RU2295199C1 - Method for generation of encryption/decryption key - Google Patents

Method for generation of encryption/decryption key Download PDF

Info

Publication number
RU2295199C1
RU2295199C1 RU2005126661/09A RU2005126661A RU2295199C1 RU 2295199 C1 RU2295199 C1 RU 2295199C1 RU 2005126661/09 A RU2005126661/09 A RU 2005126661/09A RU 2005126661 A RU2005126661 A RU 2005126661A RU 2295199 C1 RU2295199 C1 RU 2295199C1
Authority
RU
Russia
Prior art keywords
block
blocks
code
decoded
characters
Prior art date
Application number
RU2005126661/09A
Other languages
Russian (ru)
Inventor
Михаил Васильевич Бакаев (RU)
Михаил Васильевич Бакаев
Виктор Алексеевич Яковлев (RU)
Виктор Алексеевич ЯКОВЛЕВ
Original Assignee
ВОЕННАЯ АКАДЕМИЯ СВЯЗИ им. С.М. Буденого
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ВОЕННАЯ АКАДЕМИЯ СВЯЗИ им. С.М. Буденого filed Critical ВОЕННАЯ АКАДЕМИЯ СВЯЗИ им. С.М. Буденого
Priority to RU2005126661/09A priority Critical patent/RU2295199C1/en
Application granted granted Critical
Publication of RU2295199C1 publication Critical patent/RU2295199C1/en

Links

Images

Abstract

FIELD: cryptography, possible use as separate element during construction of symmetric cryptographic systems, meant for transferring encrypted speech, sound, television and other messages.
SUBSTANCE: for realization of method at transferring side of communication guiding a random series is generated in form of three blocks X1,X2,X3 with lengths of k1,k2,k3 respectively. Series is transferred with errors via communication channel (Y1,Y2,Y3 - received blocks). Blocks of checking symbols C1 and C2 are formed for blocks X1 and X2. Message SC1+C2 is formed by concatenating blocks C1 and C2. Authenticator w for received message is formed, using a checking code and block Y3. Blocks of checking symbols C1 and C2 are selected from received message SC1+C2. from blocks Y1, Y2 received in advance via communication channel with errors and blocks of checking symbols C1 and C2 decoded blocks
Figure 00000004
. Encryption/decryption keys are generated at receiving and transferring communication guiding sides by hashing block X1 at transferring communication guiding side and decoded block
Figure 00000005
at receiving communication guiding side.
EFFECT: decreased time consumed by generation of encryption/decryption key, increased resistance of generated encryption/decryption key to discrediting by a violator.
6 cl, 37 dwg

Description

Изобретение относится к области криптографии, а именно к формированию ключа шифрования/дешифрования (КлШД), и может быть использовано в качестве отдельного элемента при построении симметричных криптографических систем, предназначенных для передачи шифрованных речевых, звуковых, телевизионных и др. сообщений.The invention relates to the field of cryptography, in particular to the formation of an encryption / decryption key (CLSD), and can be used as a separate element in the construction of symmetric cryptographic systems designed to transmit encrypted speech, sound, television and other messages.

Предлагаемый способ формирования КлШД может использоваться в криптографических системах в случае отсутствия или потери криптосвязности (Криптосвязность - наличие у законных сторон одинакового КлШД.) между законными сторонами направления связи (Законные стороны НС - т.е. санкционированные участники обмена информации) (НС) или установления криптосвязности между новыми законными сторонами НС (ЗСНС) при ведении нарушителем перехвата, модификации и подмены информации, передаваемой по открытым каналам связи.The proposed method for generating CDS can be used in cryptographic systems if there is no or loss of crypto connection (Crypto connection is the presence of the same CSD between the legitimate parties) between the legitimate parties in the direction of communication (legitimate parties of the National Assembly - that is, authorized participants in the exchange of information) (NS) or establishment cryptocurrencies between new legitimate parties of the National Assembly (ZSNS) when the violator conducts the interception, modification and substitution of information transmitted through open communication channels.

Известен способ формирования КлШД, описанный в книге У.Диффи "Первые десять лет криптографии с открытым ключом", ТИИЭР, 1988, т.76, №5, с.57-58. Известный способ заключается в предварительном распределении между законными сторонами направления связи чисел α и β, где α - простое число и 1≤β≤α-1. Передающая сторона НС (ПерСНС) и приемная сторона НС (ПрСНС), независимо друг от друга, выбирают случайные числа ХА и ХB соответственно, которые хранят в секрете и затем формируют числа на основе ХA, α, β на ПерСНС и ХB, α, β на ПрСНС. ЗСНС обмениваются полученными числами по каналам связи без ошибок. После получения чисел корреспондентов законные стороны преобразовывают полученные числа с использованием своих секретных чисел в единый КлШД. Способ позволяет шифровать информацию во время каждого сеанса связи на новых КлШД (т.е. исключает хранение ключевой информации на носителях) и сравнительно быстро сформировать КлШД при использовании одного незащищенного канала связи.There is a known method for the formation of CLSD described in the book of W. Diffie "The First Ten Years of Public Key Cryptography", TIIER, 1988, v. 76, No. 5, pp. 57-58. The known method consists in the preliminary distribution between the legal parties of the direction of communication of the numbers α and β, where α is a prime number and 1≤β≤α-1. The transmitting side of the NS (PerSNS) and the receiving side of the NS (PrSNS), independently from each other, choose random numbers X A and X B, respectively, which are kept secret and then form numbers based on X A , α, β on PersNS and X B , α, β on PrSNS. ZSNS exchange the received numbers on communication channels without errors. After receiving the numbers of correspondents, the legal parties convert the received numbers using their secret numbers into a single CLSD. The method allows you to encrypt information during each communication session on new CLSD (that is, excludes the storage of key information on media) and relatively quickly form CLDS using one unprotected communication channel.

Однако известный способ обладает низкой стойкостью КлШД к компрометации (Стойкость КлШД к компрометации - способность криптографической системы противостоять попыткам нарушителя получить КлШД, который сформирован и используется законными сторонами НС, при использовании нарушителем информации о КлШД, полученной в результате перехвата, хищения и утраты носителей, разглашения, анализа и т.д.), время действия КлШД ограничено продолжительностью одного сеанса связи или его части, некорректное распределение чисел α и β приводит к невозможности формирования КлШД.However, the known method has low resistance to CLSD to compromise (Resistance to CLSD to compromise is the ability of the cryptographic system to resist attempts by an intruder to obtain CLSD, which is generated and used by the legitimate parties of the National Assembly, when the intruder uses information about CLSD obtained from interception, theft and loss of media, disclosure , analysis, etc.), the operation time of the CL is limited by the duration of one communication session or part thereof, an incorrect distribution of the numbers α and β leads to impossible ti KlShD formation.

Известен также способ формирования КлШД при использовании квантового канала связи [Патент US №5515438, H 04 L 9/00 от 07.05.96], который позволяет автоматически сформировать КлШД без дополнительных мер по рассылке (доставке) предварительной последовательности. Известный способ заключается в использовании принципа неопределенности квантовой физики и формирует КлШД, посредством передачи фотонов по квантовому каналу. Способ обеспечивает получение КлШД с высокой стойкостью к компрометации, осуществляет гарантированный контроль наличия и степени перехвата КлШД.There is also a known method for generating CLD using a quantum communication channel [US Patent No. 5515438, H 04 L 9/00 of 05/07/96], which allows the automatic formation of CLD without additional measures for sending (delivering) a preliminary sequence. The known method consists in using the uncertainty principle of quantum physics and generates a CDS by means of photon transmission through a quantum channel. The method provides receiving CWSD with high resistance to compromise, provides guaranteed control of the presence and degree of interception of CWSD.

Однако реализация известного способа требует высокоточной аппаратуры, что обуславливает высокую стоимость его реализации. Кроме этого, КлШД по данному способу может быть сформирован при использовании волоконно-оптических линий связи ограниченной длины, что существенно ограничивает область применение его на практике.However, the implementation of the known method requires high-precision equipment, which leads to the high cost of its implementation. In addition, CLSh by this method can be formed using fiber-optic communication lines of limited length, which significantly limits the scope of its application in practice.

Наиболее близким по технической сущности к заявляемому способу формирования КлШД является способ формирования КлШД на основе информационного различия [Патент РФ №2183051, H 04 L 9/00 от 27.05.02].Closest to the technical nature of the claimed method for the formation of CLSD is the method of forming CLSD based on the information difference [RF Patent No. 2183051, H 04 L 9/00 of 05/27/02].

Способ-прототип заключается в формировании исходной последовательности (ИП), кодировании ее, выделении из кодированной исходной последовательности блока проверочных символов, передаче его по каналу связи без ошибок и формировании декодированной последовательности, а из исходной и декодированной последовательностей формируют ключ шифрования/дешифрования.The prototype method consists in generating an initial sequence (IP), encoding it, extracting a block of check symbols from the encoded source sequence, transmitting it over the communication channel without errors and generating a decoded sequence, and the encryption / decryption key is formed from the original and decoded sequences.

