификации подписи, если h(m_i) = 0, то h(sig_i) должно быть равно Y_i0, в другом случае h(sig_i) должно быть равно Y_i1.

Основной и серезный недостаток этой схемы – это большой размер ключей. Для того, чтобы достичь безопасность O(2⁸⁰), общий размер открытого и закрытого ключей должен быть 160∗2∗160 bits = 51200 bits, что в 51200/1024=50 раз больше, чем в случае RSA. Также стоит отметить, что размер подписи в данной схеме также намного больше, чем в случае RSA.

Для уменьшения размера подписи была предложена одноразовая схема подписи Винтерница ( Winternitz One-time Signature Scheme). В данной схеме мы выбираем параметр w ∈ N, и вычисляется r = [s/w]+[([log2 [s/w]] + 1 + w)/w]. Выбираем r случайных чисел X_1, X_{2, …} X_r ∈{0,1}^s, объединение которых X является закрытым ключом. Высчитываются Y_i = h^2w−1(X_i), открытым ключом является Y = h(Y₁||…||Y_r). Сообщение M разделено на s/w блоков b₁, …, b_s/w длиной w, если нужно, слева добавляются нули.

Бинарное представление C разбивается на [([log2 [s/w]] + 1 + w)/w] блоков, b_s/w+1, …, b_r длины w. Вычисляется  sig_i= h^bi(X_i) для i = 1, …, r, подпись письма – это sig = (sig₁||…||sig_r). Для верификации подписи высчитываются: b₁, …, b_r. Для i = 1, …, r вычисляется signew_i= h^2w−1−bi(sig_i) = h^2w−1−bi(h^bi (X_i)) = h^2w−1(Xi) = Y_i, если h(signew_{1, …,} signew_r)=Y, то подпись верна.

Самая большая проблема одноразовых схем подписей — это передача открытого ключа. Необходимо удостовериться в том, что открытый ключ не был изменен, поэтому нужно использовать как можно меньше открытых ключей и сделать их покороче. Меркл предложил криптосистему, где один открытый ключ можно использовать для множества сообщений. В данной криптосистеме открытый ключ K используется для подписи конкретного числа сообщений. Число сообщений должно быть степенью двойки, т.е. N=2ⁿ. В первую очередь, нужно сгенерировать ключи X_i и Y_iдля N записей и вычислить h_i=h(Y_i), с помощью этих данных строится дерево- Merkle Tree, рисунок 2.

a_{ij –} это узел дерева.h_i– это листья  дерева. Узлы дерева являются объединением своих детей: a_1,0 = h(a_0,0|| a_0,1);  мы строим дерево с 2ⁿ листами и  2ⁿ⁺¹-1 узлами. Корень дерева a_n,0 является открытым ключом – public.

Сообщение M подписывается одноразовой системой подписи, используя пару ключей X_i и Y_i, в результате мы получаем signew. a_0,i= H(Y_i) – лист хеш-дерева.  Путь от a_0,i до корня назовем P, состоящий из n+1 узлов, P₀= a_0,i, а P_n= a_n,0 = public. Для вычисления этого пути нам нужны все дети узлов P₀, …, P_n.  P_{n+1 =} h(P_i||auth_i), где auth_{i  -} братский узел Pi. Подпись письма будет: sig = (signew ||auth₀||auth₁||…||auth_n−1). При верификации записи проверяется signew сообщения M, если она верна, вычисляются P₀, …, P_n, если  P_n равен открытому ключу  public, то подпись верна.

Последние годы ученые работают над улучшением схемы Меркле (Merkle Signature Scheme), достигнуты хорошие результаты по времени подписи и верификации сообщения [2,3], но несмотря на это, размер подписи является очень большим по сравнению с схемами подписи DSA и RSA.

Также одной из решений проблем, связанных с пост-квантовой криптографией, представляют McEliece – систему с открытыми ключами, которая в свою очередь основана на теории алгебраического кодирования. Разработана данная система в 1978 году Робертом Мак-Элисом. Данная система является первой системой шифрования с использованием процесса рандомизации. Несмотря на то, что алгоритм не получил широкого признания в класической криптографии, он является кандидатом для использования в постквантовой криптографии.

В данной системе открытый ключ – (G_new, t), а закрытый ключ– (S, G, P), где G- это k x n порождающая матрица (generator matrix) для кода C. C – это случайный двоичный (n, k)-линейный код, способный исправить t ошибок. N- это количество  кодовых слов, k – размерность C. S – случайная k x k двоичная невырожденная матрица.  P – случайная n x n двоичная матрица перестановок. G_{new  =} S * G * P; k x n матрица. Для шифрования сообщения нужно сообщение m зашифровать как двоичную строку длины k; cyp = m x G_new;  генерируется случайный n-битовый вектор ошибки v весом t. Шифр вычисляется как: c= cyp+v. Для расшифровки вычисляется cyp = c*P^-1 ; С помощью алгоритма расшифровки C вычисляется m_new= m*S => m= m_new*S^-1

На сегодняшний день уже выявлены успешные атаки на данную криптоситему.

Докторант Дублинского университета (DCU) Неил Костиган (Neill Costigan) при поддержке Irish Research Council for Science, Engineering and Technology (IRCSET), а также профессора Майкла Скотта (Michael Scott), члена Science Foundation Ireland (SFI) успешно смогли провести атаку на данный алгоритм. Для этого им понадобилось 8000 часов процессорного времени. В атаке принимали участие представители еще четырех стран. Ученые выяснили, что начальная длинна ключа в данном алгоритме недостаточна, и должна быть увеличена.

Также эту систему нельзя использовать для шифровки одного и того же сообщения два раза и для шифровки сообщения, когда известна его связь с другим сообщением [4].

Из вышесказанного видно, что на сегодняшний день мы не готовы для перевода криптосистем в пост-квантовую эпоху. В ближайшем будущем мы не можем быть уверены в надежности представленных систем.

Необходимо отметить важность спектра эффективности. На сегодняшний день эксперты достигли довольно хороших результатов в скорости выполнения алгоритма. По результатам исследования становится ясно, что предложенные пост-квантовые криптосистемы сравнительно мало эффективны, алгоритмы реализации требуют намного больше времени для их выполнения и верификации.

Неэффективная криптография наверное может быть приемлемой для обычного пользователя, но она не может быть таковой для интернета серверов, которые обрабатывают тысячи клиентов в секунду. У Google на сегодняшний день существуют проблемы с текущей криптографией. Несложно представить, что будет, когда на реализацию крипто алгоритмов будет уходить больше времени.

На развитие и улучшение современных криптосистем уйдут годы. К тому же, на них все время фиксируются успешные атаки. Когда определяется функция шифрования, и она становится стандартом, ей нужна реализация соответствующего программного, а в большинстве случаев, и аппаратного обеспечения.

Во время реализации необходимо обеспечить не только корректную работу функции и скорость ее эффективности, но также и избежание любого вида утечек. Недавно зафиксированы успешные «cache-timing» атаки на системы RSA и AES, вследствие чего компания Intel добавила AES инструкции в свои процессоры.

Система McEliece является уязвимой к атакам, связанным с утечками (side channel attacks). Была показана удачная атака по времени (timing attack) на алгоритм Паттерсона [5]. Данная атака не выявляет ключ, но выявляет вектор ошибки, что позволяет успешно расшифровать шифр сообщения.

Как мы видим, для создания и реализации безопасных и эффективных пост-квантовых криптосистем необходимо провести довольно большую работу.

РАБОТА ВЫПОЛНЕНА В РАМКАХ НАУЧНОГО ГРАНТА «НАЦИОНАЛЬНОГО НАУЧНОГО ФОНДА  ШОТА РУСТАВЕЛИ» [№ YS15_2.1.2_9].

Актуальность темы статьи заключается в том, что ежемесячно появляется новое программное обеспечение в данной области, но отсутствуют или слабо представлены детальные обзоры и сравнительный анализ программного обеспечения данного класса.

Существуют различные методы сокрытия информации от несанкционированного доступа. Один из них криптография. Криптография (от крипто – и графия), обозначает специальную систему изменения обычного письма, которое используют с целью сделать текст понятным лишь для ограниченного числа лиц, знающих эту систему. Иными словами можно сказать, что криптография скрывает содержимое секретного сообщения. Но она так же включает в себя такую систему шифрования, как стеганография.

