RU2295199C1 - Method for generation of encryption/decryption key - Google Patents
Method for generation of encryption/decryption key Download PDFInfo
- Publication number
- RU2295199C1 RU2295199C1 RU2005126661/09A RU2005126661A RU2295199C1 RU 2295199 C1 RU2295199 C1 RU 2295199C1 RU 2005126661/09 A RU2005126661/09 A RU 2005126661/09A RU 2005126661 A RU2005126661 A RU 2005126661A RU 2295199 C1 RU2295199 C1 RU 2295199C1
- Authority
- RU
- Russia
- Prior art keywords
- block
- blocks
- code
- decoded
- characters
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к области криптографии, а именно к формированию ключа шифрования/дешифрования (КлШД), и может быть использовано в качестве отдельного элемента при построении симметричных криптографических систем, предназначенных для передачи шифрованных речевых, звуковых, телевизионных и др. сообщений.The invention relates to the field of cryptography, in particular to the formation of an encryption / decryption key (CLSD), and can be used as a separate element in the construction of symmetric cryptographic systems designed to transmit encrypted speech, sound, television and other messages.
Предлагаемый способ формирования КлШД может использоваться в криптографических системах в случае отсутствия или потери криптосвязности (Криптосвязность - наличие у законных сторон одинакового КлШД.) между законными сторонами направления связи (Законные стороны НС - т.е. санкционированные участники обмена информации) (НС) или установления криптосвязности между новыми законными сторонами НС (ЗСНС) при ведении нарушителем перехвата, модификации и подмены информации, передаваемой по открытым каналам связи.The proposed method for generating CDS can be used in cryptographic systems if there is no or loss of crypto connection (Crypto connection is the presence of the same CSD between the legitimate parties) between the legitimate parties in the direction of communication (legitimate parties of the National Assembly - that is, authorized participants in the exchange of information) (NS) or establishment cryptocurrencies between new legitimate parties of the National Assembly (ZSNS) when the violator conducts the interception, modification and substitution of information transmitted through open communication channels.
Известен способ формирования КлШД, описанный в книге У.Диффи "Первые десять лет криптографии с открытым ключом", ТИИЭР, 1988, т.76, №5, с.57-58. Известный способ заключается в предварительном распределении между законными сторонами направления связи чисел α и β, где α - простое число и 1≤β≤α-1. Передающая сторона НС (ПерСНС) и приемная сторона НС (ПрСНС), независимо друг от друга, выбирают случайные числа ХА и ХB соответственно, которые хранят в секрете и затем формируют числа на основе ХA, α, β на ПерСНС и ХB, α, β на ПрСНС. ЗСНС обмениваются полученными числами по каналам связи без ошибок. После получения чисел корреспондентов законные стороны преобразовывают полученные числа с использованием своих секретных чисел в единый КлШД. Способ позволяет шифровать информацию во время каждого сеанса связи на новых КлШД (т.е. исключает хранение ключевой информации на носителях) и сравнительно быстро сформировать КлШД при использовании одного незащищенного канала связи.There is a known method for the formation of CLSD described in the book of W. Diffie "The First Ten Years of Public Key Cryptography", TIIER, 1988, v. 76, No. 5, pp. 57-58. The known method consists in the preliminary distribution between the legal parties of the direction of communication of the numbers α and β, where α is a prime number and 1≤β≤α-1. The transmitting side of the NS (PerSNS) and the receiving side of the NS (PrSNS), independently from each other, choose random numbers X A and X B, respectively, which are kept secret and then form numbers based on X A , α, β on PersNS and X B , α, β on PrSNS. ZSNS exchange the received numbers on communication channels without errors. After receiving the numbers of correspondents, the legal parties convert the received numbers using their secret numbers into a single CLSD. The method allows you to encrypt information during each communication session on new CLSD (that is, excludes the storage of key information on media) and relatively quickly form CLDS using one unprotected communication channel.
Однако известный способ обладает низкой стойкостью КлШД к компрометации (Стойкость КлШД к компрометации - способность криптографической системы противостоять попыткам нарушителя получить КлШД, который сформирован и используется законными сторонами НС, при использовании нарушителем информации о КлШД, полученной в результате перехвата, хищения и утраты носителей, разглашения, анализа и т.д.), время действия КлШД ограничено продолжительностью одного сеанса связи или его части, некорректное распределение чисел α и β приводит к невозможности формирования КлШД.However, the known method has low resistance to CLSD to compromise (Resistance to CLSD to compromise is the ability of the cryptographic system to resist attempts by an intruder to obtain CLSD, which is generated and used by the legitimate parties of the National Assembly, when the intruder uses information about CLSD obtained from interception, theft and loss of media, disclosure , analysis, etc.), the operation time of the CL is limited by the duration of one communication session or part thereof, an incorrect distribution of the numbers α and β leads to impossible ti KlShD formation.