Для формирования ИП L раз, где L>104 - выбранная первичная длина исходной последовательности, на передающей стороне направления связи формируют зашумляющий блок двоичных символов. Передают зашумляющий блок двоичных символов по каналу связи с ошибками на приемную сторону направления связи. На приемной стороне направления связи генерируют случайный бит. Формируют из случайного бита кодовое слово. Формируют зашумленное кодовое слово (ЗКС) путем поразрядного суммирования по модулю 2 принятого зашумляющего блока двоичных символов и сформированного кодового слова. Передают зашумленное кодовое слово по обратному каналу связи без ошибок на передающую сторону направления связи. На передающей стороне направления связи из зашумленного кодового слова формируют принятое кодовое слово путем поразрядного суммирования по модулю 2 зашумляющего блока двоичных символов и зашумленного кодового слова. Формируют из принятого кодового слова принятый бит и бит подтверждения F. Передают бит подтверждения по прямому каналу без ошибок на приемную сторону направления связи. При бите подтверждения F, равном нулю, сгенерированный случайный бит и принятый бит стирают соответственно на приемной и передающей сторонах направления связи. При бите подтверждения F, равном единице, сгенерированный случайный бит и принятый бит запоминают соответственно на приемной и передающей сторонах направления связи в качестве i-х элементов, где i=1, 2, 3,..., L-U, исходной и предварительной последовательностей, где U - количество стертых символов при формировании исходной и предварительной последовательностей. Декодированную последовательность на передающей стороне направления связи формируют из предварительной последовательности. После формирования исходной и декодированной последовательностей на передающей стороне направления связи формируют функцию хеширования последовательностей. Передают функцию хеширования последовательностей по прямому каналу связи без ошибок на приемную сторону направления связи. Ключи шифрования/дешифрования на приемной и передающей сторонах направления связи формируют путем хеширования исходной и декодированной последовательностей по сформированной на передающей стороне направления связи функции хеширования последовательностей. Затем на приемной стороне направления связи стирают исходную последовательность. На передающей стороне направления связи стирают декодированную и предварительную последовательности. Исходную последовательность на приемной стороне направления связи кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, порождающая матрица которого имеет размерность К×N, причем N>К. При кодировании исходной последовательности предварительно разделяют ее на Y подблоков длиной К двоичных символов, где Y=(L-U)/К. Затем, последовательно, начиная с 1-го до Y-го из каждого j-го подблока, где j=1, 2, 3,..., Y, формируют j-й кодовый блок длиной N двоичных символов перемножением j-го подблока на порождающую матрицу. Из j-го кодового блока выделяют j-й подблок проверочных символов длиной N- К двоичных символов. Запоминают j-й подблок проверочных символов в качестве j-го подблока блока проверочных символов кодированной исходной последовательности. Размеры К и N порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода выбирают К=2m-1-m и N=2m-1, где m≥3. При формировании зашумляющего блока двоичных символов (ЗБДС) на передающей стороне направления связи каждый i-й бит зашумляющего блока двоичных символов, где i=1, 2, 3,..., М+1, генерируют случайным образом, где М≥1. Для формирования кодового слова сгенерированный случайный бит повторяют М раз, где М≥1. Принятому биту присваивают значение первого бита принятого кодового слова. Для формирования бита подтверждения F первый бит принятого кодового слова сравнивают с последующими М битами принятого кодового слова. Затем при наличии М совпадений первого бита принятого кодового слова с М битами принятого кодового слова биту подтверждения F присваивают значение единица. При наличии хотя бы одного несовпадения первого бита принятого кодового слова с М битами принятого кодового слова биту подтверждения F присваивают значение ноль. Для формирования декодированной последовательности на передающей стороне направления связи предварительную последовательность декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, проверочная матрица которого имеет размерность (N-К)×N, причем N>К. При формировании декодированной последовательности предварительную последовательность и блок проверочных символов кодированной исходной последовательности разделяют на Y соответствующих пар декодируемых подблоков и подблоков проверочных символов, где Y=(L-U)/K. Длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно К и N-К двоичных символов. Затем формируют Y принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к j-му декодируемому подблоку j-го подблока проверочных символов, где j=1, 2, 3,..., Y. Затем последовательно, начиная с 1-го до Y-го, вычисляют j-и синдром S длины N- К двоичных символов перемножением j-го принятого кодового блока на транспонированную проверочную матрицу. По полученному j-му синдрому S исправляют ошибки в j-м декодируемом подблоке. Затем j-й декодируемый подблок запоминают в качестве j-го подблока декодированной последовательности. Выбирают размеры К и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода K=2m-1-m и N=2m-1, где m≥3. Функцию хеширования последовательностей на передающей стороне направления связи формируют в виде двоичной матрицы G размерности (L-U)×Т, где Т≥64 - длина формируемого ключа шифрования/дешифрования. Каждый из элементов двоичной матрицы G генерируют случайным образом. Функцию хеширования последовательностей передают последовательно, начиная с 1-й по (L-U)-ю строки двоичной матрицы G. При формировании ключа шифрования/дешифрования предварительно на приемной стороне направления связи двоичную матрицу G и исходную последовательность разделяют на W соответствующих пар подматриц размерности Р×Т, где Р=(L-U)/W, и подблоков исходной последовательности длиной Р двоичных символов. При формировании ключа шифрования/дешифрования предварительно на передающей стороне направления связи двоичную матрицу G и декодированную последовательность разделяют на W соответствующих пар подматриц размерности Р×Т, где Р=(L-U)/W, и подблоков декодированной последовательности длиной Р двоичных символов. Затем, начиная с 1-го до W-й, вычисляют z-й первичный ключ длины T двоичных символов, где z=1, 2, 3,..., W, перемножением z-го подблока исходной последовательности на z-ю подматрицу Сz на приемной стороне направления связи и z-го подблока декодированной последовательности на z-ю подматрицу Gz на передающей стороне направления связи. Формируют ключ шифрования/дешифрования путем поразрядного суммирования по модулю два W первичных ключей на приемной и передающей сторонах направления связи.To form the IP L times, where L> 10 4 is the selected primary length of the initial sequence, a noisy block of binary symbols is formed on the transmitting side of the communication direction. A noisy block of binary symbols is transmitted over the communication channel with errors to the receiving side of the communication direction. A random bit is generated at the receiving side of the communication direction. A codeword is formed from a random bit. A noisy codeword (CKS) is generated by bitwise summation modulo 2 of the received noisy binary symbol block and the generated codeword. A noisy codeword is transmitted over the reverse communication channel without error to the transmitting side of the communication direction. On the transmitting side of the communication direction, a received codeword is formed from a noisy codeword by bitwise summing modulo 2 of a noisy binary symbol block and a noisy codeword. The received bit and the confirmation bit F are formed from the received codeword. The confirmation bit is transmitted on the forward channel without errors to the receiving side of the communication direction. When the confirmation bit F is equal to zero, the generated random bit and the received bit are erased respectively on the receiving and transmitting sides of the communication direction. When the confirmation bit F is equal to one, the generated random bit and the received bit are stored respectively on the receiving and transmitting sides of the communication direction as i elements, where i = 1, 2, 3, ..., LU, the initial and preliminary sequences, where U is the number of erased characters in the formation of the initial and preliminary sequences. The decoded sequence on the transmitting side of the communication direction is formed from a preliminary sequence. After the initial and decoded sequences are generated, the hashing function of the sequences is formed on the transmitting side of the communication direction. The sequence hashing function is transmitted over the forward communication channel without errors to the receiving side of the communication direction. The encryption / decryption keys on the receiving and transmitting sides of the communication direction are generated by hashing the original and decoded sequences using the sequence hashing function generated on the transmitting side of the communication direction. Then, on the receiving side of the communication direction, the original sequence is erased. On the transmitting side of the communication direction, the decoded and preliminary sequences are erased. The initial sequence on the receiving side of the communication direction is encoded by a linear block systematic binary noise-immunity (N, K) code, the generating matrix of which has dimension K × N, with N> K. When encoding the original sequence, it is preliminarily divided into Y subblocks of length K of binary symbols, where Y = (LU) / K. Then, sequentially, starting from the 1st to the Yth of each j-th subunit, where j = 1, 2, 3, ..., Y, form the j-th code block with a length of N binary characters by multiplying the j-th subunit on the generating matrix. From the j-th code block, the j-th sub-block of check symbols with a length of N-K binary characters is extracted. The j-th sub-block of check symbols is stored as the j-th sub-block of the block of check symbols of the encoded source sequence. The sizes K and N of the generating matrix of a linear block systematic binary noise-immunity (N, K) code are chosen K = 2 m -1-m and N = 2 m -1, where m≥3. When generating a noisy binary symbol block (BAC) on the transmitting side of the communication direction, every ith bit of the noisy binary symbol block, where i = 1, 2, 3, ..., M + 1, is randomly generated, where M≥1. To generate a codeword, the generated random bit is repeated M times, where M≥1. The received bit is assigned the value of the first bit of the received codeword. To form a confirmation bit F, the first bit of the received codeword is compared with the subsequent M bits of the received codeword. Then, if there are M matches of the first bit of the received codeword with M bits of the received codeword, the confirmation bit F is assigned a value of one. If there is at least one mismatch of the first bit of the received codeword with M bits of the received codeword, the confirmation bit F is assigned a value of zero. To form a decoded sequence on the transmitting side of the communication direction, the preliminary sequence is decoded by a linear block systematic binary noise-resistant (N, K) code, the verification matrix of which has the dimension (N-K) × N, with N> K. When forming the decoded sequence, the preliminary sequence and the block of check symbols of the encoded source sequence are divided into Y corresponding pairs of decoded sub-blocks and sub-blocks of check symbols, where Y = (LU) / K. The lengths of the decoded subblocks and subblocks of the check symbols are selected equal to K and N-K binary symbols, respectively. Then, Y received code blocks with a length of N binary symbols are formed by concatenating to the jth decoded subunit of the jth subunit of verification symbols to the right, where j = 1, 2, 3, ..., Y. Then, sequentially, starting from the 1st to Yth, calculate the jth syndrome S of length N- K binary characters by multiplying the jth received code block by the transposed check matrix. According to the obtained jth syndrome S, errors in the jth decoded subunit are corrected. Then, the jth decoded subblock is stored as the jth subblock of the decoded sequence. Select the sizes K and N of the verification matrix of the linear block systematic binary noise-immunity (N, K) code K = 2 m -1-m and N = 2 m -1, where m≥3. The hashing function of the sequences on the transmitting side of the communication direction is formed in the form of a binary matrix G of dimension (LU) × T, where T≥64 is the length of the generated encryption / decryption key. Each of the elements of the binary matrix G is randomly generated. The sequence hashing function is transmitted sequentially, starting from the 1st through the (LU) th row of the binary matrix G. When generating the encryption / decryption key, the binary matrix G and the initial sequence are divided into W of the corresponding pairs of P × T dimension submatrices on the receiving side of the communication direction where P = (LU) / W, and subblocks of the original sequence of length B of binary characters. When generating the encryption / decryption key previously on the transmitting side of the communication direction, the binary matrix G and the decoded sequence are divided into W of the corresponding pairs of submatrices of dimension P × T, where P = (LU) / W, and subblocks of the decoded sequence of length B of binary symbols. Then, starting from the 1st to the Wth, the zth primary key of length T of binary symbols is calculated, where z = 1, 2, 3, ..., W, by multiplying the zth subblock of the original sequence by the zth submatrix With z on the receiving side of the communication direction and the zth subblock of the decoded sequence on the zth submatrix G z on the transmitting side of the communication direction. An encryption / decryption key is formed by bitwise summing modulo two W primary keys on the receiving and transmitting sides of the communication direction.

Недостатком прототипа заявленного способа является большое время формирования КлШД, что объясняется необходимостью передачи функции хэширования по каналу связи без ошибок. Известный способ имеет относительно высокую вероятность навязывания нарушителем ложных сообщений, что объясняется использованием дополнительной процедуры аутентификации. Каналы без ошибок, используемые в способе-прототипе, считаются защищенными методами аутентификации принимаемых сообщений (Аутентификация сообщений - процесс подтверждения подлинности (отсутствия фальсификации или искажения) произвольных сообщений, принятых из канала связи.), что требует наличия ключей аутентификации у корреспондентов до начала реализации способа формирования КлШД. По этой причине корреспонденты, не имеющие ключей аутентификации, не могут сформировать КлШД, обеспечивающий стойкость к компрометации, из-за высокой вероятности навязывания нарушителем ложных сообщений.The disadvantage of the prototype of the claimed method is the long time for the formation of CLSD, which is explained by the need to transfer the hashing function over the communication channel without errors. The known method has a relatively high probability of imposing false messages by the intruder, which is explained by the use of an additional authentication procedure. Error-free channels used in the prototype method are considered protected by authentication methods of received messages (Message authentication - authentication process (lack of falsification or distortion) of arbitrary messages received from a communication channel.), Which requires the presence of authentication keys from correspondents before the implementation of the method the formation of CLS. For this reason, correspondents who do not have authentication keys cannot form a CLS, which provides resistance to compromise, due to the high probability of the intruder imposing false messages.

Целью заявленного технического решения является разработка способа формирования КлШД, обеспечивающего снижение времени, необходимого для формирования КлШД, и повышение стойкости сформированного КлШД к компрометации со стороны нарушителя.The purpose of the claimed technical solution is to develop a method for generating CLSD, which reduces the time required for the formation of CLSD, and increases the resistance of the formed CLSD to compromise by the intruder.

Поставленная цель достигается тем, что в известном способе формирования КлШД, заключающемся в том, что формируют случайную последовательность на передающей стороне направления связи, передают ее по каналу связи с ошибками на приемную сторону направления связи, формируют блок проверочных символов для сформированной случайной последовательности, передают его по каналу связи без ошибок на приемную сторону направления связи, где формируют декодированную последовательность, а из случайной и декодированной последовательностей формируют ключ шифрования/дешифрования, случайную последовательность на передающей стороне направления связи формируют в виде трех блоков Х1, Х2, Х3, с длинами k1, k2, k3 соответственно. Причем k1>l, k1=k2,

Figure 00000006
, где l - длина формируемого ключа шифрования/дешифрования, (N, К) и (Na, Ka) - предварительно заданные на передающей и приемной сторонах направления связи линейные блоковые систематические двоичные помехоустойчивые коды, порождающие матрицы которых имеют соответственно размерности К×N и Кa×Na, причем N>К и Naа. Передают по каналу связи с ошибками три блока Х1, Х2, Х3, которые принимают на приемной стороне направления связи в виде блоков Y1, Y2, Y3. Формируют на передающей стороне направления связи для первого Х1 и второго X2 блоков блоки проверочных символов С1 и С2 с длинами r1 и r2 соответственно, где
Figure 00000007
и
Figure 00000008
. Затем формируют сообщение
Figure 00000009
длиной (r1+r2) путем конкатенации блоков проверочных символов C1 и С2. После чего формируют аутентификатор w для сообщения
Figure 00000009
. Передают сообщение
Figure 00000009
и его аутентификатор w по каналу связи без ошибок на приемную сторону направления связи. На приемной стороне направления связи формируют аутентификатор w' для принятого сообщения. А также формируют вектор V путем суммирования по модулю два принятого w и сформированного w' аутентификаторов. Вычисляют вес w(V) вектора V путем подсчета его ненулевых элементов и сравнивают полученный вес w(V) с предварительно заданным пороговым значением веса w(V)пор. При w(V)>w(V)пор процесс формирования ключа шифрования/дешифрования прерывают, а при w(V)<w(V)пор на приемной стороне направления связи из принятого сообщения
Figure 00000009
выделяют блоки проверочных символов С1 и С2, путем разбиения принятого сообщения
Figure 00000009
на две равные части. На приемной стороне направления связи из ранее принятых по каналу связи с ошибками блоков Y1, Y2 и блоков проверочных символов C1 и С2 формируют декодированные блоки
Figure 00000010
После чего формируют ключи шифрования/дешифрования на приемной и передающей сторонах направления связи путем хэширования блока X1 на передающей стороне направления связи и декодированного блока
Figure 00000011
на приемной стороне направления связи.This goal is achieved by the fact that in the known method of generating CLSD, which consists in generating a random sequence on the transmitting side of the communication direction, transmitting it via the communication channel with errors to the receiving side of the communication direction, forming a block of check symbols for the generated random sequence, transmitting it through the communication channel without errors to the receiving side of the communication direction, where a decoded sequence is formed, and from random and decoded sequences form spanner encryption / decryption random sequence on the transmission side communication direction is formed as three blocks X 1, X 2, X 3, with lengths k 1, k 2, k 3, respectively. Moreover, k 1 > l, k 1 = k 2 ,
Figure 00000006
, where l is the length of the generated encryption / decryption key, (N, K) and (N a , K a ) are linear block systematic binary noise-resistant codes pre-defined on the transmitting and receiving sides of the communication direction, the generating matrices of which have corresponding dimensions K × N and K a × N a , with N> K and N a > K a . Three blocks X 1 , X 2 , X 3 , which are received on the receiving side of the communication direction in the form of blocks Y 1 , Y 2 , Y 3 , are transmitted over the communication channel with errors. Forms on the transmitting side of the communication direction for the first X 1 and second X 2 blocks are blocks of check symbols C 1 and C 2 with lengths r 1 and r 2, respectively, where
Figure 00000007
and
Figure 00000008
. Then form a message
Figure 00000009
length (r 1 + r 2 ) by concatenating blocks of check symbols C 1 and C 2 . Then form the authenticator w for the message
Figure 00000009
. Send message
Figure 00000009
and its authenticator w over the communication channel without errors to the receiving side of the communication direction. At the receiving side of the communication direction, an authenticator w ′ is formed for the received message. And also form a vector V by summing modulo two received w and formed w 'authenticators. The weight w (V) of the vector V is calculated by counting its nonzero elements and the resulting weight w (V) is compared with a predetermined threshold weight value w (V) of the pores . When w (V)> w (V) then the encryption / decryption key generation process is interrupted, and when w (V) <w (V) then on the receiving side of the communication direction from the received message
Figure 00000009
blocks of check symbols C 1 and C 2 are allocated by splitting the received message
Figure 00000009
into two equal parts. On the receiving side of the communication direction from the previously received through the communication channel with errors blocks Y 1 , Y 2 and blocks of check symbols C 1 and C 2 form decoded blocks
Figure 00000010
After that, encryption / decryption keys are formed on the receiving and transmitting sides of the communication direction by hashing the block X 1 on the transmitting side of the communication direction and the decoded block
Figure 00000011
on the receiving side of the communication direction.