Слово «стеганография» в переводе с греческого буквально означает «тайнопись» (steganos – секрет, тайна; graphy – запись).[1]

В отличие от криптографии, которая скрывает содержимое секретного сообщения, стеганография скрывает сам факт его существования.[2] И если, образно говоря, криптография делает понятное непонятным, то стеганография делает видимое невидимым.[3] Как правило, сообщение будет выглядеть как что-либо иное, например, как изображение, статья, список покупок, письмо или судоку. Стеганографию обычно используют совместно с методами криптографии, таким образом, дополняя её.

К стеганографии относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков, тайные каналы и средства связи на плавающих частотах и т. д. [1]

В настоящее время реализовано достаточное количество методов стеганографии. Например, внедрение в графические файлы информации можно разделить на небольшое количество сходных групп.

Шифрование данных в неподвижных изображениях осуществляется на основании следующих двух групп методов:

1. Прямые методы модификации.

2. Методы, модифицирующие изображение, предварительно преобразованное в иную форму.

Вопросами разработки и использования программного обеспечения, реализующего стеганографическое сокрытие информации занимаются такие российские ученые, как Грибунин В.Г., Оков И.Н., Туринцев И.В., Рябко Б.Я. Фионов А.Н.

Грибунин В.Г., Оков И.Н. и Туринцев И.В. в книге «Цифровая стеганография» рассмотрели общую математическую модель стеганографической системы, а также общие термины по данной тематике, классифицировали и представили основные типы атак на стегосистемы. В книге делается упор на рассмотрение достижений в информационно-теоретических исследованиях, исследованы вопросы повышения пропускной способности стеганоканала, обеспечения стойкости и незаметности внедрения, рассмотрены алгоритмы встраивания. [4]

Рябко Б.Я. и Фионов А.Н. в работе «Основы современной криптографии для специалистов в информационных технологиях» изложили основные подходы и методы современной криптографии и стеганографии для решения задач, возникающих при обработке, хранении и передаче информации. Так же, они рассмотрели основные шифры с открытыми ключами, методы цифровой подписи, криптографические протоколы, блоковые и потоковые шифры, описывают вопросы, связанные с использованием случайных и псевдослучайных чисел в системах защиты. [5]

Зарубежные ученые так же изучают проблемы стегосистем. Одна из самых известных стеганографических школ находится в городе Бинхемптон штата Нью-Йорк и лидером этой школы является Джесика Фридрих. Она является профессором электрического, компьютерного машиностроения и школы прикладного машиностроения Уотсона. Так же она является автором работы «Steganography in digital media / Стеганография в цифровой среде», в которой она сочетала различные направления стеганографии, включая теории информации, кодирования, оценки сигнала и обнаружения, и статистической обработки сигналов. В 2007 году Фридрих и Певни заявили о том, что их алгоритм стегоанализа изображений в формате JPEG надежно выявляет сокрытия стеганосистемой, основанной на перестановках. Их алгоритм основан на методе калибровки наблюдаемых изображений и сравнении различных статистик.[6]

Существует множество различных программ, как коммерческих, так и свободно распространяемых, которые реализуют стеганографическое сокрытие информации. Рассмотрим некоторые наиболее популярные из них.

Коммерческий пакет Steganos Privacy Suite – одна из самых известных программ, является платной утилитой, которая стоит около 70-ти долларов. Программа использует 384-битное AES-XEX шифрование, поэтому она позволяет защищать любые данные на самых разных носителях: ПК, телефон, планшет, и другие USB-носители. Для того, чтобы зашифровать данные, в файлах графики, т.е. картинке, анимации, фотографии, или музыкальных файлах, «прячется» сообщение. При этом картинка визуальна не будет изменена, а музыкальный файл будет звучать так же, но при этом будет в себе содержать закодированное послание.

Основные компоненты Steganos Privacy Suite

Steganos Password Manager – менеджер паролей – безопасно хранит все учетные данные и PIN-коды, и помогает создавать безопасные пароли. Password Manager может использоваться на iPhone, iPad и Android смартфонах, скачать его можно через приложения App Store или Google Play.

Генератор паролей позволяет создавать надежные пароли, а использование технологии Pic Pass – пароль в виде картинки.

Steganos Safe 16 позволяет создавать защищенные хранилища в размере до двух терабайтов для важных файлов. Существует возможность создавать три различных видов сейфов: локальные, портативные и облачные. Для локального хранилища нужно задать размер от 2 мегабайт до объема всего свободного пространства на диске. Введя имя для сейфа, установив пароль, можно смело перенести туда конфиденциальные файлы для защищенного хранения. Открытый сейф отображается как отдельный диск в проводнике Windows. Содержание закрытого сейфа недоступно. Для безопасного перемещения файла в сейф, нужно скопировать его туда, а затем использовать файловый шредер для надежного удаления оригинального файла. Создание портативного сейфа является схожим процессом. Пользователь выбирает переносной носитель, который будет содержать сейф, а затем выполняет абсолютно идентичные операции. Большинство USB-накопителей отформатировано в файловой системе FAT32, а значит, максимальный размер защищенного хранилища ограничен 4 гигабайтами. Портативный сейф можно использовать на любом компьютере при условии установки Steganos Live Encryption Engine. Облачный сейф должен находиться в Dropbox, Google Drive или Microsoft OneDrive.

Метод AES-XEX, используемый Steganos Safe, защитит от хакеров, злоумышленников и даже спецслужб. Применяется шифрование 384 bit со стандартом IEEE P1619.

Защищает содержимое облачных хранилищ Dropbox, Microsoft One Drive, Google Drive и Telekom Cloud. Только зашифрованные данные попадают в облако, синхронизирует только файлы, которые были изменены и добавлены.

Шифрование почты позволяет отправлять защищенные паролем электронные письма, так что только целевой получатель может открыть и прочитать их.

Единственным недостатком является то, что не доступны бесплатные обновления до новых версий.

Программа Steganos Online Shield является коммерческой программой, стоимость которой составляет 30 долларов в год. Эта профессиональная программа шифрует онлайн-активность в интернете. Программа является лучшим выбором в силу того, что она полностью блокирует IP-адрес и, тем самым, защищает от хакеров. Данная программа является качественным выбором в сфере интернет-шоппинга, так как в последнее время все чаще замечены случаи кражи денег при оплате покупок через интернет-банк. Так же, преимуществом этой программы, по сравнению со Steganos Suite является то, что можно скачать демо- версию на 1 месяц. Недостатком этой программы является то, что, покупая данный пакет, стегосистема шифрует только онлайн активность, и отсутствует возможность кодирования файлов на простых носителях.

Существует программа подобная коммерческому пакету Steganos Suite- Steganography 1.6. Этот утилит предназначен для платформы Windows. При помощи этой программы можно зашифровать файл и сокрыть его в картинке. Изображение ведет себя как обычная картинка, которую можно открыть и посмотреть. Эта программа удобна и проста в обращении. На некоторых сайтах эта программа выставлена в свободном доступе для скачивания, на других же её стоимость составляет от 24 $.

Программа «Secur Engine». Secur Engine является бесплатным приложением и зашифровывает информацию в графических изображениях, и в её функции входит закрытие паролем доступа к различным документам, т.е. можно защитить любые документы, которые не нужно показывать другим, либо можно их просто уничтожить. Недостатком этой программы выступает то, что при установке и кодировании приходится пройти больше окон, чем в рассмотренных выше программах, но все же она проста в использовании и доступна любому, даже неопытному пользователю ПК.

Программа True Crypt – бесплатно распространяемая. True Crypt шифрует полностью раздел жесткого диска, либо другого иного носителя информации, что делает работу гораздо удобнее. Программа создает виртуальный диск, сохраняет его в виде файла, но использует его как реальный диск. Программа является выигрышной, т.к. все файлы на этом диске шифруются, но с ними можно работать.

Дополнительные возможности True Crypt:

- отсутствие необходимости установки (файл программы можно запускать без процесса инсталляции);

- изменение паролей без утери информации;

- возможность назначения hotkeys для монтирования или размонтирования работающего раздела;

- невозможность определения принадлежности тома к программе TrueCrypt;

- возможность создания скрытых томов, защищенных двойным паролем.

Версия True Crypt может поддерживать следующие алгоритмы:

- AES (илиRijndael);

- Twofish;

- Serpent.

Ниже представлена таблица с наиболее важными характеристиками для пользователей при выборе исследуемого программного обеспечения.

Таблица 1 – Характеристики программного обеспечения, реализующего стеганографическое сокрытие информации

В заключении следует отметить следующее – из всех рассмотренных программ, наиболее дружественным интерфейсом обладает True Crypt. Это обосновано тем, что данное программное обеспечение позволяет зашифровать послание в любом формате и любом документе, при этом информация будет сокрыта. Так же это программное обеспечение находится в открытом доступе и свободно для бесплатного скачивания.