Известен также способ формирования КлШД при использовании квантового канала связи [Патент US №5515438, H 04 L 9/00 от 07.05.96], который позволяет автоматически сформировать КлШД без дополнительных мер по рассылке (доставке) предварительной последовательности. Известный способ заключается в использовании принципа неопределенности квантовой физики и формирует КлШД, посредством передачи фотонов по квантовому каналу. Способ обеспечивает получение КлШД с высокой стойкостью к компрометации, осуществляет гарантированный контроль наличия и степени перехвата КлШД.There is also a known method for generating CLD using a quantum communication channel [US Patent No. 5515438, H 04 L 9/00 of 05/07/96], which allows the automatic formation of CLD without additional measures for sending (delivering) a preliminary sequence. The known method consists in using the uncertainty principle of quantum physics and generates a CDS by means of photon transmission through a quantum channel. The method provides receiving CWSD with high resistance to compromise, provides guaranteed control of the presence and degree of interception of CWSD.
Однако реализация известного способа требует высокоточной аппаратуры, что обуславливает высокую стоимость его реализации. Кроме этого, КлШД по данному способу может быть сформирован при использовании волоконно-оптических линий связи ограниченной длины, что существенно ограничивает область применение его на практике.However, the implementation of the known method requires high-precision equipment, which leads to the high cost of its implementation. In addition, CLSh by this method can be formed using fiber-optic communication lines of limited length, which significantly limits the scope of its application in practice.
Наиболее близким по технической сущности к заявляемому способу формирования КлШД является способ формирования КлШД на основе информационного различия [Патент РФ №2183051, H 04 L 9/00 от 27.05.02].Closest to the technical nature of the claimed method for the formation of CLSD is the method of forming CLSD based on the information difference [RF Patent No. 2183051, H 04 L 9/00 of 05/27/02].
Способ-прототип заключается в формировании исходной последовательности (ИП), кодировании ее, выделении из кодированной исходной последовательности блока проверочных символов, передаче его по каналу связи без ошибок и формировании декодированной последовательности, а из исходной и декодированной последовательностей формируют ключ шифрования/дешифрования.The prototype method consists in generating an initial sequence (IP), encoding it, extracting a block of check symbols from the encoded source sequence, transmitting it over the communication channel without errors and generating a decoded sequence, and the encryption / decryption key is formed from the original and decoded sequences.
Для формирования ИП L раз, где L>104 - выбранная первичная длина исходной последовательности, на передающей стороне направления связи формируют зашумляющий блок двоичных символов. Передают зашумляющий блок двоичных символов по каналу связи с ошибками на приемную сторону направления связи. На приемной стороне направления связи генерируют случайный бит. Формируют из случайного бита кодовое слово. Формируют зашумленное кодовое слово (ЗКС) путем поразрядного суммирования по модулю 2 принятого зашумляющего блока двоичных символов и сформированного кодового слова. Передают зашумленное кодовое слово по обратному каналу связи без ошибок на передающую сторону направления связи. На передающей стороне направления связи из зашумленного кодового слова формируют принятое кодовое слово путем поразрядного суммирования по модулю 2 зашумляющего блока двоичных символов и зашумленного кодового слова. Формируют из принятого кодового слова принятый бит и бит подтверждения F. Передают бит подтверждения по прямому каналу без ошибок на приемную сторону направления связи. При бите подтверждения F, равном нулю, сгенерированный случайный бит и принятый бит стирают соответственно на приемной и передающей сторонах направления связи. При бите подтверждения F, равном единице, сгенерированный случайный бит и принятый бит запоминают соответственно на приемной и передающей сторонах направления связи в качестве i-х элементов, где i=1, 2, 3,..., L-U, исходной и предварительной последовательностей, где U - количество стертых символов при формировании исходной и предварительной последовательностей. Декодированную последовательность на передающей стороне направления связи формируют из предварительной последовательности. После формирования исходной и декодированной последовательностей на передающей стороне направления связи формируют функцию хеширования последовательностей. Передают функцию хеширования последовательностей по прямому каналу связи без ошибок на приемную сторону направления связи. Ключи шифрования/дешифрования