Для формирования блока проверочных символов С1 длиной r1 для блока X1 кодируют блок Х1 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом. Для чего разделяют блок Х1 на Т1=k1/K подблоков по К символов в каждом. Формируют из каждого i-го подблока, где i=1, 2,..., T1, i-й кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности К×N линейного блокового систематического двоичного помехоустойчивого (N, К) кода. Затем выделяют из i-го кодового подблока i-й подблок проверочных символов длиной (N-К) символов. Совокупность из T1 подблоков проверочных символов образует блок проверочных символов С1 для блока X1.For the formation of 1 block length r parity block 1 X 1 X 1 encoding unit systematic linear block error-correcting binary (N, K) code. Why divide the block X 1 into T 1 = k 1 / K sub-blocks of K characters in each. Form from each i-th subblock, where i = 1, 2, ..., T 1 , the i-th code subblock is N characters long by multiplying the i-th subblock by a linear block systematic binary noise-tolerant linear matrix matrix K × N (N , K) code. Then, the i-th sub-block of check symbols of length (N-K) characters is extracted from the i-th code sub-block. The set of T 1 sub-blocks of check characters forms a block of check characters C 1 for block X 1 .

Для формирования блока проверочных символов С2 длиной r2 для блока Х2, кодируют блок Х2 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом. Для чего разделяют блок Х2 на Т2=k2/K подблоков по К символов в каждом. Формируют из каждого i-го подблока, где i=1, 2,..., T2, i-й кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности К×N линейного блокового систематического двоичного помехоустойчивого (N, К) кода. Затем выделяют из i-го кодового подблока i-й подблок проверочных символов длиной (N-К) символов. Совокупность из T2 подблоков проверочных символов образует блок проверочных символов C2 для блока X2.To form the parity block length C 2 r 2 for the block X 2, X 2 encode unit systematic linear block error-correcting binary (N, K) code. Why divide the block X 2 into T 2 = k 2 / K sub-blocks of K characters in each. Form from each i-th subblock, where i = 1, 2, ..., T 2 , the i-th code subblock is N characters long by multiplying the i-th subblock by a generating block matrix of dimension K × N of a linear block systematic binary noise-tolerant (N , K) code. Then, the i-th sub-block of check symbols of length (N-K) characters is extracted from the i-th code sub-block. The set of T 2 sub-blocks of check symbols forms a block of check characters C 2 for block X 2 .

Для формирования на передающей стороне аутентификатора w сообщения

Figure 00000009
, кодируют сообщение
Figure 00000009
линейным блоковым систематическим двоичным помехоустойчивым (Na, Ка) кодом. Для чего разделяют сообщение
Figure 00000009
на Tа=(r1+r2)/Ка блоков по Кa символов в каждом. Формируют из каждого j-го блока, где j=1, 2,..., Tа, j-й кодовый блок длиной Na символов, перемножением j-го блока на порождающую матрицу размерности Кa×Na линейного блокового систематического двоичного помехоустойчивого (Na, Кa) кода. Формируют кодовое слово для сообщения
Figure 00000009
, в виде последовательности, состоящей из Tа кодовых блоков. Затем преобразуют кодовое слово для сообщения
Figure 00000009
путем замены в нем символов "0" на "01", а символов "1" на "10". Присваивают каждому символу преобразованного кодового слова и соответствующему символу блока X3 порядковые номера s, где s=1, 2,..., 2NaTa. Запоминают s-й символ блока X3, если в преобразованном кодовом слове, s-й символ равен 1. Последовательность запомненных символов блока Х3 образует аутентификатор w.To form messages on the transmitting side of the authenticator w
Figure 00000009
encode message
Figure 00000009
linear block systematic binary noise-immunity (N a , K a ) code. Why share the message
Figure 00000009
on T a = (r 1 + r 2 ) / K a blocks of K a characters in each. Form from each j-th block, where j = 1, 2, ..., T a , the j-th code block of length N a characters, by multiplying the j-th block by the generating matrix of dimension K a × N a linear block systematic binary noise-resistant (N a , K a ) code. Form a code word for the message
Figure 00000009
, in the form of a sequence consisting of T a code blocks. The codeword for the message is then converted.
Figure 00000009
by replacing the characters "0" with "01" in it, and the characters "1" with "10". Each symbol of the transformed codeword and the corresponding symbol of block X 3 are assigned serial numbers s, where s = 1, 2, ..., 2N a T a . The s-th character of block X 3 is remembered if the s-th character is equal to 1 in the transformed codeword. The sequence of stored characters of block X 3 forms the authenticator w.

Для формирования на приемной стороне направления связи декодированного блока

Figure 00000011
из принятого блока Y1 и блока проверочных символов С1 декодируют принятый блок Y1 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом. Для чего разделяют принятый блок Y1 и блок проверочных символов С1 на T1 соответствующих пар декодируемых и проверочных подблоков, где Т1=k1/K. Длины декодируемых подблоков и проверочных подблоков выбирают равными соответственно К и (N-К) двоичных символов. Формируют Т1 принятых кодовых подблоков длиной N двоичных символов путем конкатенации справа к t-му декодируемому подблоку t-го проверочного подблока, где t=1, 2, 3,..., Т1. Вычисляют последовательно, начиная с t-го до T1-го, t-й синдром S длины (N-К) двоичных символов перемножением t-го принятого кодового подблока на транспонированную проверочную матрицу. Исправляют по полученному t-му синдрому S ошибки в t-м декодируемом подблоке. Запоминают t-й декодируемый подблок в качестве t-го подблока декодированного блока
Figure 00000011
.For forming on the receiving side of the communication direction of the decoded block
Figure 00000011
from the received block Y 1 and the block of check symbols C 1 decode the received block Y 1 linear block systematic binary noise-resistant (N, K) code. For this, the received block Y 1 and the block of check symbols C 1 to T 1 are divided into corresponding pairs of decoded and check subblocks, where T 1 = k 1 / K. The lengths of decoded subblocks and test subblocks are chosen equal to K and (N-K) binary symbols, respectively. Form T 1 received code subblocks of length N binary characters by concatenating to the right of the t-th decoded sub-block of the t-th verification sub-block, where t = 1, 2, 3, ..., T 1 . Sequentially, starting from the t-th to T- 1 , t-th syndrome S of the length (N-K) of binary symbols is calculated by multiplying the t-th received code sub-block by the transposed check matrix. According to the received t-th syndrome S errors are corrected in the t-th decoded subunit. Remember the t-th decoded sub-block as the t-th sub-block of the decoded block
Figure 00000011
.

Для формирования ключа шифрования/дешифрования путем хеширования на передающей стороне направления связи перемножают блоки Х1 и Х2. На приемной стороне перемножают декодированные блоки

Figure 00000012
После чего из полученных после перемножения последовательностей выделяют l младших разрядов.To generate the encryption / decryption key by hashing on the transmitting side of the communication direction, the blocks X 1 and X 2 are multiplied. At the receiving side, decoded blocks are multiplied.
Figure 00000012
Then, from the sequences obtained after multiplication, l lower digits are distinguished.

Указанная новая совокупность существенных признаков обеспечивает возможность аутентификации передаваемых сообщений по открытым каналам связи, на основе случайно сформированного блока Х3 и соответствующего ему блока Y3, принятого по каналу с ошибками, что позволит повысить стойкость формируемого КлШД к компрометации по отношению к нарушителю. И снижение времени формирования КлШД, путем применения нового класса хэш-функций и передачи их по каналам с ошибками.The indicated new set of essential features enables authentication of transmitted messages over open communication channels, based on a randomly generated block X 3 and a corresponding block Y 3 received over the channel with errors, which will increase the resistance of the generated CDS to compromise with respect to the intruder. And reducing the time of formation of CLSD by applying a new class of hash functions and transmitting them through channels with errors.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного решения, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности "новизна".The analysis of the prior art made it possible to establish that analogues that are characterized by a combination of features identical to all the features of the claimed solution are absent, which indicates the compliance of the claimed method with the condition of patentability "novelty".

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного способа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototype of the claimed method showed that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention transformations to achieve the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".

Заявленный способ поясняется фигурами, на которых показаны:The claimed method is illustrated by figures, which show:

- на фигуре 1 - обобщенная структурная схема НС, применяемого в заявленном способе;- figure 1 is a generalized structural diagram of the NS used in the claimed method;

- на фигуре 2 - временная диаграмма сформированной случайной последовательности в виде блоков Х1, Х2, Х3;- figure 2 is a timing chart of the generated random sequence in the form of blocks X 1 , X 2 , X 3 ;

- на фигуре 3 - временная диаграмма вектора ошибок в канале связи с ошибками;- figure 3 is a timing chart of the vector of errors in the communication channel with errors;

- на фигуре 4 - временная диаграмма принятой по каналу с ошибками случайной последовательности в виде блоков Y1, Y2, Y3;- in figure 4 is a timing diagram of a random sequence received over the channel with errors in the form of blocks Y 1 , Y 2 , Y 3 ;

- на фигуре 5 - вид порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода;- figure 5 is a view of the generating matrix of a linear block systematic binary noise-immune (N, K) code;

- на фигуре 6 - временная диаграмма сформированного блока X1, разделенного на Т1 подблоков по К символов;- figure 6 is a timing chart of the generated block X 1 , divided into T 1 sub-blocks of K characters;

- на фигуре 7 - временная диаграмма выделенного i-го подблока блока Х1;- figure 7 is a timing chart of the selected i-th subunit of block X 1 ;

- на фигуре 8 - временная диаграмма формирования i-го кодового подблока длиной N двоичных символов;- figure 8 is a timing diagram of the formation of the i-th code block of length N binary characters;

- на фигуре 9 - временная диаграмма выделения i-го подблока проверочных символов длиной N-К двоичных символов;- figure 9 is a timing diagram of the allocation of the i-th subunit of test characters with a length of N-K binary characters;

- на фигуре 10 - временная диаграмма формирования блока проверочных символов C1;- figure 10 is a timing diagram of the formation of a block of check symbols C 1 ;

- на фигуре 11 - временная диаграмма сформированного блока проверочных символов С2;- figure 11 is a timing chart of the generated block of check symbols With 2 ;

- на фигуре 12 - временная диаграмма формирования сообщения

Figure 00000009
;- figure 12 is a timing diagram of the formation of the message
Figure 00000009
;

- на фигуре 13 - вид порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (Na, Кa) кода;- figure 13 is a view of the generating matrix of a linear block systematic binary noise-immune (N a , K a ) code;

- на фигуре 14 - временная диаграмма сформированного сообщения

Figure 00000009
, разделенного на Тa блоков по Ка символов;- figure 14 is a timing chart of the generated message
Figure 00000009
divided into T a blocks by K a characters;

- на фигуре 15 - временная диаграмма выделенного j-го блока сообщения

Figure 00000009
;- figure 15 is a timing chart of the selected j-th block of the message
Figure 00000009
;

- на фигуре 16 - временная диаграмма формирования j-го кодового блока длиной Na двоичных символов;- figure 16 is a timing diagram of the formation of the j-th code block of length N a binary characters;

- на фигуре 17 - временная диаграмма сформированного кодового слова для сообщения

Figure 00000009
, разделенного на Ta блоков по Na символов;- figure 17 is a timing chart of the generated codeword for the message
Figure 00000009
divided into T a blocks of N a characters;

- на фигуре 18 - временная диаграмма сформированного кодового слова для сообщения;- figure 18 is a timing chart of the generated codeword for the message;

- на фигуре 19 - временная диаграмма формирования преобразованного кодового слова;- figure 19 is a timing diagram of the formation of the converted codeword;

- на фигуре 20 - временная диаграмма сформированного блока Х3,- figure 20 is a timing chart of the formed block X 3 ,

- на фигуре 21 - временная диаграмма формирования аутентификатора w;- figure 21 is a timing diagram of the formation of the authenticator w;

- на фигуре 22 - временная диаграмма конкатенации справа аутентификатора w к сообщению

Figure 00000009
;- figure 22 is a timing diagram of concatenation on the right of the authenticator w to the message
Figure 00000009
;

- на фигуре 23 - временная диаграмма принятого на ПрСНС сообщения

Figure 00000009
и его аутентификатора w;- figure 23 is a timing chart received at PRSNS messages
Figure 00000009
and its authenticator w;

- на фигуре 24 - временная диаграмма сформированного кодового слова для сообщения;- figure 24 is a timing diagram of the generated codeword for the message;

- на фигуре 25 - временная диаграмма принятого блока Y3;- figure 25 is a timing chart of a received block Y 3 ;

- на фигуре 26 - временная диаграмма формирования аутентификатора w';- figure 26 is a timing diagram of the formation of the authenticator w ';

- на фигуре 27 - временная диаграмма формирования вектора V;- figure 27 is a timing diagram of the formation of the vector V;

- на фигуре 28 - временная диаграмма выделения блоков проверочных символов С1 и С2 из сообщения

Figure 00000009
;- figure 28 is a timing chart of the allocation of blocks of check characters With 1 and C 2 from the message
Figure 00000009
;

- на фигуре 29 - временная диаграмма блока проверочных символов С1, разделенного на Т1 подблоков проверочных символов длиной N-К двоичных символов, и выделение из него t-го подблока проверочных символов;- in Fig. 29 is a timing chart of a block of check symbols C 1 divided into T 1 subblocks of check symbols of length N-K binary characters, and the allocation of the t-th sub block of check symbols from it;

- на фигуре 30 - временная диаграмма принятого по каналу с ошибками блока Y1, разделенного на T1 декодируемых подблоков по К символов, и выделение из него t-го декодируемого подблока;- figure 30 is a timing chart of a received channel with errors Y 1 , divided into T 1 decoded subunits of K characters, and the allocation of the t-th decoded subunit from it;

- на фигуре 31 - временная диаграмма конкатенации справа t-го декодируемого подблока и t-го подблока проверочных символов;- figure 31 is a timing diagram of the concatenation on the right of the t-th decoded subunit and the t-th subunit of check symbols;

- на фигуре 32 - временная диаграмма вычисления t-го синдрома S длиной N-К двоичных символов;- figure 32 is a timing diagram of the calculation of the t-th syndrome S of length N-K binary characters;

- на фигуре 33 - временная диаграмма исправления ошибки в t-м декодируемом подблоке по полученному t-му синдрому S;- figure 33 is a timing chart of the error correction in the t-th decoded subunit according to the received t-th syndrome S;

- на фигуре 34 - временная диаграмма формирования декодированной последовательности из Т1 декодируемых подблоков;- figure 34 is a timing diagram of the formation of a decoded sequence of T 1 decoded subunits;

- на фигуре 35 - временная диаграмма сформированного блока X1;- figure 35 is a timing chart of the generated block X 1 ;

- на фигуре 36 - временная диаграмма сформированного блока Х2;- figure 36 is a timing chart of the generated block X 2 ;

- на фигуре 37 - временная диаграмма формирования КлШД Ка.- figure 37 is a timing diagram of the formation of CLSD K a .