Квантовые компьютеры смогут разрушить криптосистемы, которые широко используются в практике. Конкретно, системы, основанные на задаче факторизации целых чисел – RSA. Данная криптосистема RSA  используется в разных продуктах, на разных платформах и в различных сферах.

Технология шифрации RSA BSAFE используется приблизительно 500 миллионами пользователей во всем мире. Так как, в основном, в технологиях шифрования используется RSA алгоритм, то его можно считать одной из самых распространённых криптосистем открытого ключа с тенденцией развития вместе с развитием интернета.

Исходя из этого, разрушение RSA повлечет за собой легкий взлом большинства продуктов, что может перерасти в полный хаос (1).

Одной из альтернатив пост-квантовых систем являются многовариантные крипто-системы открытого ключа(Multivariate Public-Key Cryptosystems-MPKCs).

MPKCs – это криптосистемы открытого ключа, где односторонняя функция с потайным ходом (trapdoor one-way function) принимает форму многовариантного квадратичного полиномиального отображения над конечным полем.

Открытый ключ данной системы обычно задается набором квадратичных многочленов:

P = (p₁(w₁, . . . , w_n), . . . , p_m(w₁, . . . , w_n))

p₁(w₁, . . . , w_n) = z₁

_…

P_m(w₁, . . . , w_n) = z_m

 p_i– нелинейные многочлены в (w₁, . . . , w_n).

Процедура шифрования или оценки происходит с помощью оценки данных многочленов при конкретном значении.

Для построения мультивариантных подписей использовали квадратное уравнение:

m = x₁²+b x₂²(mod n), где n=pq, p и q – простые большие числа.

Для подписи сообщения m надо найти одно из многих решений данного уравнения, что просто, если мы знаем факторизацию n.

Полард и Шнор (Pollard, Schnorr) нашли вероятностный алгоритм решения данного уравнения без знания факторизации n, этим сломали данную систему.

Диффи и Фел (Diffie и Fell) пытались создать систему с помощью композиции обратимых линейных отображений и простых отображений вида: M(x₁, x₂) = (x₁ + g(x₂), x₂).

Данные отображения легко обратить, но трудно расшифровать. Но так как авторы использовали только две переменные, очень трудно построить данную криптосистему, которая является безопасной и имеет открытый ключ практического размера.

Матсумато, Имай, Харашима и Миягавф (Matsumoto, Imai, Harashima, Miyagawa), построили криптосистему, которая использовала  квадратичные многочлены в роли открытого ключа.  Вскоре данная система была взломана(2).

Шамир (Shamir) предложил треугольную конструкцию – “Birational Permutations”[3]. Треугольные отображения можно очень быстро оценить и обратить. Нужно также учесть, что на малом конце треугольной системы переменная отображается в простые функции от самой себя. На большем из концов одна переменная появляется только в одном уравнении. Остальные уравнения содержат больше переменных.

Запишем квадратичную часть центральных многочленов y_i = q_i(x) в качестве билинейных форм, возьмем симметричную матрицу, обозначающую симметричный дифференциал центральных многочленов.

q_i(x + l) − q_i(x) − qi(l) + q_i(0) := l^T M_ix

Ранг M_i монотонно возрастает с увеличением i. Данная система уязвима к ранговым атакам[4], основанным на линейной алгебре. Поэтому треугольные конструкции не могут быть использованы отдельно.

Матсумато и Имай (Matsumoto ,  Imai) предложили схему C*, они использовали квадратичную систему Q из мономиального преобразования  f→ y = f^{1+q^p}, для какого-нибудь p, над расширением  F  конечного поля K.

F = GF(qⁿ), K = GF(q). f и y из F соответствуют векторам из K.  Джакьюз Патарин (Jacques Patarin)   осуществил успешную атаку на данную систему[5]. Были предложены разные варианты улучшения C*, например, SFLASH, использующая технику «Plus-Minus». Позже Дубоис, Фоуку, Шамир и Штерн (Dubois, Fouque, Shamir, Stern) осуществили успешную атаку на данную систему.

HFE (Hidden Field Equations) является производной C*. В данной схеме вместо того, чтобы использовать одночлен, используемый C *, мы используем многочленное преобразование:

f→ y = ∑_0<=i<=j<=ra_ijf^{q^i+q^j}+ ∑_{0<=i <=r}b_ijf^{q^i}+c

и строим систему Q , используя явный базис F в K. Работа с закрытым ключом происходит в F, открытый ключ дается в K.

Это отображение не является одним к одному, поэтому также нужно использовать контрольную сумму.

Сложность этой схемы предстовляет O(ne² log e+e³), e- это максимальная степень Q.

Зафиксированы атаки на данную систему, но когда мы увеличиваем e, данные атаки не работают. Но надо отметить, что при этом эффективность системы очень уменьшается.

Были разработаны системы электронной подписи Unbalanced Oil and Vinegar (UOV).

Система Q задается m квадратичными многочленами в n=m+v переменных,

(w₁, … ,w_m;w_m+1, …,w_m+v). Первые m переменных называются «переменные oil» (o), а v остальных переменных – «переменных vinegar» (vin).

Каждый многочлен может содержать квадратичные члены вида: o x vin или v x vin, но не может содержать квадратичные члены вида: o x o. Систему Q легко решить, фиксируя произвольные значения переменных vin и решая полученную систему путем исключения Гаусса. P должен скрывать различие между переменными o и vin. Следует отметить тот факт, что данная схема имеет много эквивалентных ключей, вычисление части закрытых ключей приводит к успешной атаке на данную систему. В случае, когда v=m, Кипнис и Шамир (Kipnis, Shamir) реализовали успешную атаку (6) на данную систему, но когда v>2m, данная атака безуспешна.

В схеме Rainbow мы используем экземпляры UOV итеративно. Первый экземпляр содержит v₂-v₁ многочленов с v₂-v₁ переменными o и v₁ переменнымиvin. Второй экземпляр содержит v₃-v₂ многочленов с v₃-v₂ переменными o и v₂ переменнымиvin. Последний экземпляр содержит v_t+1-v_lмногочленов сv_t+1-v_lпеременными o и v_tпеременнымиvin. Полученная система содержит v_t+1- v₁ многочленов с v_t+1 переменными. Данную систему легко решить рекурсивно, применяя принцип UOV. Берем v₁ переменных vin первого экземпляра UOV, решаем этот экземпляр в v₂-v₁ переменных o, а затем рассматриваем v₂ (v₁ + v₂-v₁ ) переменных как переменные vin второго экземпляра UOV и т.д.

Как мы видим, в схеме Rainbow надо решить большее количество систем, чем в случае UOV, но эти системы являются меньшего размера.

TTS – это улучшенная схема Rainbow с разреженными (sparse) коэффициентами. Системы UOV уязвимы к ранговым атакам (rank attacks).

Т.к. TTS имеет структуру Rainbow она уязвима, ко всем ее атакам, а также из за разреженности ее также можно атаковать со стороны линейной алгебры(7).

Стоит отметить, что нужно обеспечить безопасность малой вычислительной техники:

RFID, беспроводных датчиков, PDA и т.д. RSA не может быть использована в данной ситуации из-за сложности вычислений. MPKCs является хорошей альтернативой для этого случая.

Как мы видим, несмотря на то, что многовариантные криптосистемы открытого ключа являются многообещающей альтернативой для пост-квантовой эпохи, на них фиксируется множество атак, и они является недостаточно эффективными.

Очевидно, что исследование MPKC уже представило новые математические проблемы, которые требуют новых математических идей. Для того, чтобы добиться нужных результатов, нужно еще провести огромную работу над данными системами со стороны алгебраической геометрии.

РАБОТА ВЫПОЛНЕНА В РАМКАХ НАУЧНОГО ГРАНТА «НАЦИОНАЛЬНОГО НАУЧНОГО ФОНДА  ШОТА РУСТАВЕЛИ» [№ YS15_2.1.2_9].

Более 40 лет назад Уитфилд Диффи и Мартин Хеллман представили свою концепцию изменения парадигмы генерации ключей шифрования. Их алгоритм позволил двум сторонам создавать общий секретный ключ на основе открытых параметров друг друга, без необходимости обмена секретными параметрами. Степень защиты зависит от сложности решения проблемы Диффи-Хеллмана, то есть от сложности нахождения заданных целых чисел q, g, g^a mod q (и, возможно, g^b mod q), g^ab mod q.
Доказано, что эта проблема эквивалентна проблеме дискретного логарифмирования, то есть проблема нахождения наименьшего положительного целого значение a при заданных целых числх q, g и g^a mod q. Протокол Диффи-Хеллмана был улучшен путем добавления аутентификации (для борьбы с такими угрозами, как атака «Человек посередине») и впоследствии стал основой других, более совершенных алгоритмов, таких как протоколы Нидхема – Шрёдера и MQV. Развитие протокола Диффи – Хеллмана привело к созданию средств для включения трех сторон в генерацию сеансового ключа. Концепция шифрования с использованием протокола открытого ключа для генерации общего секрета была революционной, и это отражено во многой специальной литературе.