на приемной и передающей сторонах направления связи формируют путем хеширования исходной и декодированной последовательностей по сформированной на передающей стороне направления связи функции хеширования последовательностей. Затем на приемной стороне направления связи стирают исходную последовательность. На передающей стороне направления связи стирают декодированную и предварительную последовательности. Исходную последовательность на приемной стороне направления связи кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, порождающая матрица которого имеет размерность К×N, причем N>К. При кодировании исходной последовательности предварительно разделяют ее на Y подблоков длиной К двоичных символов, где Y=(L-U)/К. Затем, последовательно, начиная с 1-го до Y-го из каждого j-го подблока, где j=1, 2, 3,..., Y, формируют j-й кодовый блок длиной N двоичных символов перемножением j-го подблока на порождающую матрицу. Из j-го кодового блока выделяют j-й подблок проверочных символов длиной N- К двоичных символов. Запоминают j-й подблок проверочных символов в качестве j-го подблока блока проверочных символов кодированной исходной последовательности. Размеры К и N порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода выбирают К=2m-1-m и N=2m-1, где m≥3. При формировании зашумляющего блока двоичных символов (ЗБДС) на передающей стороне направления связи каждый i-й бит зашумляющего блока двоичных символов, где i=1, 2, 3,..., М+1, генерируют случайным образом, где М≥1. Для формирования кодового слова сгенерированный случайный бит повторяют М раз, где М≥1. Принятому биту присваивают значение первого бита принятого кодового слова. Для формирования бита подтверждения F первый бит принятого кодового слова сравнивают с последующими М битами принятого кодового слова. Затем при наличии М совпадений первого бита принятого кодового слова с М битами принятого кодового слова биту подтверждения F присваивают значение единица. При наличии хотя бы одного несовпадения первого бита принятого кодового слова с М битами принятого кодового слова биту подтверждения F присваивают значение ноль. Для формирования декодированной последовательности на передающей стороне направления связи предварительную последовательность декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, проверочная матрица которого имеет размерность (N-К)×N, причем N>К. При формировании декодированной последовательности предварительную последовательность и блок проверочных символов кодированной исходной последовательности разделяют на Y соответствующих пар декодируемых подблоков и подблоков проверочных символов, где Y=(L-U)/K. Длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно К и N-К двоичных символов. Затем формируют Y принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к j-му декодируемому подблоку j-го подблока проверочных символов, где j=1, 2, 3,..., Y. Затем последовательно, начиная с 1-го до Y-го, вычисляют j-и синдром S длины N- К двоичных символов перемножением j-го принятого кодового блока на транспонированную проверочную матрицу. По полученному j-му синдрому S исправляют ошибки в j-м декодируемом подблоке. Затем j-й декодируемый подблок запоминают в качестве j-го подблока декодированной последовательности. Выбирают размеры К и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода K=2m-1-m и N=2m-1, где m≥3. Функцию хеширования последовательностей на передающей стороне направления связи формируют в виде двоичной матрицы G размерности (L-U)×Т, где Т≥64 - длина формируемого ключа шифрования/дешифрования. Каждый из элементов двоичной матрицы G генерируют случайным образом. Функцию хеширования последовательностей передают последовательно, начиная с 1-й по (L-U)-ю строки двоичной матрицы G. При формировании ключа шифрования/дешифрования предварительно на приемной стороне направления связи двоичную матрицу G и исходную последовательность разделяют на W соответствующих пар подматриц размерности Р×Т, где Р=(L-U)/W, и подблоков исходной последовательности длиной Р двоичных символов. При формировании ключа шифрования/дешифрования предварительно на передающей стороне направления связи двоичную матрицу G и декодированную последовательность разделяют на W соответствующих пар подматриц размерности Р×Т, где Р=(L-U)/W, и подблоков декодированной последовательности длиной Р двоичных символов. Затем, начиная с 1-го до W-й, вычисляют z-й первичный ключ длины T двоичных символов, где z=1, 2, 3,..., W, перемножением z-го подблока исходной последовательности на z-ю подматрицу Сz на приемной стороне направления связи и z-го подблока декодированной последовательности на z-ю подматрицу Gz на передающей стороне направления связи. Формируют ключ шифрования/дешифрования путем поразрядного суммирования по модулю два W первичных ключей на приемной и передающей сторонах направления связи.To form the IP L times, where L> 10 4 is the selected primary length of the initial sequence, a noisy block of binary symbols is formed on the transmitting side of the communication direction. A noisy block of binary symbols is transmitted over the communication channel with errors to the receiving side of the communication direction. A random bit is generated at the receiving side of the communication direction. A codeword is formed from a random bit. A noisy codeword (CKS) is generated by