На представленных фигурах буквой "А" обозначены действия, происходящие на передающей стороне НС, буквой "В" - на приемной стороне НС. На фигурах заштрихованный импульс представляет собой двоичный символ "1", а не заштрихованный - двоичный символ "0". Знаки "+" и "×" обозначают соответственно сложение и умножение в поле Галуа GF(2). Верхние буквенные индексы обозначают длину последовательности (блока), нижние буквенные индексы обозначают номер элемента в последовательности (блоке).On the presented figures, the letter "A" denotes the actions that occur on the transmitting side of the NS, the letter "B" - on the receiving side of the NS. In the figures, the hatched pulse represents the binary symbol "1", and not the hatched pulse represents the binary symbol "0". The signs “+” and “×” denote addition and multiplication in the Galois field GF (2). Upper letter indices indicate the length of the sequence (block), lower letter indices indicate the number of the element in the sequence (block).

Реализация заявленного способа заключается в следующем. Современные криптосистемы построены по принципу Керкхоффа, описанного, например, в книге Д.Месси, "Введение в современную криптологию", ТИИЭР, т.76, №5, май 1988, с.24, согласно которому полное знание нарушителя включает, кроме, информации, полученной с помощью перехвата, полную информацию о алгоритме взаимодействия законных сторон НС и процессе формирования КлШД. Формирование общего КлШД можно разделить на три основных этапа. Первый этап - обеспечение наличия предварительно сформированных коррелированных последовательностей двоичных символов у законных сторон НС, как исходного материала для формирования КлШД. Предполагается, что у нарушителя имеется своя предварительно сформированная коррелированная последовательность (ПСКП), коррелированная с ПСКП-ми законных сторон НС. Второй этап предназначен для обеспечения формирования КлШД с высокой надежностью. Формирование КлШД с высокой надежностью достигается устранением (исправлением) несовпадающих символов (ошибок) в ПСКП одной законной стороны НС (ПСКП на ПрСНС) относительно ПСКП другой законной стороны НС (ПСКП на ПерСНС), при использовании ЗСНС дополнительной информации о ПСКП (ПСКП на ПрСНС), переданной по каналу связи без ошибок. Предполагается, что нарушитель использует дополнительную информацию для устранения несовпадений в ПСКП-тях ЗСНС для устранения несовпадений в своей ПСКП с последовательностями ЗСНС. Третий этап предназначен для обеспечения формирования КлШД с низким уровнем информации нарушителя о КлШД путем сжатия тождественных последовательностей законных сторон НС, которые были получены ЗСНС после окончания второго этапа. Предполагается, что нарушителю известен алгоритм сжатия последовательностей, который используют ЗСНС. Хранение законными сторонами НС на первом этапе ПСКП-тей приводит к уменьшению стойкости формируемого КлШД к компрометации, т.к. возможно получение нарушителем информации о ПСКП хотя бы одной из законных сторон НС в результате хищения носителей информации, несанкционированного доступа, разглашения информации и др. Это требует выполнения мероприятий по обеспечению надежного хранения полной информации о ПСКП-тях ЗСНС. С другой стороны, при выполнении действий законными сторонами НС второго и третьего этапов для получения КлШД на одних и тех же коротких последовательностях, выделенных из ПСКП-тей ЗСНС, увеличивается вероятность достоверного знания нарушителем сформированного КлШД. Это, также, приводит к уменьшению стойкости формируемого КлШД к компрометации. Кроме этого, при выполнении действий законными сторонами НС по обмену информацией по открытым каналам связи, нарушитель может навязать ЗСНС свой КлШД (или часть КлШД), что приводит к уменьшению стойкости формируемого КлШД к компрометации. Поэтому для формирования КлШД необходимо исключить хранение ПСКП-тей у ЗСНС путем их одновременного формирования, при использовании ЗСНС канала связи с ошибками (возможность формирования КлШД основывается на независимости ошибок, возникающих в канале связи с ошибками законных сторон НС, и ошибок, возникающих в канале перехвата нарушителя), формировать КлШД путем хеширования полученных тождественных последовательностей полной длины.The implementation of the claimed method is as follows. Modern cryptosystems are constructed on the basis of the Kirkhoff principle, described, for example, in the book of D. Messi, "Introduction to Modern Cryptology", TIIER, v. 76, No. 5, May 1988, p.24, according to which the complete knowledge of the violator includes, in addition to, information obtained by interception, complete information about the algorithm for the interaction of the legitimate parties of the National Assembly and the process of formation of CLS. The formation of a common CLSD can be divided into three main stages. The first stage is to ensure the presence of pre-formed correlated sequences of binary symbols for the legitimate parties of the National Assembly, as source material for the formation of CLSD. It is assumed that the violator has its own pre-formed correlated sequence (PSCP), correlated with the PSCP of the legitimate parties of the National Assembly. The second stage is designed to ensure the formation of CLS with high reliability. The formation of CLS with high reliability is achieved by eliminating (correcting) inconsistent characters (errors) in the PSKP of one legitimate NS side (PSKP on PRSNS) relative to PSKP of the other legitimate side NS (PSKP on PRSNS), when using ZSNS additional information on PSKP (PSKP on PRSNS) transmitted over the communication channel without errors. It is assumed that the intruder uses additional information to eliminate inconsistencies in the PSCP-ts of the ZSNS to eliminate inconsistencies in his PSCP-ts with the sequences of the ZSNS. The third stage is designed to ensure the formation of CLS with a low level of information on the CLS by the offender by compressing the identical sequences of the legitimate sides of the NS that were received by the ZSNS after the second stage. It is assumed that the attacker knows the sequence compression algorithm that is used by the MSS. The storage by legal parties of the NS at the first stage of the PSKP-tei leads to a decrease in the resistance of the generated CDS to compromise, because it is possible for an intruder to obtain information about PSCP at least one of the legitimate parties of the National Assembly as a result of theft of information carriers, unauthorized access, disclosure of information, etc. This requires measures to ensure reliable storage of complete information about PSCP-ts ZSNS. On the other hand, when legitimate parties perform actions of the second and third stage NS to obtain CLSD on the same short sequences isolated from the SSPS of the ZSNS, the likelihood of reliable knowledge by the violator of the formed CLSD increases. This, also, leads to a decrease in the resistance of the generated CDS to compromise. In addition, when the legitimate parties of the National Assembly take actions to exchange information through open communication channels, the violator can impose his CLSD (or part of CLSD) on the CSNS, which leads to a decrease in the resistance of the generated CLSD to compromise. Therefore, for the formation of CLSD, it is necessary to exclude the storage of PSCP-tei from the MSS by simultaneously generating them using the MSS of the communication channel with errors (the possibility of generating the MSC is based on the independence of errors arising in the communication channel with errors of the legitimate sides of the NS and errors arising in the interception channel intruder), to form a CWD by hashing the obtained identical sequences of full length.

В заявленном способе формирования ключа шифрования/дешифрования для обеспечения повышенной стойкости сформированного КлШД к компрометации реализуется следующая последовательность действий.In the claimed method of generating an encryption / decryption key to ensure increased resistance of the generated CDS to compromise, the following sequence of actions is implemented.

Нарушитель имеет свой канал перехвата, с помощью которого он получает информацию о переданных блоках Х1, Х2, Х3 по каналу связи с ошибками законных сторон НС (см. фиг.1). Для формирования КлШД с высокой стойкостью к компрометации необходимо создание условий, при которых качество приема в канале связи с ошибками законных сторон НС (т.е. основного канала) будет превосходить качество приема в канале перехвата, т.е. необходимо создать условия, при которых основной канал будет иметь преимущество (лучшее качество приема) по отношению к каналу перехвата. Способы создания таких условий не входят в область, которую рассматривает предлагаемый способ. Известные способы улучшения качества передачи в основном канале по сравнению с качеством канала перехвата описаны, например, в работе В.Коржик, В.Яковлев, А.Синюк, "Протокол выработки ключа с помехами". Проблемы информационной безопасности, Компьютерные системы, №1, СПб: СПбГТУ, 2000, с.52-63.The intruder has his own interception channel, with the help of which he receives information about the transmitted blocks X 1 , X 2 , X 3 through the communication channel with errors of the legitimate parties of the National Assembly (see figure 1). In order to form a CLD with high resistance to compromise, it is necessary to create conditions under which the reception quality in the communication channel with errors of the legitimate sides of the NS (i.e., the main channel) will exceed the reception quality in the interception channel, i.e. it is necessary to create conditions under which the main channel will have an advantage (better reception quality) with respect to the interception channel. Ways to create such conditions are not included in the area considered by the proposed method. Known methods for improving the quality of transmission in the main channel compared to the quality of the interception channel are described, for example, in the work of V. Korzhik, V. Yakovlev, A. Sinyuk, “Protocol for generating a key with interference”. Information Security Problems, Computer Systems, No. 1, St. Petersburg: St. Petersburg State Technical University, 2000, p. 52-63.

На ПерСНС формируют СП в виде трех блоков Х1, Х2, Х3 (см. фиг.2). Известные способы генерирования случайных чисел описаны, например, в книге Д.Кнут, "Искусство программирования для ЭВМ", М., Мир, 1977, т.2, стр.22. Передают блоки Х1, Х2, X3 по каналу связи с ошибками на приемную сторону направления связи (ПрСНС). Временная диаграмма вектора ошибок в канале связи с ошибками показана на фигуре 3. Под термином "вектор ошибок" понимают поразрядную разность между переданным и принятым блоками двоичных символов, как описано, например, в книге А.Зюко, Д.Кловский, М.Назаров, Л.Финк, "Теория передачи сигналов", М., Радио и связь, 1986, стр.93. Принятые по каналу с ошибками блоки Y1, Y2, Y3 показаны на фигуре 4. Известные способы передачи последовательностей по каналам связи с ошибками описаны, например, в книге А.Зюко, Д.Кловский, М.Назаров, Л.Финк, "Теория передачи сигналов", М., Радио и связь, 1986, стр.11.On the PerSNS form a joint venture in the form of three blocks X 1 , X 2 , X 3 (see figure 2). Known methods for generating random numbers are described, for example, in the book of D. Knut, "The Art of Computer Programming", M., Mir, 1977, v.2, p.22. Blocks X 1 , X 2 , X 3 are transmitted over the communication channel with errors to the receiving side of the communication direction (PrSNS). The timing diagram of the error vector in the error communication channel is shown in Figure 3. The term "error vector" refers to the bitwise difference between the transmitted and received blocks of binary symbols, as described, for example, in the book by A. Zyuko, D. Klovsky, M. Nazarov, L. Fink, "Theory of signal transmission", M., Radio and communications, 1986, p. 93. Blocks Y 1 , Y 2 , Y 3 received over the channel with errors are shown in Figure 4. Known methods for transmitting sequences over communication channels with errors are described, for example, in the book by A. Zyuko, D. Klovsky, M. Nazarov, L. Fink, "The theory of signal transmission", M., Radio and communications, 1986, p. 11.