Тем не менее, с 1997 г. существует угроза для протокола Диффи – Хеллмана со стороны будущей, более мощной версии квантового компьютера, использующего алгоритм Шора для определения дискретного логарифма. В связи с этой угрозой у многих специалистов появилось желание разработать устойчивые к ней алгоритмы генерации ключей шифрования.

Угроза, которую представляет квантовый компьютер, повысила требования к обеспечению безопасности алгоритмов в том смысле, что он не зависит от проблемы решения целочисленной задачи факторизации или нахождения дискретного логарифма. Одним из новых кандидатов на роль основного механизма генерации ключей является решение задачи по поиску наикратчайшего вектора, в свою очередь, относящиеся к проблеме ближайшего вектора.

В статье рассматривается протокол согласования ключей шифрования, устойчивый к квантовым компьютерам. Это может быть определено, как указано в Алгоритме 1 в разделе 2 ниже. Для проверки действенности протокола достаточно проверить совпадение ключа, сгенерированного отправителем, и ключа, сгенерированного получателем. Прочие аспекты, такие как сложность вычислений, устойчивость против квантового компьютера, предложения о том, какие числа следует использовать для максимальной безопасности, какие параметры открыты или секретны, рассматриваются в Разделе 3. Возможные атаки на криптосистему и контрмеры по их предотвращению рассмотрены в разделе 4. Наконец, в качестве иллюстрации приводится пример в Разделе 5, а выводы кратко изложены в Разделе 6. Доказательства представлены в Приложении А.

2. Сущность протокола.

Начальный параметр – трансцендентное число, является общим для Алисы и Боба. Защита информации повышается при передаче x через закрытый канал, однако это не обязательно. Это число может, несмотря на свою трансцендентность, иметь конечное описание (как, например, e или √ 2 ). После этого Алиса вычисляет с некоторым заданным конечным числом знаков точности. Результат она отправляет Бобу через открытый канал связи, используя свой секретный параметр a. Боб использует свой секретный параметр b для определения , который он отправляет Алисе. Наконец, Алиса вычисляет , что совпадает с  Боба согласно теореме А1 в Приложении А.
Предлагаемый протокол для генерации общего секретного ключа кратко изложен в алгоритме.

Функция  обычно является генератором псевдослучайных чисел (где s – начальное число). B_n – это набор целых чисел { 2^{n − 1} , 2^{n − 1} + 1, …, 2 n – 1 } . Для определения операции (mod 1), см. определение А2 в Приложении А. Таким образом, устанавливается общий секретный ключ k, который может впоследствии использоваться для установления закрытой связи по незащищенному каналу с помощью симметричного шифра, например XOR или AES.

Алгоритм 1: Предлагаемый протокол согласования ключей.

вход: s
∈ Z, генерируемый из множества B_n

вывод: общий секрет k
∈ Q, состоящий из n двоичных цифр

Алиса:

    x ←F (s) ∈ R Q
Выбор: a выбирается из множества B_n a ← a_x mod 1
Обмен: отправляет Бобу a

Боб:

    x ←F (s ) ∈ R Q
Выбор: b выбирается равномерно на B n b ← b_х mod 1
Обмен: отправляет b Алисе

Алиса:

    если a = b, то
Начать сначала с шага “Выбор Алисы”

    иначе

        k ← ab mod 1

Боб:
если
a = b, то

        Начать сначала с шага “Выбор Боба” выше

    иначе

        k ← a’b mod 1 конец

Вывод k

Протокол в целом основан на функции C_х, которая должна обладать как свойством однонаправленности, так и свойством симметрии. Параметр х принадлежит пространству параметров S. Здесь S = R Q .

Первое свойство, свойство однонаправленности, означает, что при известном a, должно быть просто вычислить C_x(a) для любого x ∈ S, в то время как для любого x ∈ S и заданного c должно быть трудно (практически невозможно) вычислить a такое, что С_х(а) = с. Именно эта проблема далее называется проблемой факторизации по модулю 1 или M1FP. Предполагая, что используется двоичная арифметика, максимальное количество шагов C_x достигается за полиномиальное время (теорема А2) при решении проблемы факторизации по модулю 1.

Второе свойство – это свойство симметрии, которое значит, что

С_Сх(b)(а) = С_Сх(а)(b)

для всех x ∈ S в пространстве параметров и возможных значений a и b. Это свойство необходимо функции для создания протокола согласования шифрования. В данном случае эта функция является отображением С_х : Z → (0, 1), определяемым формулой С_х(a) = a_х mod 1. Свойство симметрии C_х определяется теоремой А1, сформулированной и доказанной в Приложении А.

3. Аспекты безопасности

Все аспекты надежности и безопасности новых алгоритмов шифрованной связи необходимо рассматривать детально. Относительно работы данного протокола следует ответить на два принципиальных вопроса, которые вытекают из его особенностей:

1. Если трансцендентный параметр x распространяется по защищенному каналу, почему бы не использовать это число напрямую в качестве ключа шифрования?

2. Чем отличается использование конечных чисел с плавающей запятой (аппроксимированных с определенной точностью трансцендентных чисел) от метода, основанного на использовании больших целых чисел?

Что касается пункта 1, то, конечно, возможно использование трансцендентного x в качестве ключа шифрования. Проблема в данном случае заключается в надежности: если секретность этого параметра будет нарушена, то шифрованный канал будет полностью взломан, а информация перейдет к злоумышленнику. В этом протоколе прочие процедуры будет служить дополнительными уровнями безопасности. Тем не менее, эти «улучшения» также добавляют сложности криптографическим вычислениям, однако две дополнительные операции умножения и обмен числами по каналу связи – относительно небольшая плата в пользу безопасности.

Касаемо пункта 2, при выборе трансцендентного числа не указывается, сколько десятичных знаков будет использоваться для генерации конечного ключа. Многие программные пакеты позволяют достаточно быстро вычислить большое конечное число знаков трансцендентного числа. Однако длина чисел a и b, отправленных от Алисы Бобу, и наоборот по открытым каналам, говорит о том, сколько знаков используется в приближения числа с плавающей точкой. Более того, для окончательного результата (секретный ключ, общий для Алисы и Боба), состоящего из n цифр, который идентичен для обеих сторон, количество цифр в a и b должно быть не менее 2n + 1. С другой стороны, выигрыш в безопасности происходит за счет того, что количество цифр в a и b значительно больше количества знаков секретного ключа.

3.1. Один или два уровня безопасности

Если и начальное число s, и параметры a и b являются секретными, это обеспечивает два уровня безопасности. Данная версия алгоритма упоминается как «Версия 1». Использование такого протокола между сторонами, неизвестными друг другу, может быть неудобным из-за необходимости скрытого согласования начальных параметров. Поэтому для общения сторон при установлении защищенного соединения, начальные секретные параметры могут быть распределены заранее и использоваться позже по какой-либо схеме, чтобы получить дополнительный уровень безопасности, когда это необходимо.

В качестве альтернативы может быть реализован протокол одноуровневой безопасности, если исходное число будет открытым. Эта версия алгоритма упоминается как «Версия 2». В этом случае вся безопасность зависит от сложности решения проблемы факторизации по модулю 1 и секретности параметров a и b. Тем не менее, если трансцендентный x вычисляется с очень большим количеством десятичных знаков, для злоумышленника возникает дополнительная проблема, связанная с тем, что он не знает, сколько знаков точности трансцендентного числа необходимо для получения действующего ключа шифрования. Преимущество открытого начального параметра в том, что гораздо проще организовать первоначальный контакт сторон при обмене начальными параметрами по открытым каналам. Протокол, позволяющий открыто инициализировать начальный параметр s, необходим для успешного установления шифрованной связи для сторон, ранее не известных друг-другу.

3.2. Комментарии о начальном трансцендентном числе

При реализации данного протокола желательно, чтобы числа x = F(s) ∈ R Q были абсолютно разными для одинаковых s
∈ Z, используемых в разных сеансах связи, для того чтобы увеличить случайность последующих параметров.