Недостатком прототипа заявленного способа является большое время формирования КлШД, что объясняется необходимостью передачи функции хэширования по каналу связи без ошибок. Известный способ имеет относительно высокую вероятность навязывания нарушителем ложных сообщений, что объясняется использованием дополнительной процедуры аутентификации. Каналы без ошибок, используемые в способе-прототипе, считаются защищенными методами аутентификации принимаемых сообщений (Аутентификация сообщений - процесс подтверждения подлинности (отсутствия фальсификации или искажения) произвольных сообщений, принятых из канала связи.), что требует наличия ключей аутентификации у корреспондентов до начала реализации способа формирования КлШД. По этой причине корреспонденты, не имеющие ключей аутентификации, не могут сформировать КлШД, обеспечивающий стойкость к компрометации, из-за высокой вероятности навязывания нарушителем ложных сообщений.The disadvantage of the prototype of the claimed method is the long time for the formation of CLSD, which is explained by the need to transfer the hashing function over the communication channel without errors. The known method has a relatively high probability of imposing false messages by the intruder, which is explained by the use of an additional authentication procedure. Error-free channels used in the prototype method are considered protected by authentication methods of received messages (Message authentication - authentication process (lack of falsification or distortion) of arbitrary messages received from a communication channel.), Which requires the presence of authentication keys from correspondents before the implementation of the method the formation of CLS. For this reason, correspondents who do not have authentication keys cannot form a CLS, which provides resistance to compromise, due to the high probability of the intruder imposing false messages.
Целью заявленного технического решения является разработка способа формирования КлШД, обеспечивающего снижение времени, необходимого для формирования КлШД, и повышение стойкости сформированного КлШД к компрометации со стороны нарушителя.The purpose of the claimed technical solution is to develop a method for generating CLSD, which reduces the time required for the formation of CLSD, and increases the resistance of the formed CLSD to compromise by the intruder.
Поставленная цель достигается тем, что в известном способе формирования КлШД, заключающемся в том, что формируют случайную последовательность на передающей стороне направления связи, передают ее по каналу связи с ошибками на приемную сторону направления связи, формируют блок проверочных символов для сформированной случайной последовательности, передают его по каналу связи без ошибок на приемную сторону направления связи, где формируют декодированную последовательность, а из случайной и декодированной последовательностей формируют ключ шифрования/дешифрования, случайную последовательность на передающей стороне направления связи формируют в виде трех блоков Х1, Х2, Х3, с длинами k1, k2, k3 соответственно. Причем k1>l, k1=k2, , где l - длина формируемого ключа шифрования/дешифрования, (N, К) и (Na, Ka) - предварительно заданные на передающей и приемной сторонах направления связи линейные блоковые систематические двоичные помехоустойчивые коды, порождающие матрицы которых имеют соответственно размерности К×N и Кa×Na, причем N>К и Na>Ка. Передают по каналу связи с ошибками три блока Х1, Х2, Х3, которые принимают на приемной стороне направления связи в виде блоков Y1, Y2, Y3. Формируют на передающей стороне направления связи для первого Х1 и второго X2 блоков блоки проверочных символов С1 и С2 с длинами r1 и r2 соответственно, где и . Затем формируют сообщение длиной (r1+r2) путем конкатенации блоков проверочных символов C1 и С2. После чего формируют аутентификатор w для сообщения . Передают сообщение и его аутентификатор w по каналу связи без ошибок на приемную сторону направления связи. На приемной стороне направления связи формируют аутентификатор w' для принятого сообщения. А также формируют вектор V путем суммирования по модулю два принятого w и сформированного w' аутентификаторов. Вычисляют вес w(V) вектора V путем подсчета его ненулевых элементов и сравнивают полученный вес w(V) с предварительно заданным пороговым значением веса w(V)пор. При w(V)>w(V)пор процесс формирования ключа