Между сформированными блоками Х1, Х2 на ПерСНС и принятыми блоками Y1, Y2 на ПрСНС остаются несовпадающие символы, что не позволяет ЗСНС приступить к непосредственному формированию КлШД. Устранение этих несовпадений может быть реализовано на основе использования помехоустойчивого кодирования. Однако известные помехоустойчивые коды позволяют кодировать последовательности значительно меньшей длины, чем длины блоков, равные k1, k2 двоичных символов. Для этого применяют последовательное кодирование, т.е. если длины блоков Х1, Х2 велики, например, 105-107 двоичных символов, их разделяют соответственно на T1, T2 подблоков длиной по К символов (см. фиг.6), гдеMismatching characters remain between the generated blocks X 1 , X 2 on the PerSNS and the received blocks Y 1 , Y 2 on the PRSNS, which does not allow the ZSNS to proceed with the direct formation of CLSD. Elimination of these discrepancies can be implemented through the use of error-correcting coding. However, the known error-correcting codes make it possible to encode sequences of significantly shorter length than block lengths equal to k 1 , k 2 binary symbols. For this, sequential coding is used, i.e. if the lengths of the blocks X 1 , X 2 are large, for example, 10 5 -10 7 binary characters, they are divided respectively into T 1 , T 2 sub-blocks of K characters in length (see Fig. 6), where

Figure 00000013
Figure 00000013

Каждый подблок длиной К символов кодируется линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, где К - длина блока информационных символов кода и N - длина кодового блока (см. фиг.7). Линейным двоичным кодом называется код, который построен на основе использования линейных операций в поле GF(2), как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.61. Под термином "блоковый код" понимают код, в котором действия производятся над блоками символов, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.13. Систематическим называется код, в котором кодовое слово начинается с информационных символов, оставшиеся символы кодового слова являются проверочными символами к информационным символам, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.66. Затем формируемые подблоки проверочных символов длиной N - К двоичных символов (см. фиг.8) объединяют в единые блоки проверочных символов C1 и С2 соответственно, с длинами T1(N-К) и T2(N-К) двоичных символов (см. фиг.10). При передаче блоков проверочных символов на ПрСНС и использовании их для устранения несовпадений в блоках Y1 и Y2 то отношению к блокам Х1 и X2 получают декодированные блоки

Figure 00000012
Тогда вероятность ошибочного декодирования блоков Y1 и Y2 может быть определена по формуламEach sub-block of length K symbols is encoded by a linear block systematic binary noise-immunity (N, K) code, where K is the length of the block of information symbols of the code and N is the length of the code block (see Fig. 7). Linear binary code is a code that is built on the basis of the use of linear operations in the GF (2) field, as described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 61. The term "block code" refers to a code in which actions are performed on blocks of characters, as described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 13. A systematic code is one in which the code word begins with information symbols, the remaining symbols of the code word are verification symbols for information symbols, as described, for example, in the book by R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 66. Then, the generated subblocks of check symbols with a length of N - K binary characters (see Fig. 8) are combined into single blocks of check characters C 1 and C 2, respectively, with lengths T 1 (N-K) and T 2 (N-K) of binary characters (see figure 10). When transmitting blocks of check symbols to the PRSNS and using them to eliminate discrepancies in blocks Y 1 and Y 2, then decoded blocks are received with respect to blocks X 1 and X 2
Figure 00000012
Then the probability of erroneous decoding of blocks Y 1 and Y 2 can be determined by the formulas

Figure 00000014
Figure 00000014

Figure 00000015
Figure 00000015

где Ре - вероятность ошибочного декодирования подблока длиной К двоичных символов, определяемая, как описано, например, в работе Korjik V., Moralis-Luna G., Balakirsky V. "Privacy amplification theorem for noisy main channel". Lecture notes in computer science, 2001, №2200, pp.18-26. Если информационная часть кодового слова длиной К символов передается по ДСК с вероятностью ошибки рm, а проверочная часть длиной N-К символов передается по бесшумному каналу, то средняя вероятность ошибки по ансамблю (N, К) - кодов может быть оценена сверху модифицированной границей Галлагераwhere P e is the probability of erroneous decoding of a sub-block of length K of binary characters, determined as described, for example, in Korjik V., Moralis-Luna G., Balakirsky V. "Privacy amplification theorem for noisy main channel". Lecture notes in computer science, 2001, No. 2200, pp. 18-26. If the information part of a code word with a length of K characters is transmitted via DSC with an error probability p m , and the verification part with a length of N-K characters is transmitted through a noiseless channel, then the average probability of error in an ensemble of (N, K) codes can be estimated from above by a modified Gallager boundary

Figure 00000016
Figure 00000016

гдеWhere

Figure 00000017
Figure 00000017

Figure 00000018
Figure 00000018

- функция Галлагера для ДСК с вероятностью ошибки рm,- Gallagher function for DSC with error probability p m ,

Figure 00000019
Figure 00000019

скорость кода.code speed.

В качестве помехоустойчивых кодов могут использоваться широкий класс кодов Боуза-Чоудхури-Хоквингема, коды Хемминга, Рида-Малера, Рида - Соломона и другие линейные блоковые коды, характеризующиеся своими параметрами N, К. Передача блоков проверочных символов C1 и С2 по обратному каналу связи без ошибок дает возможность нарушителю получить дополнительную информацию о КлШД, путем перехвата блоков проверочных символов С1 и С2. Используя их, нарушитель также исправляет часть несовпадений в своей версии перехваченных блоков СП относительно блоков Х1 и Х2.As error-correcting codes, a wide class of Bowes-Chowdhury-Hockingham codes, Hamming, Reed-Mahler, Reed-Solomon codes and other linear block codes characterized by their parameters N, K can be used. Transmission of blocks of check symbols C 1 and C 2 on the reverse channel Communication without errors enables the intruder to obtain additional information about CLSD by intercepting blocks of check symbols C 1 and C 2 . Using them, the intruder also corrects part of the discrepancies in his version of the intercepted blocks of the joint venture with respect to blocks X 1 and X 2 .

Кодирование блока Х1 на ПерСНС заключается в следующем. Предварительно блок Х1 разделяют на Т1 подблоков длиной К двоичных символов, где Т1=k1/K, как показано на фиг.6. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Последовательно, начиная с 1-го до T1-го, каждый i-й подблок блока Х1, где i=1, 2, 3,..., T1, кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом (см. фиг.7). Порождающая матрица кода имеет размерность К×N, причем N>К. Размеры К и N порождающей матрицы линейного блочного систематического двоичного помехоустойчивого (N, К) кода выбирают К=2m-1-m и N=2m-1, где m≥3, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.71. Для кодирования блока X1 каждый i-й подблок длиной К двоичных символов перемножают на порождающую матрицу кода и получают i-й кодовый блок длиной N двоичных символов, как показано на фиг.8. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.63. Из i-го кодового блока выделяют i-й подблок проверочных символов длиной N-К двоичных символов (см. фиг.9). Известные способы выделения блоков фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Запоминают i-й подблок проверочных символов в качестве i-го подблока блока проверочных символов кодированного блока X1. Временная диаграмма формирования блока проверочных символов C1 кодированного блока Х1 показана на фигуре 10. Известные способы хранения последовательности бит описаны, например, в книге Л.Мальцев, Э.Фломберг, В.Ямпольский, "Основы цифровой техники", М., Радио и связь, 1986, стр.38. Аналогичным образом кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом блок Х2 на ПерСНС, разделяя его на T2 подблоков длиной К двоичных символов, где T2=k2/K. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Временная диаграмма сформированного блока проверочных символов С2 кодированного блока Х2 показана на фигуре 11.The coding of block X 1 at PersNS is as follows. Previously, block X 1 is divided into T 1 subblocks of length K of binary symbols, where T 1 = k 1 / K, as shown in Fig.6. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. Consistently, starting from the 1st to T 1st , each i-th sub-block of block X 1 , where i = 1, 2, 3, ..., T 1 , is encoded by a linear block systematic binary noise-immunity (N, K) code (see Fig.7). The generating code matrix has dimension K × N, and N> K. The sizes K and N of the generating matrix of the linear block systematic binary noise-immunity (N, K) code are chosen K = 2 m -1-m and N = 2 m -1, where m≥3, as described, for example, in the book of R. Bleikhut, "Theory and practice of error control codes," M., Mir, 1986, p. 71. To encode a block X 1, each i-th subblock of length K of binary symbols is multiplied by a generating code matrix and an i-th code block of length N of binary symbols is obtained, as shown in FIG. Known methods for error-correcting coding of symbol blocks are described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 63. From the i-th code block, the i-th sub-block of check symbols with the length of N-K binary characters is isolated (see Fig. 9). Known methods for allocating fixed-length blocks are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. The i-th sub-block of check symbols is stored as the i-th sub-block of the block of check symbols of the encoded block X 1 . The timing diagram of the formation of a block of check symbols C 1 of the encoded block X 1 is shown in Figure 10. Known methods for storing a sequence of bits are described, for example, in the book by L. Maltsev, E. Flomberg, V. Yampolsky, "Fundamentals of Digital Technology", M., Radio and Communications, 1986, p. 38. Likewise, a linear block systematic binary error-correcting (N, K) code is encoded into a block X 2 at PerSNS, dividing it into T 2 subblocks of length K of binary symbols, where T 2 = k 2 / K. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. The timing diagram of the generated block of check symbols With 2 encoded block X 2 shown in figure 11.

Нарушитель может подменять или имитировать сообщения, передаваемые в канале связи без ошибок, с целью формирования КлШД общего с одним или обоими корреспондентами. Поэтому информация, передаваемая корреспондентами по каналу связи без ошибок, должна быть аутентифицирована. Для достижения этой цели на ПерСНС формируют сообщение

Figure 00000009
путем конкатенации блоков проверочных символов С1 и С2 (см. фиг.12). Затем разделяют сформированное сообщение
Figure 00000009
на Ta блоков длиной по Ка символов (см. фиг.14), гдеThe intruder can substitute or simulate messages transmitted on the communication channel without errors in order to form a CLSD common with one or both correspondents. Therefore, the information transmitted by correspondents over the communication channel without errors must be authenticated. To achieve this goal, a message is generated at PersNS
Figure 00000009
by concatenating blocks of check symbols C 1 and C 2 (see FIG. 12). The generated message is then split.
Figure 00000009
on T a blocks with a length of K a characters (see Fig. 14), where

Figure 00000020
Figure 00000020

Каждый блок длиной Ка символов кодируют линейным блоковым систематическим двоичным помехоустойчивым (Na, Кa) кодом, где Ка - длина блока информационных символов кода и Na - длина кодового блока (см. фиг.15). Сформированные кодовые блоки (см. фиг.16) образуют кодовое слово для сообщения

Figure 00000009
(см. фиг.17).Each block with a length of K a symbols is encoded by a linear block systematic binary error-correcting (N a , K a ) code, where K a is the length of the block of information symbols of the code and N a is the length of the code block (see Fig. 15). The generated code blocks (see Fig. 16) form a code word for the message
Figure 00000009
(see Fig. 17).

Кодирование сообщения

Figure 00000009
на ПерСНС заключается в следующем. Предварительно сообщение
Figure 00000009
разделяют на Та блоков длиной Ка двоичных символов, где Та=(N-К)(Т12)/Ka, как показано на фиг.14. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Последовательно, начиная с 1-го до Та-го, каждый j-й блок сообщения
Figure 00000009
, где j=1, 2, 3,..., Та, кодируют линейным блоковым систематическим двоичным помехоустойчивым (Na, Кa) кодом (см. фиг.15). Порождающая матрица кода имеет размерность Ка×Na, причем Naa. Размеры Ка и Na порождающей матрицы линейного блочного систематического двоичного помехоустойчивого (Na, Кa) кода выбирают Ка=2m-1-m и Na=2m-1, где m≥3, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.71. Для кодирования сообщения
Figure 00000009
, каждый j-й блок длиной Ка двоичных символов перемножают на порождающую матрицу кода и получают j-й кодовый блок длиной Na двоичных символов, как показано на фиг.16. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.63. Запоминают j-й кодовый блок в качестве j-го блока кодового слова для сообщения
Figure 00000009
. Временная диаграмма формирования кодового слова для сообщения
Figure 00000009
показана на фигуре 17. Известные способы хранения последовательности бит описаны, например, в книге Л.Мальцев, Э.Фломберг, В.Ямпольский, "Основы цифровой техники", M., Радио и связь, 1986, стр.38. Затем преобразуют сформированное кодовое слово для сообщения
Figure 00000009
путем замены в нем символов "0" на "01", а символов "1" на "10" (см. фиг.19). Каждому символу преобразованного кодового слова присваивают порядковый номер s, где s=1, 2,..., NaTa. Аналогичным образом каждому символу блока X3 присваивают порядковый номер s, где, s=1, 2,..., NaTa. Запоминают s-й символ блока Х3, если в преобразованном кодовом слове на s-м месте стоит символ "1". Аутентификатор w образуют как последовательность сохраненных символов блока X3 (см. фиг.21). Далее сообщение
Figure 00000009
и его аутентификатор w передают по открытому каналу связи без ошибок на ПрСНС (см. фиг.22).Message Encoding
Figure 00000009
on PersNS is as follows. Pre message
Figure 00000009
divided into T a blocks of length K a of binary characters, where T a = (N-K) (T 1 + T 2 ) / K a , as shown in FIG. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. Sequentially from the 1st to the T-th and each j-th message block
Figure 00000009
, where j = 1, 2, 3, ..., T a , is encoded by a linear block systematic binary noise-immunity (N a , K a ) code (see Fig. 15). The generating matrix of the code has the dimension K a × N a , and N a > K a . The sizes K a and N a of the generating matrix of the linear block systematic binary noise-immunity (N a , K a ) code are chosen to K a = 2 m -1-m and N a = 2 m -1, where m≥3, as described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes," M., Mir, 1986, p. 71. To encode a message
Figure 00000009
, each j-th block of length K a of binary symbols is multiplied by the generating matrix of the code, and the j-th code block of length N a of binary symbols is obtained, as shown in FIG. Known methods for error-correcting coding of symbol blocks are described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 63. The jth code block is stored as the jth codeword block for the message
Figure 00000009
. Timing diagram for generating a code word for a message
Figure 00000009
shown in figure 17. Known methods for storing a sequence of bits are described, for example, in the book of L. Maltsev, E. Flomberg, V. Yampolsky, "Fundamentals of digital technology", M., Radio and communications, 1986, p. 38. The generated codeword for the message is then converted.
Figure 00000009
by replacing the characters "0" with "01" in it, and the characters "1" with "10" (see Fig. 19). Each symbol of the transformed codeword is assigned a sequence number s, where s = 1, 2, ..., N a T a . Similarly, each symbol of block X 3 is assigned a sequence number s, where, s = 1, 2, ..., N a T a . Remember the s-th character of block X 3 , if the symbol "1" is in the s-th place in the converted codeword. The authenticator w is formed as a sequence of stored characters of block X 3 (see FIG. 21). Next message
Figure 00000009
and its authenticator w is transmitted over the open communication channel without errors to the PRNS (see Fig. 22).

