Автореферат (Модели и методы комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации), страница 3

2. Классификация злоумышленников.10КриптографическиесредстваПо доступности информациио криптоалгоритмеКриптсистемы ограниченногоиспользованияКриптосистемы общегоиспользованияПо количеству ключейБесключевыеОдноключевыеДвухключевыеМногоключевыеПо стойкости криптоалгоритмаБезусловно стойкиеДоказуемо стойкиеПредположительно стойкиеПо используемым средствам шифрованияПрограммныеАппаратныеПрограммно-аппаратныеПо наличию сертификата ФАПСИСертифицированныеНесертифицированныеПо типу ключевого носителяТокеныСмарткартыГибкие дискиРеестр WindowsРис. 4.

Классификациякриптографических средствРис. 3. Классификация атакФайловаясистемаВ разделе 2.5 описана разработанная модель угроз, позволяющая выделитьмножество наиболее опасных атак и отличающаяся от существующих тем,что является формализованной, расширяемой и основывается на разработанных классификациях.

Пусть Ι : C × Α → [0; 1] — функция ущерба от примененияатаки a ∈ Α к криптосистеме c ∈ C . Семейство функций Ι gh : Cg × Ah → ℝ + ,g = 1, 6 , h = 1, 9 , где ℝ + - множество неотрицательных действительных чисел,задает уровень взаимного влияния параметра криптосистемы cg и параметраатаки ah :— Ι gh (c, a) = 0 , если атака со значением параметра a ∈ Ah не применима к криптосистеме со значением параметра c ∈ Cg ;— 0 < Ι gh (c, a) < 1 , если значение параметра криптосистемы c ∈ Cg снижает вероятность успешного применения атаки со значением параметра a ∈ Ah ;— Ι gh (c, a ) = 1 , если значение параметра криптосистемы c ∈ Cg не влияет наприменимость атаки с параметром a ∈ Ah ;— Ι gh (c, a ) > 1 , если значение параметра криптосистемы c ∈ Cg указывает на то,что атака с параметром a ∈ Ah применима для ее взлома.Множество значений Ι gh задаётся на основе экспертных оценок. Обозначим через Ι gh : Cg × Ah → [0; 1] нормированную функцию:Ι gh (c, a ) =Ι gh (c, a )∑Ιgh(ξ , a )ξ ∈CgПусть Ρ : Β× Α → [0; 1] - вероятность того, что злоумышленник b ∈ Β предпримет атаку a ∈ Α , т.е.

обладает ресурсами для ее осуществления и сочтетэту атаку целесообразной, а функция Ρth задает уровень взаимного влиянияпараметра злоумышленника bt и параметра атаки ah и определяется аналогично функции Ι gh . .Поскольку задача оценки способности криптосистемы противостоять всемвозможным атакам является невыполнимой вследствие ограниченности ресурсов в распоряжении аудитора системы защиты, для выделения основныхугроз предлагается использовать разработанную модель и методы качественного анализа рисков.

Пусть функция ℜ : Α× Β× C → [0; 1] задает рискообразующий потенциал атаки a ∈ Α при попытке взлома криптосистемы c∈ C зло-умышленником b ∈ Β . Тогда общая формула для определения рискообразующего потенциала атаки имеет вид: ℜ( a, b, c ) = min  ∏ Ι gh (cg , ah ) ⋅ ∏ Ρ th (bt , ah ) h =1,9t =1,6 g =1,6Криптосистема c ∈ C подвержена атаке a ∈ Α со стороны злоумышленника b ∈ Β , если ℜ(a, b, c) > θ , т.е. рискообразующий потенциал превышает заданное пороговое значение θ ∈ [0; 1] .

Значение θ является настраиваемым параметром модели угроз и задается с учетом критичности защищаемых данныхи средств злоумышленника и/или аудитора системы защиты.В разделе 2.6 приведены результаты сравнения существующих методовобоснования инвестиций в средства обеспечения ИБ.

Выделен набор финансово-экономических показателей для оценки эффективности СКЗИ с экономических позиций.В разделе 2.7 проведен анализ разработанного метода и выявлены его основные достоинства, в т.ч.:— применимость для коммерческих организаций различного масштаба;— наличие комплексного подхода к оценке рисков, основанного на формализованном процессе оценки качества криптосистемы и модели угроз;— возможность экономического обоснования расходов организации на обеспечение ИБ и непрерывности бизнеса с использованием криптозащитыТретья глава посвящена анализу и повышению эффективности методовкриптоанализа асимметричных шифров. Криптостойкость асимметричныхметодов шифрования имеет наибольшее значение для функционирования механизмов, используемых в финансовых системах.

Разработка новых и усовершенствование существующих методов криптоанализа является теоретической базой для создания инструментальных средств криптоанализа, которыеиспользуются на этапе 2 разработанного комплексного процесса комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации.В разделе 3.1 приведен обзор методов решения задач факторизации и дискретного логарифмирования, на трудноразрешимости которых основанастойкость современных алгоритмов асимметричной криптографии.В разделе 3.2 на основе анализа алгоритмов дискретного логарифмирования «index-calculus», использующих факторную базу, выделены два направления повышения их эффективности:— исследование структуры матриц системы линейных уравнений (СЛУ) вклассе вычетов (КВ), полученных в результате поиска гладких элементов;— анализ применимости существующих алгоритмов решения СЛУ в КВ ксистемам, возникающим при дискретном логарифмировании с использованием методов «index-calculus».На основе известного теоретического положения1 (вероятность того, чтоцелое число, произвольным образом выбранное из диапазона от 1 до x , является y -гладким ( y ≤ x ), асимптотически (при x → ∞ ) стремится к u −u , гдеu = log x log y ) выдвинута гипотеза 1 о структуре матриц СЛУ в КВ, полу1Das A.