шифрования/дешифрования прерывают, а при w(V)<w(V)пор на приемной стороне направления связи из принятого сообщения выделяют блоки проверочных символов С1 и С2, путем разбиения принятого сообщения на две равные части. На приемной стороне направления связи из ранее принятых по каналу связи с ошибками блоков Y1, Y2 и блоков проверочных символов C1 и С2 формируют декодированные блоки После чего формируют ключи шифрования/дешифрования на приемной и передающей сторонах направления связи путем хэширования блока X1 на передающей стороне направления связи и декодированного блока на приемной стороне направления связи.This goal is achieved by the fact that in the known method of generating CLSD, which consists in generating a random sequence on the transmitting side of the communication direction, transmitting it via the communication channel with errors to the receiving side of the communication direction, forming a block of check symbols for the generated random sequence, transmitting it through the communication channel without errors to the receiving side of the communication direction, where a decoded sequence is formed, and from random and decoded sequences form spanner encryption / decryption random sequence on the transmission side communication direction is formed as three blocks X 1, X 2, X 3, with lengths k 1, k 2, k 3, respectively. Moreover, k 1 > l, k 1 = k 2 , , where l is the length of the generated encryption / decryption key, (N, K) and (N a , K a ) are linear block systematic binary noise-resistant codes pre-defined on the transmitting and receiving sides of the communication direction, the generating matrices of which have corresponding dimensions K × N and K a × N a , with N> K and N a > K a . Three blocks X 1 , X 2 , X 3 , which are received on the receiving side of the communication direction in the form of blocks Y 1 , Y 2 , Y 3 , are transmitted over the communication channel with errors. Forms on the transmitting side of the communication direction for the first X 1 and second X 2 blocks are blocks of check symbols C 1 and C 2 with lengths r 1 and r 2, respectively, where and . Then form a message length (r 1 + r 2 ) by concatenating blocks of check symbols C 1 and C 2 . Then form the authenticator w for the message . Send message and its authenticator w over the communication channel without errors to the receiving side of the communication direction. At the receiving side of the communication direction, an authenticator w ′ is formed for the received message. And also form a vector V by summing modulo two received w and formed w 'authenticators. The weight w (V) of the vector V is calculated by counting its nonzero elements and the resulting weight w (V) is compared with a predetermined threshold weight value w (V) of the pores . When w (V)> w (V) then the encryption / decryption key generation process is interrupted, and when w (V) <w (V) then on the receiving side of the communication direction from the received message blocks of check symbols C 1 and C 2 are allocated by splitting the received message into two equal parts. On the receiving side of the communication direction from the previously received through the communication channel with errors blocks Y 1 , Y 2 and blocks of check symbols C 1 and C 2 form decoded blocks After that, encryption / decryption keys are formed on the receiving and transmitting sides of the communication direction by hashing the block X 1 on the transmitting side of the communication direction and the decoded block on the receiving side of the communication direction.
Для формирования блока проверочных символов С1 длиной r1 для блока X1 кодируют блок Х1 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом. Для чего разделяют блок Х1 на Т1=k1/K подблоков по К символов в каждом. Формируют из каждого i-го подблока, где i=1, 2,..., T1, i-й кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности К×N линейного блокового систематического двоичного помехоустойчивого (N, К) кода. Затем выделяют из i-го кодового подблока i-й подблок проверочных символов длиной (N-К) символов. Совокупность из T1 подблоков проверочных символов образует блок проверочных символов С1 для блока X1.For the formation of 1 block length r parity block 1 X 1 X 1 encoding unit systematic linear block error-correcting binary (N, K) code. Why divide the block X 1 into T 1 = k 1 / K sub-blocks of K characters in each. Form from each i-th subblock, where i = 1, 2, ..., T 1 , the i-th code subblock is N characters long by multiplying the i-th subblock by a linear block systematic binary noise-tolerant linear matrix matrix K × N (N , K) code. Then, the i-th sub-block of check symbols of length (N-K) characters is extracted from the i-th code sub-block. The set of T 1 sub-blocks of check characters forms a block of check characters C 1 for block X 1 .