Например, преобразованное кодовое слово для сообщения представим в виде вектора

Figure 00000021
, где υi∈(0, 1), а блок Х3 в виде вектора
Figure 00000022
, где xi∈(0, 1). Тогда аутентификатор
Figure 00000023
, в котором для всех j<na, wij=xj, если υij=1, в противном случае wij не формируется.For example, the transformed codeword for the message is represented as a vector
Figure 00000021
, where υ i ∈ (0, 1), and block X 3 in the form of a vector
Figure 00000022
, where x i ∈ (0, 1). Then authenticator
Figure 00000023
, in which for all j <n a , w ij = x j , if υ ij = 1, otherwise w ij is not formed.

На ПрСНС, получив сообщение

Figure 00000009
и его аутентификатор w (см. фиг.23), формируют аутентификатор w'. Для чего формируют кодовое слово для принятого сообщения
Figure 00000009
, используя линейный блоковый систематический двоичный помехоустойчивый (Na, Kа) код. Преобразуют сформированное кодовое слово для сообщения
Figure 00000009
путем замены в нем символов "0" на "01", а символов "1" на "10". Каждому символу преобразованного кодового слова присваивают порядковый номер s, где s=1, 2,..., 2NaTa. Аналогичным образом каждому символу блока Y3 присваивают порядковый номер s, где s=1, 2,..., 2NaTa. Запоминают s-й символ блока Y3, если в преобразованном кодовом слове на s-м месте стоит символ "1". Аутентификатор w' образуют как последовательность сохраненных символов блока Y3 (см. фиг.26).At PRSN, receiving a message
Figure 00000009
and its authenticator w (see FIG. 23), form the authenticator w '. Why form the code word for the received message
Figure 00000009
using a linear block systematic binary noise-immunity (N a , K a ) code. Convert generated codeword for message
Figure 00000009
by replacing the characters "0" with "01" in it, and the characters "1" with "10". Each symbol of the transformed codeword is assigned a sequence number s, where s = 1, 2, ..., 2N a T a . Similarly, each symbol of block Y 3 is assigned a sequence number s, where s = 1, 2, ..., 2N a T a . The s-th character of block Y 3 is remembered if the symbol "1" is in the s-th place in the converted codeword. The authenticator w 'is formed as a sequence of stored characters of block Y 3 (see Fig. 26).

Для проверки подлинности принятого сообщения, на ПрСНС формируют вектор V путем суммирования по модулю два (как описано, например, в книге У.Питерсон, Э.Уэлдон, "Коды, исправляющие ошибки", М.: Мир, 1976. 34 с.) принятого w и сформированного w' аутентификаторов (см. фиг.27). Вычисляют вес w(V) сформированного вектора V, как, например, описано в книге Мак-Вильямс Ф., Слоэн Н., "Теория кодов, исправляющих ошибки", М., Связь, 1979, 19 с. Затем сравнивают полученное значение веса w(V) с предварительно заданным пороговым значением w(V)пор. Если вес w(V) равен или меньше порогового значения w(V)пор, то сообщение

Figure 00000009
считается подлинным, если больше, сообщение
Figure 00000009
отвергается как ложное.To verify the authenticity of the received message, a vector V is formed on the PRNS by summing modulo two (as described, for example, in the book by W. Peterson, E. Weldon, "Codes Correcting Errors", M .: Mir, 1976. 34 pp.) received w and generated w 'authenticators (see FIG. 27). The weight w (V) of the generated vector V is calculated, as, for example, described in the book by Mc-Williams F., Sloane N., "Theory of error-correcting codes", M., Communication, 1979, 19 pp. Then, the obtained weight value w (V) is compared with a predetermined threshold value w (V) of pores . If the weight w (V) is equal to or less than the threshold value w (V) then the message
Figure 00000009
deemed genuine if greater
Figure 00000009
rejected as false.

Описанная процедура аутентификации впервые была предложена в работе Maurer U., "Information-theoretically secure secret-key agreement by NOT authenticated public discussion", Advances in Cryptology - EUROCRYPT 97, Berlin, Germany: Springer-Verlag, 1997, vol.1233, pp.209-225, и получила название аутентифицирующих помехоустойчивых кодов (АП-код).The authentication procedure described was first proposed by Maurer U., "Information-theoretically secure secret-key agreement by NOT authenticated public discussion", Advances in Cryptology - EUROCRYPT 97, Berlin, Germany: Springer-Verlag, 1997, vol. 1233, pp .209-225, and was called authenticating error-correcting codes (AP code).

Основными характеристиками АП-кода являются:The main characteristics of the AP code are:

Рло - вероятность ложного отклонения переданного сообщения, когда нарушитель не вмешивался в процесс передачи.R lo - the probability of false rejection of the transmitted message when the intruder did not interfere in the transmission process.

Pн - вероятность успешного навязывания ложного сообщения.P n - the probability of successfully imposing a false message.

Устойчивость к навязыванию ложных сообщений зависит от так называемого асимметричного кодового расстояния d01, которое определяется числом переходов из 0 в 1 между кодовыми словами, соответствующими истинному

Figure 00000024
и ложному
Figure 00000025
сообщениям.The resistance to the imposition of false messages depends on the so-called asymmetric code distance d 01 , which is determined by the number of transitions from 0 to 1 between code words corresponding to true
Figure 00000024
and false
Figure 00000025
to messages.

Если (nа, ka) - код имеет постоянный вес τ и асимметричное кодовое расстояние d01, то характеристики АП-кода определяются соотношениями (см. работу Korjik V., Bakin M. "Information theoretically secure keyless authentication", IEEE on Information Theory Symposium 2000, Sorrento, Italy, July):If the (n a , k a ) - code has a constant weight τ and an asymmetric code distance d 01 , then the characteristics of the AP code are determined by the relations (see Korjik V., Bakin M. "Information theoretically secure keyless authentication", IEEE on Information Theory Symposium 2000, Sorrento, Italy, July):

Figure 00000026
Figure 00000026

Figure 00000027
Figure 00000027

В описанном выше способе построения АП-кода (кодирование сообщения линейным блоковым систематическим двоичным помехоустойчивым (Na, Ka) кодом и замены в нем символов "0" на "01", а символов "1" на "10") асимметричное кодовое расстояние d01 совпадает с минимальным расстоянием кода d, которое может быть найдено, например, с помощью границы Варшамова-Гильберта, как описано в книге Мак-Вильямс Ф., Слоэн Н. "Теория кодов, исправляющих ошибки", M.: Связь, 1979, 539 с.In the above described method of constructing an AP-code (encoding messages linear block systematic binary error-correcting (N a, K a) code and replacing it characters "0" to "01" and the symbols "1" to "10") an asymmetrical code distance d 01 coincides with the minimum distance of the code d, which can be found, for example, using the Warsaw-Hilbert boundary, as described in the book by Mc Williams F., Sloane N. "Theory of error correction codes", M .: Communication, 1979 , 539 p.

Figure 00000028
Figure 00000028

где g(p)=-plog(p)-(1-p)log(1-p) - энтропийная функция.where g (p) = - plog (p) - (1-p) log (1-p) is the entropy function.

Вес τ всех преобразованных кодовых слов постоянен и равен длине кодового слова для сообщения

Figure 00000009
.The weight τ of all converted codewords is constant and equal to the length of the codeword for the message
Figure 00000009
.

При подлинности сообщения

Figure 00000009
на ПрСНС выделяют блоки проверочных символов C1 и C2, путем разбиения принятого сообщения
Figure 00000009
на две равные части (см. фиг.28). Затем, используя полученные блоки проверочных символов С1 и С2, производят исправление ошибок в принятых ранее по каналу с ошибками блоков Y1, Y2 путем их декодирования. Процедуру декодирования осуществляют следующим образом.When authenticating a message
Figure 00000009
blocks of check symbols C 1 and C 2 are allocated to the PRSNS by splitting the received message
Figure 00000009
into two equal parts (see Fig. 28). Then, using the obtained blocks of check symbols C 1 and C 2 , error correction is made in the previously received error channel Y 1 , Y 2 by decoding them on the channel. The decoding procedure is as follows.

Блок Y1 и блок проверочных символов С1 разделяют на T1 соответствующих пар декодируемых подблоков (см. фиг.30) и подблоков проверочных символов (см. фиг.29), где Т1=k1/K. Длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно К и N-К двоичных символов. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", M., Высшая школа, 1987, стр.208. Формируют Т1 принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к t-му декодируемому подблоку t-го подблока проверочных символов, где t=1, 2, 3,..., T1, как показано на фиг.31. Каждый из T1 принятых кодовых блоков декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом (см. фиг.31). Проверочная матрица кода имеет размерность (N-К)×N, причем N>К. Выбирают размеры К и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода К=2m-1-m и N=2m-1, где m≥3, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.71. Последовательно, начиная с 1-го до Т1-го, вычисляют t-й синдром S длины N-К двоичных символов перемножением t-го принятого кодового блока на транспонированную проверочную матрицу. Временная диаграмма вычисления t-го синдрома S длиной N-К двоичных символов показана на фигуре 32. По полученному t-му синдрому S исправляют ошибки в t-м декодируемом подблоке (см. фиг.33). Известные способы синдромного декодирования блоков символов описаны, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.70. Затем t-й декодируемый подблок запоминают в качестве t-го подблока декодированного блока

Figure 00000029
как показано на фиг.34. Известные способы хранения последовательности бит описаны, например, в книге Л.Мальцев, Э.Фломберг, В.Ямпольский, "Основы цифровой техники", M., Радио и связь, 1986, стр.38. Аналогичным образом производят исправления ошибок в блоке Y2 и получают декодированный блок
Figure 00000030
Block Y 1 and block of check symbols C 1 are divided into T 1 corresponding pairs of decoded subblocks (see Fig. 30) and subblocks of check symbols (see Fig. 29), where T 1 = k 1 / K. The lengths of the decoded subblocks and subblocks of the check symbols are selected equal to K and N-K binary symbols, respectively. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. Form T 1 received code blocks with a length of N binary symbols by concatenating to the right of the t-th decoded sub-block of the t-th sub-block of check symbols, where t = 1, 2, 3, ..., T 1 , as shown in Fig. 31. Each of the T 1 received code blocks is decoded by a linear block systematic binary noise-immunity (N, K) code (see FIG. 31). The verification matrix of the code has the dimension (N-K) × N, and N> K. Choose the sizes K and N of the verification matrix of the linear block systematic binary noise-immunity (N, K) code K = 2 m -1-m and N = 2 m -1, where m≥3, as described, for example, in the book of R. Bleikhut, "Theory and practice of error control codes," M., Mir, 1986, p. 71. Consistently, starting from the 1st to the Tth 1st , the t-th syndrome S of length N-K of binary symbols is calculated by multiplying the t-th received code block by the transposed check matrix. The timing diagram for calculating the t-th syndrome S of length N-K binary characters is shown in figure 32. Based on the obtained t-th syndrome S, errors are corrected in the t-th decoded sub-block (see Fig. 33). Known methods for syndromic decoding of symbol blocks are described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes," M., Mir, 1986, p. 70. Then, the t-th decoded sub-block is stored as the t-th sub-block of the decoded block
Figure 00000029
as shown in FIG. Known methods for storing a sequence of bits are described, for example, in the book of L. Maltsev, E. Flomberg, V. Yampolsky, "Fundamentals of Digital Technology", M., Radio and Communications, 1986, p. 38. In the same way, error correction is performed in block Y 2 and a decoded block is obtained.
Figure 00000030

Нарушитель, также, может перехватить сообщение

Figure 00000009
и выделить блоки проверочных символов С1 и С2. Используя их, он исправляет часть несовпадений в своей версии перехваченных блоков случайной последовательности. Это обстоятельство ЗСНС учитывают при формировании из блока Х1 и декодированного блока
Figure 00000031
КлШД.An intruder can also intercept a message
Figure 00000009
and highlight the blocks of check characters C 1 and C 2 . Using them, he corrects part of the discrepancies in his version of the intercepted blocks of a random sequence. This circumstance ZSNS take into account when forming from the block X 1 and the decoded block
Figure 00000031
CLSD.