The discrete logarithm problem and its application to cryptography, Workshop on Cryptography and Datasecurity, Jun 200013ченных в результате поиска гладких элементов: это неравномерно разреженные СЛУ больших размеров, причем плотность заполнения столбцов, соответствующих самым малым простым числам из факторной базы, очень высока, а столбцы, соответствующие большим простым числам, сильно разрежены.

Никакая перестановка не позволяет привести матрицу такой структуры к специальному виду (ленточной, блочно-диагональной и др.), для которых разработаны эффективные методы хранения и решения.На основе анализа существующих алгоритмов поставлена задача разработки нового алгоритма, который эффективно использует свойство разреженности матриц; применим для решения СЛУ как в простых полях, так и вКВ; не требует факторизации; имеет лучшие оценки временной сложности,чем существующие методы.В разделе 3.3 предложен новый алгоритм решения СЛУ в КВ, представляющий собой модификацию метода Жордана и в общем виде описанный нарис. 5.

Для простоты рассмотрен случай, когда число уравнений системыравно числу неизвестных. Алгоритм легко модифицируется для решения системы, имеющей матрицу произвольного размера.Модиф _ Жордан( A, p )1.n ← Число _ Строк ( A)2.i←n3.ДЛЯ j = i + 1, n ЦИКЛ4.5.6.7.8.9.10.11.12.13.14. НОД ( aii , a ji ) = aii ⋅ x ′ + a ji ⋅ y ′ВЫЧИСЛИТЬ x ′, y ′, r ′, s′ : 0 = aii ⋅ r ′ + a ji ⋅ s′ A(i, ∗)   x ′ A( j, ∗)  ←  r ′ y ′   A(i, ∗) ×s′   A( j, ∗) ЕСЛИ коэффициент aii необратим в Z p−1ТО выйти из алгоритма {матрица вырождена}ИНАЧЕ {обнуляем все элементы i − го столбца выше ведущего}A(i , ∗) ← A(i, ∗) ⋅ aii −1A ( j , ∗) ← A ( j, ∗) − A ( i , ∗) ⋅ a ji ,i ← i −1ЕСЛИ i > 1j = 1, i − 1ТО перейти к шагу 2;ИНАЧЕ вернуть( A )Рис. 5. Разработанный алгоритм решения СЛУ в КВДоказательство корректности алгоритма. Поскольку преобразованияматрицы в описанном модифицированном алгоритме базируются на элементарных преобразованиях строк матрицы (умножение любой строки матрицына обратимый элемент кольца; прибавление к любой ее строке другой строки,умноженной на произвольный элемент кольца; транспозиция строк), то полученная на выходе алгоритма матрица строчно эквивалентна исходной.

То-14гда по утверждению2 соответствующие системы уравнений являются равносильными. Что и требовалось доказать. ■В табл. 2 представлены результаты сравнения для системы n уравнений сtm неизвестными в кольце вычетов Z p−1 , p − 1 = ∏ qkα k асимптотической вреk =1менной сложности предложенного алгоритма и аналогов, описанных в современной литературе – детерминированных (в отличие вероятностных3) алгоритмов решения СЛУ в полях Галуа и кольцах вычетов. Для вывода формулы оценки сложности предложенного алгоритма Θ ( n ⋅ ( nm + log p ) ) былаиспользована оценка временной сложности алгоритма Евклида4T (a, b) = Θ (1 + logϕ ( b НОД (a, b) ) ) , где a > b ≥ 0, ϕ = (1 + 5) 2 .

Описаниевывода формулы приведено в подразделе 3.3.3. диссертации.Оценка временной сложности метода сведения к семейству систем надполями дана при условии использования для разложения на множители числаp − 1 наиболее эффективного на сегодняшний день4 алгоритма «квадратичного решета» Померанца, имеющего временную сложность L ( p )1+o (1) , гдеL( p) = eln p ln ln p.На основе полученных оценок выдвинута гипотеза 2 о существенной зависимости времени работы разработанного алгоритма от порядка исключения неизвестных для матриц, полученных в результате поискагладких элементов, а именно: при обработке матрицы от старших коэффициентов к младшим («обратный ход») алгоритм закончит работу в c>1 разбыстрее, чем от младших к старшим (при «прямом ходе»).Таблица 2.Временная сложность алгоритмов решения СЛУ в КВАлгоритмМодифицированный методЖорданаМетод сведения к семействусистем над полямиМетод сведения к системедиофантовых уравнений (с построением матрицы Смита)Временная сложностьΘ ( n ⋅ ( nm + log p ) )tΘ  n ⋅ (n ⋅ m ⋅ ∑ α k + log p ) + ln p ln ln p ⋅ ek =1(Θ n m log p22ln p ln ln p)Четвертая глава работы посвящена практической реализации важногокомпонента комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации - набора инструментальных средств, позволяющих оценить способность криптографических2Глухов М.М., Елизаров В.П., Нечаев А.А.