Для формирования блока проверочных символов С2 длиной r2 для блока Х2, кодируют блок Х2 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом. Для чего разделяют блок Х2 на Т2=k2/K подблоков по К символов в каждом. Формируют из каждого i-го подблока, где i=1, 2,..., T2, i-й кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности К×N линейного блокового систематического двоичного помехоустойчивого (N, К) кода. Затем выделяют из i-го кодового подблока i-й подблок проверочных символов длиной (N-К) символов. Совокупность из T2 подблоков проверочных символов образует блок проверочных символов C2 для блока X2.To form the parity block length C 2 r 2 for the block X 2, X 2 encode unit systematic linear block error-correcting binary (N, K) code. Why divide the block X 2 into T 2 = k 2 / K sub-blocks of K characters in each. Form from each i-th subblock, where i = 1, 2, ..., T 2 , the i-th code subblock is N characters long by multiplying the i-th subblock by a generating block matrix of dimension K × N of a linear block systematic binary noise-tolerant (N , K) code. Then, the i-th sub-block of check symbols of length (N-K) characters is extracted from the i-th code sub-block. The set of T 2 sub-blocks of check symbols forms a block of check characters C 2 for block X 2 .
Для формирования на передающей стороне аутентификатора w сообщения , кодируют сообщение линейным блоковым систематическим двоичным помехоустойчивым (Na, Ка) кодом. Для чего разделяют сообщение на Tа=(r1+r2)/Ка блоков по Кa символов в каждом. Формируют из каждого j-го блока, где j=1, 2,..., Tа, j-й кодовый блок длиной Na символов, перемножением j-го блока на порождающую матрицу размерности Кa×Na линейного блокового систематического двоичного помехоустойчивого (Na, Кa) кода. Формируют кодовое слово для сообщения , в виде последовательности, состоящей из Tа кодовых блоков. Затем преобразуют кодовое слово для сообщения путем замены в нем символов "0" на "01", а символов "1" на "10". Присваивают каждому символу преобразованного кодового слова и соответствующему символу блока X3 порядковые номера s, где s=1, 2,..., 2NaTa. Запоминают s-й символ блока X3, если в преобразованном кодовом слове, s-й символ равен 1. Последовательность запомненных символов блока Х3 образует аутентификатор w.To form messages on the transmitting side of the authenticator w encode message linear block systematic binary noise-immunity (N a , K a ) code. Why share the message on T a = (r 1 + r 2 ) / K a blocks of K a characters in each. Form from each j-th block, where j = 1, 2, ..., T a , the j-th code block of length N a characters, by multiplying the j-th block by the generating matrix of dimension K a × N a linear block systematic binary noise-resistant (N a , K a ) code. Form a code word for the message , in the form of a sequence consisting of T a code blocks. The codeword for the message is then converted. by replacing the characters "0" with "01" in it, and the characters "1" with "10". Each symbol of the transformed codeword and the corresponding symbol of block X 3 are assigned serial numbers s, where s = 1, 2, ..., 2N a T a . The s-th character of block X 3 is remembered if the s-th character is equal to 1 in the transformed codeword. The sequence of stored characters of block X 3 forms the authenticator w.
Для формирования на приемной стороне направления связи декодированного блока из принятого блока Y1 и блока проверочных символов С1 декодируют принятый блок Y1 линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом. Для чего разделяют принятый блок Y1 и блок проверочных символов С1 на T1 соответствующих пар декодируемых и проверочных подблоков, где Т1=k1/K. Длины декодируемых подблоков и проверочных подблоков выбирают равными соответственно К и (N-К) двоичных символов. Формируют Т1 принятых кодовых подблоков длиной N двоичных символов путем конкатенации справа к t-му декодируемому подблоку t-го проверочного подблока, где t=1, 2, 3,..., Т1. Вычисляют последовательно, начиная с t-го до T1-го, t-й синдром S длины (N-К) двоичных символов перемножением t-го принятого кодового подблока на транспонированную проверочную матрицу. Исправляют по полученному t-му синдрому S ошибки в t-м декодируемом подблоке. Запоминают t-й декодируемый подблок в качестве t-го подблока декодированного блока .For forming on the receiving side of the communication direction of the decoded block from the received block Y 1 and the block of check symbols C 1 decode the received block Y 1 linear block systematic binary noise-resistant (N, K) code. For this, the received block Y 1 and the block of check symbols C 1 to T 1 are divided into corresponding pairs of decoded and check subblocks, where T 1 = k 1 / K. The lengths of decoded subblocks and test subblocks are chosen equal to K and (N-K) binary symbols, respectively. Form T 1 received code subblocks of length N binary characters by concatenating to the right of the t-th decoded sub-block of the t-th verification sub-block, where t = 1, 2, 3, ..., T 1 . Sequentially, starting from the t-th to T- 1 , t-th syndrome S of the length (N-K) of binary symbols is calculated by multiplying the t-th received code sub-block by the transposed check matrix. According to the received t-th syndrome S errors are corrected in the t-th decoded subunit. Remember the t-th decoded sub-block as the t-th sub-block of the decoded block .