ЗСНС должны сформировать КлШД с малым количеством информации нарушителя о КлШД. Для обеспечения малого количества информации нарушителя о КлШД в предлагаемом способе формирования КлШД используют метод "усиления секретности" блока Х1 и декодированного блока

Figure 00000032
основанный на универсальном хешировании, как описано, например, в книге Bennett С., Brassard G., Crepeau С., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT, vol.41, no.6, pp.1915-1923, 1995, стр.1920. Сущность метода "усиления секретности" заключается в следующем. На ПерСНС выбирают в качестве функции хеширования блок Х2, а на ПрСНС декодированный блок
Figure 00000033
Затем хешируют блок Х1 на ПерСНС и декодированный блок
Figure 00000031
на ПрСНС. Результатом хеширования будет сформированный КлШД ЗСНС.С вероятностью, близкой к единице и равной 1-Pε, происходит событие, при котором информация (информация Шеннона) нарушителя о КлШД не превысит определенной малой величины I0 и с малой вероятностью сбоя Pε возможно событие, при котором информация нарушителя о КлШД будет более I0. При хешировании блока Х1 (блок Х1 длиной k1 двоичных символов) отображается в последовательность Ка длиной l двоичных символов формируемого КлШД на ПерСНС. Аналогично, при хешировании декодированный блок
Figure 00000031
(декодированный блок
Figure 00000031
длиной k1 двоичных символов) отображается в последовательность Кb длиной l двоичных символов формируемого КлШД на ПрСНС. Функция хеширования последовательностей должна удовлетворять ряду требований, как описано, например, в книге Ю.Романец, П.Тимофеев, В.Шаньгин, "Защита информации в компьютерных системах и сетях", М., Радио и связь, 1999, с.156:ZSNS should create KShShD with a small amount of information of the violator about KShShD. To ensure a small amount of information on the CLS offender in the proposed method of forming CLSD using the method of "secrecy" block X 1 and the decoded block
Figure 00000032
based on universal hashing, as described, for example, in Bennett C., Brassard G., Crepeau C., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT, vol. 41, no.6, pp. 1915-1923, 1995, p. 1920. The essence of the method of "enhancing secrecy" is as follows. On PersNS, block X 2 is selected as a hash function, and on PRNS, a decoded block
Figure 00000033
Then hashed block X 1 on PersNS and the decoded block
Figure 00000031
on PRSNS. The result of the hashing will be the generated CLSD of the SNSS. With a probability close to unity and equal to 1-P ε , an event occurs in which the information (Shannon information) of the intruder about the CLSD does not exceed a certain small value of I 0 and an event is possible with a low probability of failure P ε , at which the information on the CLS violator will be more than I 0 . When hashing a block X 1 (a block X 1 with a length of k 1 binary characters), it is mapped into a sequence K and a length l of binary characters of the generated CWSD on PersNS. Similarly, when hashed, the decoded block
Figure 00000031
(decoded block
Figure 00000031
length k 1 binary symbols) is mapped to a sequence K b of length l binary symbols of the generated CLSD on the PRSN. The function of hashing sequences must satisfy a number of requirements, as described, for example, in the book by Yu. Romanets, P. Timofeev, V. Shangin, "Information Security in Computer Systems and Networks", M., Radio and Communications, 1999, p.156:

- функция хеширования должна быть чувствительна к всевозможным изменениям в последовательности, таким как, вставки, выбросы, перестановки и т.п.;- the hash function must be sensitive to all kinds of changes in the sequence, such as inserts, outliers, permutations, etc .;

- функция хеширования должна обладать свойством необратимости, т.е. задача подбора другой последовательности, которая обладала требуемым значением функции хеширования, должна быть вычислительно не разрешима;- the hash function must have the property of irreversibility, i.e. the task of selecting another sequence that possesses the required value of the hash function must be computationally insoluble;

- вероятность коллизии, т.е. вероятность события, при котором значения функции хеширования двух различных последовательностей совпадают, должна быть ничтожно мала.is the probability of collision, i.e. the probability of an event in which the values of the hash function of two different sequences coincide should be negligible.

Кроме этого, функция хеширования должна принадлежать универсальному множеству функций хеширования. Универсальное множество функций хеширования определяется следующим образом. Пусть n и r два положительных целых числа, причем n>r. Множество функций G2, отображающих множество двоичных последовательностей длиной n в множество двоичных последовательностей длиной r, называется универсальным, если для любых различных последовательностей х1 и х2 из множества двоичных последовательностей длины n вероятность (коллизии) того, что значение функции хеширования от х1 равно значению функции хеширования от х2(g(x1)=g(x2)), не больше 2-r, при случайном выборе функции хеширования g, в соответствии с равновероятным распределением, из G2, как описано, например, в книге Carter J., Wegman M., "Universal classes of hash functions". Journal of Computer and System Sciences, 1979, Vol.18, pp.143-154, стр.145. Все линейные функции, отображающие множество двоичных последовательностей длиной n в множество двоичных последовательностей длиной r, принадлежат универсальному множеству, как описано, например, в книге Carter J., Wegman M., "Universal classes of hash functions". Journal of Computer and System Sciences, 1979, Vol.18, pp.143-154, стр.150.In addition, the hash function must belong to a universal set of hash functions. A universal set of hash functions is defined as follows. Let n and r be two positive integers, with n> r. The set of functions G 2 that map the set of binary sequences of length n to the set of binary sequences of length r is called universal if, for any different sequences x 1 and x 2 from the set of binary sequences of length n, the probability (collision) that the value of the hash function is from x 1 equal to the value of the hash function from x 2 (g (x 1 ) = g (x 2 )), not more than 2 -r , with a random choice of the hash function g, in accordance with an equally probable distribution, from G 2 , as described, for example, in Carter J., Wegman M., "Universa l classes of hash functions ". Journal of Computer and System Sciences, 1979, Vol. 18, pp. 143-154, p. 145. All linear functions that map the set of binary sequences of length n to the set of binary sequences of length r belong to the universal set, as described, for example, in Carter J., Wegman M., "Universal classes of hash functions". Journal of Computer and System Sciences, 1979, Vol. 18, pp. 143-154, p. 150.

Хэширование блока Х1 может быть осуществлено как умножение двоичного числа, представленного блоком Х1, на двоичное число, представленное блоком Х2, и выделения из полученного произведения l младших разрядов (см. фиг.37). После формирования ЗСНС КлШД путем хеширования блока Х1 на ПерСНС и декодированного блока

Figure 00000031
на ПрСНС количество информации Шеннона, получаемое нарушителем о КлШД, сформированном ЗСНС, не больше (как показано в работе Яковлев В., Коржик В., Бакаев M. "Протоколы формирования ключа с использованием открытых каналов связи с шумом в условиях активного перехвата. Часть 1. Постановка задачи, основные процедуры, протокол Маурера-Вольфа", Проблемы информационной безопасности. Компьютерные системы. №3 СПб.: СПбГТУ, 2004, с.80), чемThe hashing of block X 1 can be accomplished by multiplying the binary number represented by block X 1 by the binary number represented by block X 2 and extracting l lower order bits from the resulting product (see FIG. 37). After the formation of the CSNS CLSD by hashing the block X 1 on the PerSNS and the decoded block
Figure 00000031
at the PRSNS, the amount of Shannon information received by the intruder about the CLS generated by the ZSNS is no more (as shown by Yakovlev V., Korzhik V., Bakaev M. "Key generation protocols using open communication channels with noise under conditions of active interception. Part 1 . Problem statement, basic procedures, Maurer-Wolf protocol, "Information Security Problems. Computer Systems. No. 3 SPb .: SPbSTU, 2004, p. 80), than

Figure 00000034
Figure 00000034

Информация Реньи t определяется через выражение для энтропии Реньи на символ (энтропия Реньи на символ зависит от вероятности ошибки на бит рw в канале перехвата), которая характеризует неопределенность нарушителя о КлШД, при знании нарушителем информации, полученной с помощью канала перехвата, полной информации о алгоритме взаимодействия законных сторон НС и их действиям по формированию КлШД, как описано, например, в книге Bennett С., Brassard G., Crepeau С., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT. vol.41. no.6. pp.1915-1923, 1995, стр.1919. Энтропия Реньи равнаThe Renyi information t is determined through the expression for the Renyi entropy per symbol (the Renyi entropy per symbol depends on the probability of an error per bit p w in the interception channel), which characterizes the intruder’s uncertainty about CLW, if the intruder knows the information obtained using the interception channel, full information about the algorithm for the interaction of the legitimate parties of the National Assembly and their actions for the formation of CLS, as described, for example, in the book Bennett S., Brassard G., Crepeau S., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT. vol.41. no.6. pp. 1915-1923, 1995, p. 1919. Renyi entropy is equal to

Figure 00000035
Figure 00000035

Тогда информация Реньи t, полученная нарушителем при перехвате блока Х1 длиной k1 символов, определяется выражениемThen the Renyi information t obtained by the intruder when intercepting a block X 1 of length k 1 characters is determined by the expression

Figure 00000036
Figure 00000036

Количество информации Шеннона, получаемое нарушителем о сформированном ЗСНС КлШД, при использовании ЗСНС метода "усиления секретности", может быть больше ограничения I0 (определенного в (12)) с малой вероятностью сбоя.The amount of Shannon’s information received by the intruder about the CLSD generated by the CCSS when using the CCSC method of “secrecy enhancement” may be greater than the restriction I 0 (defined in (12)) with a low probability of failure.

У нарушителя остается возможность получения полной информации о КлШД ЗСНС в результате хищения носителей информации о блоках Х1, Х2, Х3 несанкционированного доступа к информации о блоках Х1, Х2, Х3 (блоках Y1, Y2, Y3), разглашения информации о блоках X1, X2, Х3 (блоках Y1, Y2, Y3) и др. хотя бы одной из законных сторон НС. Для исключения этой возможности нарушителя ЗСНС после формирования КлШД стирают блоки X1, X2, X3 () на передающей стороне направления связи и блоки Y1, Y2, Y3, на приемной стороне направления связи. Действия по передаче и приему последовательностей по каналу связи с ошибками, прямому и обратному каналам связи без ошибок засинхронизированы. Известные способы синхронизации описаны, например, в книге Е.Мартынов, "Синхронизация в системах передачи дискретных сообщений", М., Связь, 1972, стр.186.The intruder still has the opportunity to obtain complete information about the CLSD of the ZSNS as a result of the theft of information carriers about blocks X 1 , X 2 , X 3 of unauthorized access to information about blocks X 1 , X 2 , X 3 (blocks Y 1 , Y 2 , Y 3 ) , disclosure of information about blocks X 1 , X 2 , X 3 (blocks Y 1 , Y 2 , Y 3 ), etc., at least one of the legal parties of the National Assembly. To exclude this possibility, the intruder of the ZSNS after the formation of the CDS erases the blocks X 1 , X 2 , X 3 () on the transmitting side of the communication direction and blocks Y 1 , Y 2 , Y 3 , on the receiving side of the communication direction. The actions for transmitting and receiving sequences over the communication channel with errors, the forward and reverse communication channels are synchronized without errors. Known methods of synchronization are described, for example, in the book of E. Martynov, "Synchronization in transmission systems of discrete messages", M., Communication, 1972, p.186.

Claims (6)