То есть, если существует другой параметр t
∈ Z такой, что s НЕ РАВНО t, но s ≈ t, это не должно означать, что F(s) mod 1 ≈ F(t) mod 1. Точнее это свойство разрыва можно определить как

∃ ε > 0 ∀ δ > 0: (| s – t |> δ ∧ | F ( s ) – F ( t ) | < ε ) .
Данное свойство трансцендентного числа достигается использованем генератора случайных чисел при его выборе.

3.3. Выбор секретных целых чисел

В отличие от криптографии, основанной на проблеме целочисленной факторизации, задаче вычисления дискретного логарифма или их версиях, основанных на эллиптических кривых, целочисленные параметры предлагаемого протокола не обязательно должны быть простыми числами или удовлетворять каким-либо условиям, за исключением того, что параметры a и b не должны быть идентичны.

4. Возможные атаки и контрмеры к ним.

Вне зависимости от того, является начальный параметр s секретным или нет, имеет место атака на протокол, представленная в Алгоритме 2 ниже. Предполагается, что функция F, отображающая трансцендентный параметр x из начального параметра s, известна злоумышленнику.

Случай, когда s является секретным, называется «Версией 1», а случай, когда s является открытым, называется «Версией 2». Перехватив a и b, Ева пытается подобрать параметр s ∈ B_n = { 2n − 1 , 2n − 1 + 1, …, 2n – 1 }, который мог бы инициализировать секретный параметр. Найдя предположительный подходящий параметр σ, соответствующий s, она находит θ соответствующее a∈B_n и b∈B_n .Затем она вычисляет θ = [α2nF(σ)], сравнивая θ с a и θ = [ β2n F(σ)], сравнивая это значение θ с b. При совпадении (θ = a или θ = b) раскрывается общий секрет k = θθ mod 1. По количеству знаков в a и b, она может сделать вывод, сколько знаков N составляет точность аппроксимации параметра с плавающей точкой x. Защита от этой атаки – наибольшая сложность вычислений.

Алгоритм 2: схематическое описание возможной атаки.
вход: a, b
∈ Q, перехваченные в открытом канале связи.

вывод: Десятичные числа k в
соответствии с условиями в алгоритме 1.

для σ ∈ B_n сделать:

    для θ ∈ B n do
θ = θ F ( σ ) mod 1

        если θ = a или θ = b, то

            k ← θθ mod 1

Вывод κ

Если начальный параметр s ∈ B_n также является общедоступным, Еве достаточно лишь подобрать a
∈ B_n и b ∈ B_n, что, очевидно, вычислительно проще. Это связано с исключением внешнего цикла for в алгоритме атаки 2, представленном выше.

Самая известная угроза протоколу Диффи – Хеллмана – это атака «человек посередине». Однако данная проблема протокола уже исправлена. Модификации данного алгоритма, такие как протокол MQV и алгоритм Нидхема – Шрёдера, устойчивы к этой атаке, так как используют процедуры аутентификации сторон.

4.1. Устойчивость к квантовому компьютеру

Односторонность основной функции предлагаемого протокола согласования ключей основана не на сложности целочисленной факторизации и вычисления дискретного логарифма, а на других арифметических проблемах, указанных ниже. В связи с этим, предполагаемый квантовый компьютер будущего пока не представляет угрозы для предлагаемого алгоритма.

5. Пример

Предположим, что Алиса хочет отправить Бобу сообщение «I am Alice». Чтобы облегчить понимание алгоритма, в данном примере используется основание 10, хотя на практике, все числа представляются в двоичной или другой необходимой форме. Она преобразовывает сообщение «I am Alice» в открытый текст – последовательность трехзначных чисел ASCII:

M = 077032097109032065108105099101.

Затем для генерации ключа, Алиса считывает параметр s, объявленный публично или тайно, выбранный из множества D_n = { 10 n , 10 n + 1,. . . , 10 n + 1 – 1 } (где n должно быть не менее 1000 для достаточного уровня надежности в соответствии с существующими вычислительными возможностями). D_n соответствует десятичным числам, а B_n – двоичным числам. Этот исходный параметр подается в генератор псевдослучайных чисел, который возвращает действительное число x на (0, 1). Допустим, при s → log (s) mod 1 и s = 2 (для данного примера) Алиса получает

x = 0.693147180559945309417232121458 . . .

Затем она выбирает свой секретный параметр a из множества D_n (где значение n также должно быть не менее 1000 для надежности). Допустим, она выбирает n = 10, а параметр a = 9861328816 и вычисляет

a = a_x mod 1 =  6835352265.384943695140187286296328528834383488. . . mod 1

из которых первый 61 десятичный знак

0,3849436951401872862963285295789151385786568625756645191323560

она посылает Бобу (61 знак для получения 30 знаков в конечном ключе k). Боб, в свою очередь, выбирает свой секрет b = 6913952452 и вычисляет

b’ = b_x mod 1 = 4792386648.629320605031170717208921697772544736. . . mod 1

из которых первую 61 цифру

0,6293206050311707172089216982945490750864162655735586555442321

он отправляет Алисе. Затем, после проверки того, что a и b различны, начинается последний шаг генерации ключа. Алиса генерирует общий секрет:

k = ab mod 1 = =6205937416.896438371827726635679694849875824409871… mod 1 = =0,896438371827726635679694849875824409871. . .

Боб делает то же самое

k = ab mod 1= 2661482404.896438371827726635679694849875824409871642. . . mod 1 = 0,896438371827726635679694849875824409871642. . .

Затем Алиса шифрует свой открытый текст

m = 077032097109032065108105099101

например, с помощью алгоритма XOR на 30 десятичных цифрах ключа k

c = m ⊕ k = 697525738788675892280877652154

(используя десятичную последовательность k как целое число и побитовое сложение по модулю 10), который она отправляет Бобу. Боб расшифровывает общий секрет k, состоящий из его первых 30 десятичных цифр, просто вычитая его по модулю 10 из принятого сообщения:

c ⊖ k = 077032097109032065108105099101

который легко преобразуется обратно в «I am Alice» с помощью таблицы ASCII.

6. Выводы

Помимо устойчивости к квантовым компьютерам, большое преимущество предложенного протокола, в отличие от методологии конечных полей Диффи – Хеллмана, заключается в использовании десятичной части трансцендентных чисел, а не больших конечных целых чисел. Использование трансцендентных чисел не дает по своей сути ограничений на количество цифр при вычислении, в отличие от целых чисел. В случае конечных полей секретные параметры ограничены порядком конечного поля q. Для нахождения ключа методом грубой силы необходимо лишь перебирать все числа меньшие q. Предлагаемый алгоритм накладывает определенные границы на числа a и b. Однако, криптоанализ по действующим в настоящее время алгоритмам Шора и Гровера не представляет угрозы для этого протокола.

Более того, по сравнению с классическим методом Диффи – Хеллмана для генерации общего секрета, преимущество данного протокола заключаются в том, что он изначально требует передачи меньшего числа параметров и размер ключа неизвестен. Проблема данного алгоритма в том, что он требует одинаковой трактовки трансцендентных чисел различными устройствами. Данное направление актуально для будущих исследований.

Приложение А

Чтобы обосновать протокол, который использует трансцендентные числа и групповую арифметику по модулю 1, начнем с определения целой части действительного числа.

Определение A1. Целая часть от x ∈ R
[x] = max { z
∈ Z : z ≤ x } .

Тривиально, [х] = х , когда х ∈ Z . Для целой части действительного числа действуют следующие арифметические законы:

Лемма A1. Для всех х ∈ R и у ∈ Z , [х - у] = [х] – [y] .

Доказательство. Согласно определению А1

[x - y] = max { z ∈ Z : z ≤ x – y } = max { z ∈ Z : z + y ≤ x }

= max { z + y ∈ Z : z + y ≤ x } – y = [x] – [y]

Так как у = [у] , у ∈ Z .

Определение A2. Дробная часть вещественного числа х -
х mod 1 равна х mod 1 = х – [х] .

Для протокола согласования симметричного ключа шифрования используется односторонняя функция Cx, обладающая свойством симметрии

С_Сх(b)(а) = С_Сх(а)(b)

для всех возможных значений a, b. Отображение C_х обладает этим свойством для десятичной части числа.

Теорема A1. Для любого действительного числа x и целых чисел a, b

( a_х mod 1 ) b mod 1 = ( b_х mod 1 ) a mod 1

Доказательство. Для любого действительного числа x и целых чисел a, b согласно лемме А1,

( a_х mod 1 ) b mod 1 = ( a_х – [ a_х ]) b – [( a_х - [ a_х ]) b ] = a_х b – [ a_х ] b – [ a_х b - [ a_х ] b ]

= a_х b – [ ax ] b – [ a_х b ] + [[ a_х ] b ] = a_х b – [ a_х b ] = a_х b mod 1

Замена местами a и b выше дает ( b_х mod 1 ) a mod 1 = b_хa mod 1, из-за коммутативности действительных чисел.

Теорема A2. Полиномиальная сложность Алгоритма 1.

Доказательство. Операция, порождающая трансцендентный x ∈ R Q из начального числа s, не рассматривается как часть алгоритма, так как ее можно провести заранее. При использовании числа x в алгоритме с точностью N бит (как числа с плавающей точкой ∈ Q ) вычисление первого шага a = a_х mod 1 может быть выполнено за O(N log N loglogN) шагов. То же касается вычисления b = b_х mod 1. Наконец, генерация ключа k выполняется путем вычисления ab mod 1 и ab mod 1 соответственно, таким образом добавляя O( N log N loglog N) шагов расчета. В общей сложности, это означает, что вычисление, обратное «Алгоритму 1», выполняется за полиномиальное время.

Алгоритм RSA разработан Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом в 1977 году и до сих пор является широко распространённым криптографическим алгоритмом с открытым ключом [2]. В основе алгоритма RSA, применяемого как для шифрования, так и для цифровой подписи, лежит задача факторизации больших целых чисел. Несмотря на то, что в 2010 году были опубликованы результаты о взломе шифра с длиной ключа 768 бит, зашифрованные данные с помощью ключей 1024 и 2048 бит по-прежнему считаются защищёнными и используются в современных криптосистемах [3].
Для получения зашифрованных данных с помощью алгоритма RSA злоумышленнику необходимо найти значение , определяемое по формуле (1).

      (1)

Открытым ключом, который может быть известен злоумышленнику, является пара значений . Значение  может быть получено, если известно значение , вычисляемое по формуле (2).

        (2)

Для получения , злоумышленнику необходимо разложить известное ему число  на простые множители  и , что в общем случае является крайне сложной задачей.
При этом, не смотря на высокую надежность алгоритма RSA, существует большое количество уязвимостей в различных реализациях этого алгоритма. Одной из таких уязвимостей может быть уязвимость в выборе простых чисел  и . Если простые числа не выбираются независимо друг от друга, а, например, являются последовательными простыми числами, то атака на данную реализацию может быть проведена за . Исходные простые числа  и  будут лежать в окрестностях числа .
Другим примером реализации алгоритма RSA, не обеспечивающем необходимой надежности, является библиотека «RSA Library», распространяемая под лицензией LGPLv2 [4]. Данная библиотека написана на языке PHP и с 2005 года была распространена тиражом более 5000 копий.

Листинг 1. Фрагмент кода генерации простых чисел  и 

На представленном выше фрагменте исходного кода программы «RSA Library» видно, что для генерации простых чисел  и  используется выбор случайных элементов из массива простых чисел, подготовленного заранее я заданного явно в коде программы. Очевидно, что обеспечить надежность зашифрованных с применением данной программы данных невозможно, т.к. простые числа выбираются из конечного, к тому же сильно ограниченного, массива простых чисел. Массив чисел содержит 570 элементов и задача факторизации, столь сложная в алгоритме RSA, в данной его реализации является вполне тривиальной и может быть с лёгкостью решена полным перебором всех возможных делителей числа .
Из представленных выше примеров видно, что использовать надежные криптографические алгоритмы недостаточно для обеспечения защищенности данных, необходимо применять надежные реализации таких алгоритмов.

RFID – это технология идентификации объектов с помощью радиосигналов. Система радиочастотной идентификации состоит из транспондера и считывающего устройства. Для хранения и передачи информации используются электронные RFID-метки. Это позволяет быстро и эффективно определять элементы без физического взаимодействия.

С развитием технологий радиочастотной идентификации возникают новые угрозы безопасности данных. Неправомерный доступ к информации, вызванный перехватом трафика и дистанционным управлением устройствами, может иметь серьезные последствия для физических лиц, компаний, государств [1].

Рост рынка технологий RFID вызван пандемией COVID-19 и необходимостью отслеживания контактов [2]. Сегодня радиочастотная идентификация используется компаниями для маркировки товаров, в системах контроля и управления доступом (СКУД), в транспортной и складской логистике, медицине. По информации международной компании Coherent Market Insights [3], технологии RFID на рынке здравоохранения к 2027 году будут оцениваться в 18,41 миллиарда долларов США, а среднегодовой темп роста составит 19,6 %.

Основная часть

Для определения методов защиты и повышения безопасности RFID необходимо проанализировать типы RFID-меток:

1. Активные RFID-метки имеют встроенный источник и способны самостоятельно отправлять сигналы. Они габаритнее, чем пассивные метки, но обладают большей дальностью действия. Код метки может передаваться как в режиме непрерывного излучения с небольшими интервалами, так и по нажатию кнопки. Активные RFID-метки подходят для мониторинга объектов.
2. Пассивные RFID-метки не имеют собственного источника питания и получают энергию для работы от радиосигнала, который поступает от считывателя. У таких устройств низкая стоимость и долгий срок службы, они просты в использовании. К недостаткам, актуальным для темы исследования, можно отнести уязвимость к сканированию посторонними пользователями и к перехвату информации, отсутствие встроенной защиты данных, ограниченные возможности шифрования. Это делает пассивные метки более подверженными кибератакам.

Отчет «RFID: технологии, предложения и глобальные рынки» компании Research and Markets (Дублин, Ирландия) показывает, что в ближайшие годы рынок технологий RFID будет демонстрировать устойчивый рост (рис.1).

Рисунок 1. Глобальный рынок RFID, в млрд долларов США [4]

Это объясняется растущим спросом на мониторинг объектов, необходимостью оптимизации ресурсов. Согласно прогнозу компании MarketsandMarkets (Иллинойс, США), рынок пассивных RFID-меток будет расти более высокими среднегодовыми темпами, по сравнению с рынком активных RFID-меток, и к 2028 году займет лидирующее положение [5]. В связи с этим актуальным становится вопрос о методах защиты и повышения безопасности в борьбе с перехватом трафика RFID и дистанционного управления.

Злоумышленники могут воздействовать напрямую на память транспондера, например, с помощью метода криптоанализа, использовать уязвимости системы в процессе передачи трафика. Атаки протокольного и физического уровня объясняются использованием слабых алгоритмов шифрования. Воздействие происходит путем клонирования или перехвата радиосигнала устройствами для чтения данных с меток, внедрения вирусов или перепрограммирования RFID-меток, вскрытия, блокирования каналов связи.

Распространенными видами атак на системы RFID являются перехват трафика и дистанционное управление. Рассмотрим их подробнее.

Перехват трафика RFID и дистанционное управление: методы защиты. Под трафиком RFID понимают объем информации между RFID-меткой и считывающим устройством, использующим технологию радиочастотной идентификации. Несанкционированный доступ к конфиденциальной информации может привести к разглашению персональных данных, отслеживанию перемещений в личных целях, раскрытию коммерческой тайны, мошенничеству с банковскими счетами и другим незаконным операциям. Возможность дистанционного управления RFID-устройствами предоставляет определенные риски безопасности, например, утечку конфиденциальной информации и использование ее в личных целях.

Атаки физического уровня можно предотвратить с помощью криптографических методов, предполагающих шифрование, кодирование и иное преобразование информации, снижающее риски неправомерного доступа. Такой способ обеспечивает проверку целостности данных, что позволяет обнаружить любые попытки их модификации или подделки.

К теоретическим методам защиты информации относят идентификацию и аутентификацию, то есть присвоение субъектам и объектам доступа личного идентификатора и в дальнейшем установление его подлинности.
Фактически это предполагает использование биометрических данных (отпечатков пальцев или распознавание лица). Повышенный уровень безопасности обеспечивает взаимная аутентификация в технологиях RFID, так как обе стороны должны подтвердить свою легитимность перед передачей данных и выполнением каких-либо операций. Такая процедура препятствует защите от подделок RFID-меток или устройств, незаконному удаленному доступу. Взаимная аутентификация в технологиях RFID помогает обеспечить безопасность и целостность передаваемых данных, что особенно важно в областях, где требуется защита конфиденциальной информации для предотвращения мошенничества.

Еще один метод – использование неперепрограммируемых меток RFID. Уникальный идентификатор не может быть изменен или перезаписан. К преимуществам таких устройств относится надежность, возможность использования без систематического обновления.