1. Способ формирования ключа шифрования/дешифрования, заключающийся в том, что формируют случайную последовательность на передающей стороне направления связи, передают ее по каналу связи с ошибками на приемную сторону направления связи, формируют блок проверочных символов для сформированной случайной последовательности, передают его по каналу связи без ошибок на приемную сторону направления связи, где формируют декодированную последовательность, а из случайной и декодированной последовательностей формируют ключ шифрования/дешифрования, отличающийся тем, что случайную последовательность на передающей стороне направления связи формируют в виде трех блоков X1, Х2, Х3 с длинами k1, k2, k3 соответственно, причем k1>l, k1=k2,
Figure 00000037
, где l - длина формируемого ключа шифрования/дешифрования, (N, К) и (Na, Ка) - предварительно заданные на передающей и приемной сторонах направления связи линейные блоковые систематические двоичные помехоустойчивые коды, порождающие матрицы которых имеют соответственно размерности K×N и Ka×Na, причем N>K и Na>Ka, и передают по каналу связи с ошибками три блока X1, Х2, Х3, которые принимают на приемной стороне направления связи в виде блоков Y1, Y2, Y3, формируют на передающей стороне направления связи для первого X1 и второго Х2 блоков блоки проверочных символов C1 и C2 с длинами r1 и r2 соответственно, где
Figure 00000038
и
Figure 00000039
, затем формируют сообщение
Figure 00000040
длиной (r1+r2) путем конкатенации блоков проверочных символов C1 и С2, после чего формируют аутентификатор w для сообщения
Figure 00000040
, передают сообщение
Figure 00000040
и его аутентификатор w по каналу связи без ошибок на приемную сторону направления связи, где формируют аутентификатор w' для принятого сообщения, а также формируют вектор V путем суммирования по модулю два принятого w и сформированного w' аутентификаторов, вычисляют вес w(V) вектора V путем подсчета его ненулевых элементов и сравнивают полученный вес w(V) с предварительно заданным пороговым значением веса w(V)пор и при w(V)>w(V)пор процесс формирования ключа шифрования/дешифрования прерывают, а при w(V)<w(F)пор на приемной стороне направления связи из принятого сообщения
Figure 00000040
выделяют блоки проверочных символов C1 и C2 путем разбиения принятого сообщения
Figure 00000040
на две равные части, на приемной стороне направления связи из ранее принятых по каналу связи с ошибками блоков Y1, Y2 и блоков проверочных символов C1 и C2 формируют декодированные блоки
Figure 00000041
после чего формируют ключи шифрования/дешифрования на приемной и передающей сторонах направления связи путем хэширования блока X1 на передающей стороне направления связи и декодированного блока
Figure 00000042
на приемной стороне направления связи.1. A method of generating an encryption / decryption key, which consists in generating a random sequence on the transmitting side of the communication direction, transmitting it through the communication channel with errors to the receiving side of the communication direction, forming a block of check symbols for the generated random sequence, transmitting it on the communication channel without errors to the receiving side of the communication direction, where the decoded sequence is formed, and the encryption / decryption key is formed from random and decoded sequences lanternity, characterized in that a random sequence on the transmitting side of the communication direction is formed in the form of three blocks X 1 , X 2 , X 3 with lengths k 1 , k 2 , k 3, respectively, and k 1 > l, k 1 = k 2 ,
Figure 00000037
, where l is the length of the generated encryption / decryption key, (N, K) and (N a , K a ) are linear block systematic binary noise-resistant codes pre-defined on the transmitting and receiving sides of the communication direction, the generating matrices of which have K × N dimensions, respectively and K a × N a , where N> K and N a > K a , and transmit through the communication channel with errors three blocks X 1 , X 2 , X 3 , which receive on the receiving side of the communication direction in the form of blocks Y 1 , Y 2 , Y 3 , form, on the transmitting side, communication directions for the first X 1 and second X 2 blocks, blocks of wire the wildcards C 1 and C 2 with lengths r 1 and r 2 respectively, where
Figure 00000038
and
Figure 00000039
then form a message
Figure 00000040
length (r 1 + r 2 ) by concatenating blocks of check characters C 1 and C 2 , after which form the authenticator w for the message
Figure 00000040
send message
Figure 00000040
and its authenticator w through the communication channel without errors to the receiving side of the communication direction, where the authenticator w 'is formed for the received message, and also the vector V is formed by modulo summation of the two received w and generated w' authenticators, the weight w (V) of the vector V is calculated by counting its nonzero elements and comparing the obtained weight w (V) with a predefined threshold value of the weight w (V) then and when w (V)> w (V) then the process of generating the encryption / decryption key is interrupted, and when w (V) <w (F) then on the receiving side of the communication direction from received message
Figure 00000040
blocks of check symbols C 1 and C 2 are allocated by splitting the received message
Figure 00000040
into two equal parts, on the receiving side of the communication direction from the previously received through the communication channel with errors blocks Y 1 , Y 2 and blocks of check symbols C 1 and C 2 form decoded blocks
Figure 00000041
then form encryption / decryption keys on the receiving and transmitting sides of the communication direction by hashing the block X 1 on the transmitting side of the communication direction and the decoded block
Figure 00000042
on the receiving side of the communication direction. 2. Способ по п.1, отличающийся тем, что для формирования блока проверочных символов C1 длиной r1 для блока X1, кодируют блок X1 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, для чего разделяют блок X1 на T1=k1/K подблоков по К символов в каждом, формируют из каждого i-го подблока, где i=1, 2,..., T1, i-ый кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности K×N линейного блокового систематического двоичного помехоустойчивого (N, К) кода, затем выделяют из i-го кодового подблока i-ый подблок проверочных символов длиной (N-K) символов, а совокупность из T1 подблоков проверочных символов образует блок проверочных символов для блока X1.2. A method according to claim 1, characterized in that for the formation of the block C 1 parity symbols of length r 1 for the block X 1, X 1 encoding unit systematic linear block error-correcting binary (N, K) code, which is separated block X 1 T 1 = k 1 / K sub-blocks of K characters in each, are formed from each i-th sub-block, where i = 1, 2, ..., T 1 , the i-th code sub-block is N characters long by multiplying the i-th sub-block to the generating matrix of dimension K × N of a linear block systematic binary noise-resistant (N, K) code, then the i-th sub-block is extracted from the i-th code sub-block approx parity length (NK) symbol, and the set of T 1 subblocks parity check symbols forming the block unit for X 1. 3. Способ по п.1, отличающийся тем, что для формирования блока проверочных символов С2 длиной r2 для блока Х2 кодируют блок Х2 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, для чего разделяют блок X2 на Т2=k2/К подблоков по К символов в каждом, формируют из каждого i-го подблока, где i=1, 2,..., T2, i-ый кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности K×N линейного блокового систематического двоичного помехоустойчивого (N, К) кода, затем выделяют из i-го кодового подблока i-ый подблок проверочных символов длиной (N-K) символов, а совокупность из Т2 подблоков проверочных символов образует блок проверочных символов для блока Х2.3. The method according to claim 1, characterized in that to form a block of check symbols With 2 of length r 2 for block X 2 encode block X 2 linear block systematic binary noise-resistant (N, K) code, for which the block X 2 is divided by T 2 = k 2 / K sub-blocks of K characters in each, are formed from each i-th sub-block, where i = 1, 2, ..., T 2 , the i-th code sub-block is N characters long by multiplying the i-th sub-block by a generating matrix of dimension K × N of a linear block systematic binary noise-tolerant (N, K) code, then the i-th sub-block is extracted from the i-th code subunit a block of check characters of length (NK) characters, and a combination of T 2 sub-blocks of check characters forms a block of check characters for block X 2 . 4. Способ по п.1, отличающийся тем, что для формирования на передающей стороне аутентификатора w сообщения
Figure 00000040
кодируют сообщение
Figure 00000040
линейным блоковым систематическим двоичным помехоустойчивым (Na, Ка) кодом, для чего разделяют сообщение
Figure 00000040
на Ta=(r1+r2)/Ka блоков по Ка символов в каждом, формируют из каждого j-го блока, где j=1, 2,..., Та, j-ый кодовый блок длиной Na символов, перемножением j-го блока на порождающую матрицу размерности Ka×Na линейного блокового систематического двоичного помехоустойчивого (Na, Ка) кода, формируют кодовое слово для сообщения
Figure 00000040
, в виде последовательности состоящей из Та кодовых блоков, затем преобразуют кодовое слово для сообщения
Figure 00000040
путем замены в нем символов "0" на "01", а символов "1" на "10", присваивают каждому символу преобразованного кодового слова и соответствующему символу блока Х3 порядковые номера s, где s=1, 2..., 2NaTa, запоминают s-ый символ блока Х3, если в преобразованном кодовом слове на s-ом месте стоит 1, последовательность запомненных символов блокад образует аутентификатор w.4. The method according to claim 1, characterized in that for forming on the transmitting side of the authenticator w messages
Figure 00000040
encode message
Figure 00000040
linear block systematic binary noise-immunity (N a , K a ) code, for which the message is divided
Figure 00000040
on T a = (r 1 + r 2 ) / K a blocks of K and characters in each, are formed from each j-th block, where j = 1, 2, ..., T a , the j-th code block with length N a symbols, by multiplying the j-th block by a generating matrix of dimension K a × N a of a linear block systematic binary noise-resistant (N a , К a ) code, a code word is generated for the message
Figure 00000040
, in the form of a sequence consisting of T a code blocks, then the code word for the message is converted
Figure 00000040
by replacing the characters "0" with "01" in it, and the characters "1" with "10", assign each character of the transformed codeword and the corresponding character of block X 3 serial numbers s, where s = 1, 2 ..., 2N a T a , remember the s-th character of block X 3 , if 1 is in the transformed codeword at the s-th place, the sequence of memorized block characters forms the authenticator w. 5. Способ по п.1, отличающийся тем, что для формирования на приемной стороне направления связи декодированного блока
Figure 00000042
из принятого блока Y1 и блока проверочных символов C1 декодируют принятый блок Y1 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, для чего разделяют принятый блок Y1 и блок проверочных символов C1 на T1 соответствующих пар декодируемых и проверочных подблоков, где T1=k1/K, длины декодируемых подблоков и проверочных подблоков выбирают равными соответственно К и (N-K) двоичных символов, формируют T1 принятых кодовых подблоков длиной N двоичных символов путем конкатенации справа к t-му декодируемому подблоку t-го проверочного подблока, где t=1, 2, 3,..., T1, вычисляют последовательно, начиная с 1-го до T1-го, t-й синдром S длины (N-K) двоичных символов перемножением t-го принятого кодового подблока на транспонированную проверочную матрицу, исправляют по полученному t-му синдрому S ошибки в t-ом декодируемом подблоке, запоминают t-й декодируемый подблок в качестве t-го подблока декодированного блока.5. The method according to claim 1, characterized in that for forming on the receiving side of the communication direction of the decoded block
Figure 00000042
from the received block Y 1 and the block C 1 parity decoding a received block of Y 1 linear block systematic binary error-correcting (N, K) code, which divide the received block Y 1 and block parity C 1 symbols at T 1 corresponding pairs decoded and parity subblocks where T 1 = k 1 / K, the lengths of the decoded subblocks and the verification subblocks are chosen equal to K and (NK) binary symbols, respectively, and T 1 received code subblocks of length N binary symbols are formed by concatenating to the right of the tth decoded subblock of the tth verification subblock, where t = 1, 2, 3, ..., T 1 , are calculated sequentially, starting from the 1st to T 1st , t-th syndrome S of length (NK) of binary symbols by multiplying the t-th received code subblock to the transposed check matrix, correct errors obtained in the t-th syndrome S in the t-th decoded sub-block, remember the t-th decoded sub-block as the t-th sub-block of the decoded block. 6. Способ по п.1, отличающийся тем, что для формирования ключа шифрования/дешифрования путем хеширования на передающей стороне направления связи перемножают блоки X1 и X2, а на приемной стороне перемножают декодированные блоки
Figure 00000043
после чего из полученных после перемножения последовательностей выделяют l младших разрядов.6. The method according to claim 1, characterized in that in order to generate an encryption / decryption key by hashing on the transmitting side of the communication direction, the blocks X 1 and X 2 are multiplied, and on the receiving side, the decoded blocks are multiplied
Figure 00000043
after which l lower digits are isolated from the sequences obtained after multiplication.
RU2005126661/09A 2005-08-23 2005-08-23 Method for generation of encryption/decryption key RU2295199C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2005126661/09A RU2295199C1 (en) 2005-08-23 2005-08-23 Method for generation of encryption/decryption key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2005126661/09A RU2295199C1 (en) 2005-08-23 2005-08-23 Method for generation of encryption/decryption key

Publications (1)

Publication Number Publication Date
RU2295199C1 true RU2295199C1 (en) 2007-03-10

Family

ID=37992598

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005126661/09A RU2295199C1 (en) 2005-08-23 2005-08-23 Method for generation of encryption/decryption key

Country Status (1)

Country Link
RU (1) RU2295199C1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2613845C1 (en) * 2016-04-01 2017-03-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for forming key of encryption/decryption
RU2656578C1 (en) * 2016-11-22 2018-06-05 Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" Method for generating encryption keys
RU2684492C1 (en) * 2018-03-12 2019-04-09 Павел Владимирович Лебедев Method of generating an encryption/decryption key
RU2695050C1 (en) * 2018-07-23 2019-07-18 Павел Владимирович Лебедев Method of generating an encryption/decryption key
RU2749016C1 (en) * 2020-07-13 2021-06-03 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Encryption/decryption key generation method
WO2021133204A1 (en) * 2019-12-27 2021-07-01 Акционерное Общество "Информационные Технологии И Коммуникационные Системы" System for the secure transfer of data within a digital network
RU2766319C1 (en) * 2021-03-24 2022-03-15 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for generating the encryption/decryption key
RU2774103C1 (en) * 2021-11-24 2022-06-15 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for forming encryption/decryption key

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2613845C1 (en) * 2016-04-01 2017-03-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for forming key of encryption/decryption
RU2656578C1 (en) * 2016-11-22 2018-06-05 Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" Method for generating encryption keys
RU2684492C1 (en) * 2018-03-12 2019-04-09 Павел Владимирович Лебедев Method of generating an encryption/decryption key
RU2695050C1 (en) * 2018-07-23 2019-07-18 Павел Владимирович Лебедев Method of generating an encryption/decryption key
WO2021133204A1 (en) * 2019-12-27 2021-07-01 Акционерное Общество "Информационные Технологии И Коммуникационные Системы" System for the secure transfer of data within a digital network
US11728980B2 (en) 2019-12-27 2023-08-15 Joint Stock Company “Info TeCS” System for secure data transmission in digital data transmission network using single-pass quantum key distribution system and method of key negotiation during operation of the system
RU2749016C1 (en) * 2020-07-13 2021-06-03 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Encryption/decryption key generation method
RU2766319C1 (en) * 2021-03-24 2022-03-15 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for generating the encryption/decryption key
RU2774103C1 (en) * 2021-11-24 2022-06-15 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for forming encryption/decryption key

Similar Documents

Publication Publication Date Title
US11558188B2 (en) Methods for secure data storage
Courtois et al. How to achieve a McEliece-based digital signature scheme
US5161244A (en) Cryptographic system based on information difference
RU2367007C2 (en) Method of transmission and complex protection of information
US20030063751A1 (en) Key agreement protocol based on network dynamics
RU2295199C1 (en) Method for generation of encryption/decryption key
Esmaeili et al. A secure code based cryptosystem via random insertions, deletions, and errors
Mihaljević et al. An approach for stream ciphers design based on joint computing over random and secret data
CN107786327B (en) Safe and reliable transmission method based on LDPC code
RU2480923C1 (en) Method to generate coding/decoding key
Vaidyanathaswami et al. Robustness of physical layer security primitives against attacks on pseudorandom generators
RU2183051C2 (en) Process of formation of encryption/decryption key
Esmaeili Application of linear block codes in cryptography
RU2356168C2 (en) Method for formation of coding/decoding key
RU2180469C2 (en) Encryption/decryption key generation process
Mihaljević A Framework for Stream Ciphers Based on Pseudorandomness, Randomness and Coding
RU2180770C2 (en) Method for generating encryption/decryption key
RU2171012C1 (en) Procedure forming encoding/decoding key
RU2684492C1 (en) Method of generating an encryption/decryption key
Moldovyan et al. Symmetric encryption for error correction
RU2713694C1 (en) Method of generating an encryption / decryption key
RU2613845C1 (en) Method for forming key of encryption/decryption
RU2695050C1 (en) Method of generating an encryption/decryption key
RU2749016C1 (en) Encryption/decryption key generation method
RU2774103C1 (en) Method for forming encryption/decryption key

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20070824