Повышение безопасности технологий RFID достигается путем соблюдения общепринятых стандартов и протоколов. Один из них – Протокол Secure Distance Bounding (SDB), который используется для проверки физического расстояния между двумя устройствами и предотвращает атаки мошенников. В России утверждены национальные стандарты «Методы эксплуатационных испытаний устройств радиочастотной идентификации». Они устанавливают общие требования к испытаниям устройств считывания и являются модифицированной версией международного стандарта ISO/IEC 18046-1:2011 «Методы тестирования производительности устройств радиочастотной идентификации» [6].

Борьбе с перехватом трафика RFID и дистанционного управления [7] способствует установление внутренних мер безопасности организации. К ним относят:

- внедрение мер контроля доступа для сотрудников: строгая процедура идентификации;

- проведение аудита системы для отслеживания несанкционированных попыток перехвата трафика и дистанционного управления и своевременного реагирования на потенциальные угрозы;

- регулярное техническое обслуживание и обновление систем RFID и меток, адаптация к тенденциям рынка;

- обучение персонала безопасному использованию технологии RFID и практикам информационной безопасности для снижения риска утечки данных или несанкционированного доступа;

- разработка и соблюдение процедур утилизации RFID-меток.

Выводы

Риски перехвата трафика RFID и дистанционного управления предоставляют серьезную угрозу информационной безопасности. Эффективная защита от неправомерного воздействия предполагает комплексный подход, включающий в себя сочетание различных методов.

В данной научной статье рассмотрены особенности активных и пассивных RFID-меток, криптографические методы защиты, механизмы идентификации и аутентификации, использования неперепрограммируемых меток. Установлено, что повышение безопасности технологий RFID невозможно без соблюдения международных и национальных стандартов, а также разработки и утверждения внутренней политики организации в отношении радиочастотной идентификации.

Статья подчеркивает важность обеспечения безопасности систем RFID и дистанционного управления в контексте потенциального роста уровня внедрения технологий RFID в различные сферы.

Цель проекта

Разработать и верифицировать модель генерации и проверки электронной подписи по алгоритму RSA с использованием математического ПО Maple для обеспечения целостности и аутентичности цифровых данных.

Задачи проекта

1. Реализовать функции конвертации текста в числовой формат (`str_to_num_eng`) и обратно (`num_to_str_eng`) на основе кодов ASCII.

2. Сгенерировать ключевую пару RSA: секретный и открытый.

3. Создать электронную подпись для сообщения “VAN”.

4. Проверить подлинность подписи с помощью открытого ключа.

5. Проанализировать работу криптографических функций Maple.

Шифрование RSA (Rivest-Shamir-Adleman) — это широко используемая криптосистема с открытым ключом, основанная на сложности разложения больших чисел на множители. «Большие числа», используемые в современных системах RSA, обычно имеют длину более 300 знаков после запятой или 1024 бит, и их чрезвычайно трудно разложить на множители с помощью алгоритмов и вычислительной мощности, доступных в настоящее время. Такие системы избавляют от необходимости в общем ключе. Обмен информацией инициируется держателем приватного ключа. Любая сторона, желающая отправить сообщение, может зашифровать отправляемое сообщение с помощью открытого ключа. Только держатель закрытого ключа может расшифровать зашифрованный текст; Сложность разложения на множители таких больших чисел делает практически невозможным для перехватывающих сторон расшифровку сообщения.

Реализация функций преобразования текста

Для работы алгоритма RSA разработаны функции:

- «str_to_num_eng(s)» – конвертирует строку в число путём преобразования каждого символа в двузначный код ASCII (смещённый на 64):

Пример:

(т.к. Ord(“A”)=65 → 65-64=01).

- «num_to_str_eng(n)» – выполняет обратное преобразование:

Пример:

Генерация ключей RSA

1. Выбор простых чисел:

2. Расчёт модуля и функции Эйлера:

3. Выбор открытой экспоненты `e` (взаимно простое с `phi`):

1 означает, что условие выполнено.

4. Расчёт секретной экспоненты `d` через расширенный алгоритм Евклида:

Создание и проверка подписи для сообщения “VAN”

1. Преобразование текста в число:

2. Генерация подписи:

3. Верификация подписью:

Вывод

Моделирование в Maple подтвердило работоспособность алгоритма RSA для создания и проверки ЭЦП. Ключевые особенности:

• функции «str_to_num_eng»/ «num_to_str_eng» обеспечивают корректное преобразование текста;
  
• генерация ключей с использованием «nextprime», «igcdex» гарантирует криптостойкость;
• применение теоремы Эйлера (M^ed ≡ M mod n) обеспечивает верификацию подписи.

Электронные подписи на основе RSA широко используются в ЭДО, цифровых сертификатах (TLS), блокчейне и защищённых коммуникациях.

Современные информационные технологии немыслимы без защиты данных. Передача информации в сети Интернет постоянно сопровождается угрозой перехвата. Классический способ защиты, симметричное шифрование, требует наличия общего секретного ключа у обеих сторон. Однако возникает проблема: каким образом передать ключ по открытому каналу, если он может быть перехвачен злоумышленником?

Эта задача долгое время оставалась неразрешимой, пока в 1976 году американские исследователи Уитфилд Диффи и Мартин Хеллман не предложили революционное решение. Их алгоритм позволил двум сторонам договориться о ключе, не передавая его напрямую.

Теоретические основы алгоритма

Алгоритм Диффи-Хеллмана основан на свойствах модульной арифметики и трудности решения задачи дискретного логарифмирования. Пусть даны:
- простое число n;
- число q, являющееся первообразным корнем по модулю n.
Две стороны выбирают свои секретные числа:
- сторона A выбирает α;
- сторона B выбирает β.

Затем каждая сторона вычисляет своё «публичное» значение:
A = q^α mod n
B = q^β mod n

Эти значения передаются по открытому каналу. Далее каждая сторона вычисляет общий ключ:
K_A = B^α mod n
K_B = A^β mod n

В силу свойств степеней, ключи совпадают: K_A = K_B = q^(α*β) mod n.

Злоумышленник, даже перехватив A и B, сталкивается с задачей дискретного логарифмирования – вычисления α или β по известным данным. Для больших чисел эта задача практически неразрешима.

Историческая справка

Работа Диффи и Хеллмана 1976 года стала основой современной криптографии с открытым ключом. Именно их идея породила такие алгоритмы, как RSA и ElGamal. Алгоритм Диффи-Хеллмана применяется в:
- протоколах защищённого веб-соединения (TLS/SSL);
- виртуальных частных сетях (VPN);
- мессенджерах (Signal, WhatsApp);
- криптовалютных системах.

Таким образом, он является краеугольным камнем в обеспечении безопасности Интернета.

Постановка задачи

В данной работе требуется смоделировать процесс генерации общего ключа по индивидуальному варианту:

- n = 167
- q = 13
- α = 51
- β = 37

Далее необходимо использовать полученный ключ для шифрования и дешифрования текста методом Цезаря.

Ход работы

1. Вычисление публичных значений:
A = 13^51 mod 167 = 24
B = 13^37 mod 167 = 38

2. Выработка общего ключа:
K_A = 38^51 mod 167 = 97
K_B = 24^37 mod 167 = 97

Общий секретный ключ: K = 97.

3. Демонстрация в Maple:

with(NumberTheory):
n := 167: q := 13: alpha := 51: beta := 37:
A := PowerMod(q, alpha, n);
B := PowerMod(q, beta, n);
KA := PowerMod(B, alpha, n);
KB := PowerMod(A, beta, n);

Результат: A = 24, B = 38, KA = 97, KB = 97.

4. Шифрование Цезарем:
Сообщение: CRYPTOGRAPHY IS POWER
Сдвиг по ключу: 97 mod 26 = 19
Зашифрованный текст: VLRIIGZKYIBR BL IFNJA
Расшифрованный текст: CRYPTOGRAPHY IS POWER

Анализ результатов

Полученный ключ K = 97 совпал у обеих сторон, что подтверждает корректность работы алгоритма. Использование шифра Цезаря показало практическое применение ключа для симметричного шифрования.

Хотя алгоритм Цезаря носит учебный характер, в реальных системах на основе Диффи-Хеллмана используются гораздо более сложные алгоритмы, обеспечивающие надёжную защиту данных.

Заключение

В работе был рассмотрен алгоритм Диффи-Хеллмана, позволяющий формировать общий секретный ключ по открытому каналу. Были подробно разобраны теоретические основы метода, исторический контекст и практическое применение. В Maple смоделирован процесс выработки ключа для индивидуального варианта: n = 167, q = 13, α = 51, β = 37.

Общий ключ составил K = 97. На его основе был выполнен пример симметричного шифрования с использованием шифра Цезаря.

Таким образом, лабораторная работа не только закрепила теоретические знания о криптографических протоколах, но и показала их практическое значение для защиты информации.

Научный руководитель: Вильданов А.Н., канд.физ.-мат. наук

Введение

Современная криптография представляет собой сложный синтез математической теории и практического программирования. Для студентов, изучающих вопросы информационной безопасности, ключевой задачей является не только

теоретическое ознакомление с алгоритмами, но и их глубокое понимание через практическую реализацию. Одним из краеугольных камней в области криптографии с открытым ключом является протокол Диффи — Хеллмана, впервые

Введение

Протокол Диффи–Хеллмана был впервые опубликован в 1976 году и стал основой асимметричной криптографии. Его основная цель — установление общего секретного ключа без передачи этого ключа напрямую. После генерации ключа он может использоваться для симметричного шифрования сообщений.

Система Maple предоставляет удобные инструменты для работы с числами большой разрядности, операциями по модулю и степенями. Благодаря этому она является удобной платформой для моделирования и изучения криптографических протоколов

Главная задача — безопасно установить общий секретный ключ между двумя сторонами (например, Алиса и Боб), не передавая сам ключ по сети. Этот ключ затем может использоваться для симметричного шифрования сообщений

Алгоритм основан на свойствах дискретного логарифма в конечных полях. Простыми словами, он использует математические функции, которые легко вычислить в одну сторону, но крайне трудно обратить.

Этапы работы алгоритма:

1. Выбор общих параметров:

• Простое число p (модуль)
• Число g — первообразный корень по модулю p

Эти значения могут быть открыты (известны всем участникам).

2. Генерация закрытых ключей:

• Алиса выбирает случайное число a (закрытый ключ)
• Боб выбирает случайное число b (закрытый ключ)

3. Генерация открытых ключей:

• Алиса вычисляет: A=g^a mod  p
• Боб вычисляет: B=g^b mod  p

Эти значения отправляются друг другу по сети.

4. Вычисление общего секрета:

• Алиса получает B и вычисляет: s=B^a mod  p
• Боб получает A и вычисляет: s=A^b mod  p

В обоих случаях получается один и тот же секретный ключ s, который можно использовать для шифрования сообщений.

Хотя открытые ключи A и B, а также параметры p и g известны, злоумышленнику, чтобы получить секретный ключ s, нужно решить задачу дискретного логарифмирования:

Найти a, зная A=g^a mod  p, что вычислительно сложно при достаточно больших значениях p.

Хотя алгоритм Диффи — Хеллмана сам по себе надёжен, он уязвим к атаке «человек посередине» (MITM), если стороны не аутентифицируют друг друга.

Пример:

Злоумышленник перехватывает ключи и подставляет свои значения, устанавливая отдельные ключи с каждой стороной. Чтобы избежать этого, используется:

• Электронная подпись
• Сертификаты (в протоколах TLS)
• Аутентифицированные версии алгоритма (например, STS — Station-to-Station Protocol)

Реализация алгоритма Диффи–Хеллмана в Maple:

Задание параметров

p := 23:
g := 5:

Генерация закрытых и открытых ключей

# Закрытые ключи
Alice_a := 6:
Bob_b := 15:

# Открытые ключи
Alice_A := PowerMod(g, Alice_a, p):
Bob_B := PowerMod(g, Bob_b, p):

Обмен и вычисление общего секрета

# Алиса вычисляет общий секрет
t1 := PowerMod(Bob_B, Alice_a, p):

# Боб вычисляет общий секрет
t2 := PowerMod(Alice_A, Bob_b, p):

В результате (t1 = t2 = s), что подтверждает корректность протокола.

Алгоритм Диффи — Хеллмана широко используется в:

• TLS/SSL — для защиты HTTPS-соединений
• VPN — в протоколах IPsec, IKE
• SSH — для обмена ключами
• PGP/GPG — в системах шифрования электронной почты

Также существует модификация — эллиптический Диффи — Хеллман (ECDH), использующий эллиптические кривые для повышения безопасности при меньших размерах ключей.

Пример с большими числами в Maple:

p := randprime(10^50..10^51):
g := 2:
Alice_a := rand(10^20..10^21)():
Bob_b := rand(10^20..10^21)():
Alice_A := PowerMod(g, Alice_a, p):
Bob_B := PowerMod(g, Bob_b, p):
Secret1 := PowerMod(Bob_B, Alice_a, p):
Secret2 := PowerMod(Alice_A, Bob_b, p):

При таких значениях вычисление дискретного логарифма злоумышленником становится практически невозможным.

Интересные факты

• Протокол Диффи — Хеллмана стал первым примером асимметричной криптографии, предвосхитив появление RSA.
• Несмотря на то, что был опубликован в 1976 году, британская разведка разработала аналогичную схему ещё в 1970-х, но хранила её в секрете.

Заключение

Алгоритм Диффи — Хеллмана — краеугольный камень современной криптографии. Он позволил людям впервые обмениваться секретами по открытому каналу, не боясь перехвата. Хотя сегодня существуют более сложные и безопасные протоколы, DH-протокол остаётся фундаментом, на котором строится множество современных технологий защиты данных.

Современное развитие информационных технологий сопровождается ростом объёма передаваемых данных и необходимостью обеспечения их защиты. Одной из ключевых задач является подтверждение подлинности информации и её целостности. Для решения данной задачи широко применяется электронная подпись, которая позволяет удостовериться в том, что сообщение не было изменено и действительно отправлено заявленным автором.

Одним из наиболее распространённых алгоритмов электронной подписи является RSA. Его надёжность основана на сложности факторизации больших чисел, что делает невозможным подбор закрытого ключа за разумное время при использовании достаточно больших параметров. Алгоритм применяется в различных системах защиты информации, включая электронный документооборот, банковские операции и системы аутентификации.

В рамках работы была реализована модель создания электронной подписи с использованием алгоритма RSA в среде Maple. На первом этапе выполняется преобразование текстового сообщения в числовой формат, так как все криптографические операции выполняются над числами. Для этого используются специальные функции, основанные на кодировании символов с помощью таблицы ASCII. Каждому символу ставится в соответствие числовой код, после чего формируется единое числовое представление строки.

Рисунок 1. Функция перевода строки в число

Рисунок 2. Функция обратного преобразования

В качестве исходного сообщения используется строка «VAN». После преобразования получено числовое значение:

M = 220114

Далее выполняется генерация ключей алгоритма RSA. Для этого выбираются два простых числа p и q. В данной работе они автоматически определяются с помощью функции поиска следующего простого числа:

p = 1009
q = 1013

На их основе вычисляется модуль:

n = p · q = 1022117

и значение функции Эйлера:

φ(n) = (p − 1)(q − 1) = 1020096

Рисунок 3. Скриншот из Maple

Следующим этапом является выбор открытого ключа e, который должен быть взаимно простым с φ(n). В работе используется значение:

e = 1019

Проверка показала, что gcd(e, φ(n)) = 1, что удовлетворяет условиям алгоритма. Далее с помощью расширенного алгоритма Евклида вычисляется закрытый ключ d:

d = 397427

После генерации ключей выполняется создание электронной подписи. Для этого исходное числовое сообщение возводится в степень d по модулю n:

C = M^d mod n = 877653

Полученное значение является электронной подписью сообщения.

Для проверки подлинности подписи выполняется обратная операция: возведение подписи в степень e по модулю n:

MI = C^e mod n = 220114

Результат совпадает с исходным значением M, что подтверждает корректность подписи. В программной реализации также предусмотрена автоматическая проверка, которая выводит сообщение об успешном выполнении.

Рисунок 4. Скриншот из Maple

Таким образом, подписанное сообщение можно представить в следующем виде: исходный текст «VAN», его числовое представление 220114, подпись 877653 и открытый ключ (e = 1019, n = 1022117). Любой пользователь, обладающий открытым ключом, может проверить подлинность подписи.

В ходе выполнения работы был подробно изучен алгоритм RSA и реализованы все его основные этапы: преобразование данных, генерация ключей, создание и проверка электронной подписи. Практическая реализация показала, что алгоритм корректно функционирует и может быть использован для защиты информации. Несмотря на использование относительно небольших чисел в учебных целях, принцип работы полностью соответствует реальным криптографическим системам.

Полученные знания позволяют лучше понять основы современной криптографии и могут быть применены при разработке защищённых информационных систем, а также при дальнейшем изучении методов шифрования и электронной подписи.