Для формирования ключа шифрования/дешифрования путем хеширования на передающей стороне направления связи перемножают блоки Х1 и Х2. На приемной стороне перемножают декодированные блоки После чего из полученных после перемножения последовательностей выделяют l младших разрядов.To generate the encryption / decryption key by hashing on the transmitting side of the communication direction, the blocks X 1 and X 2 are multiplied. At the receiving side, decoded blocks are multiplied. Then, from the sequences obtained after multiplication, l lower digits are distinguished.
Указанная новая совокупность существенных признаков обеспечивает возможность аутентификации передаваемых сообщений по открытым каналам связи, на основе случайно сформированного блока Х3 и соответствующего ему блока Y3, принятого по каналу с ошибками, что позволит повысить стойкость формируемого КлШД к компрометации по отношению к нарушителю. И снижение времени формирования КлШД, путем применения нового класса хэш-функций и передачи их по каналам с ошибками.The indicated new set of essential features enables authentication of transmitted messages over open communication channels, based on a randomly generated block X 3 and a corresponding block Y 3 received over the channel with errors, which will increase the resistance of the generated CDS to compromise with respect to the intruder. And reducing the time of formation of CLSD by applying a new class of hash functions and transmitting them through channels with errors.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного решения, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности "новизна".The analysis of the prior art made it possible to establish that analogues that are characterized by a combination of features identical to all the features of the claimed solution are absent, which indicates the compliance of the claimed method with the condition of patentability "novelty".
Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного способа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototype of the claimed method showed that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention transformations to achieve the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".
Заявленный способ поясняется фигурами, на которых показаны:The claimed method is illustrated by figures, which show:
- на фигуре 1 - обобщенная структурная схема НС, применяемого в заявленном способе;- figure 1 is a generalized structural diagram of the NS used in the claimed method;
- на фигуре 2 - временная диаграмма сформированной случайной последовательности в виде блоков Х1, Х2, Х3;- figure 2 is a timing chart of the generated random sequence in the form of blocks X 1 , X 2 , X 3 ;
- на фигуре 3 - временная диаграмма вектора ошибок в канале связи с ошибками;- figure 3 is a timing chart of the vector of errors in the communication channel with errors;
- на фигуре 4 - временная диаграмма принятой по каналу с ошибками случайной последовательности в виде блоков Y1, Y2, Y3;- in figure 4 is a timing diagram of a random sequence received over the channel with errors in the form of blocks Y 1 , Y 2 , Y 3 ;
- на фигуре 5 - вид порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода;- figure 5 is a view of the generating matrix of a linear block systematic binary noise-immune (N, K) code;
- на фигуре 6 - временная диаграмма сформированного блока X1, разделенного на Т1 подблоков по К символов;- figure 6 is a timing chart of the generated block X 1 , divided into T 1 sub-blocks of K characters;
- на фигуре 7 - временная диаграмма выделенного i-го подблока блока Х1;- figure 7 is a timing chart of the selected i-th subunit of block X 1 ;
- на фигуре 8 - временная диаграмма формирования i-го кодового подблока длиной N двоичных символов;- figure 8 is a timing diagram of the formation of the i-th code block of length N binary characters;
- на фигуре 9 - временная диаграмма выделения i-го подблока проверочных символов длиной N-К двоичных символов;- figure 9 is a timing diagram of the allocation of the i-th subunit of test characters with a length of N-K binary characters;
- на фигуре 10 - временная диаграмма формирования блока проверочных символов C1;- figure 10 is a timing diagram of the formation of a block of check symbols C 1 ;
- на фигуре 11 - временная диаграмма сформированного блока проверочных символов С2;- figure 11 is a timing chart of the generated block of check symbols With 2 ;
- на фигуре 12 - временная диаграмма формирования сообщения ;- figure 12 is a timing diagram of the formation of the message ;
- на фигуре 13 - вид порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (Na, Кa) кода;- figure 13 is a view of the generating matrix of a linear block systematic binary noise-immune (N a , K a ) code;
- на фигуре 14 - временная диаграмма сформированного сообщения , разделенного на Тa блоков по Ка символов;- figure 14 is a timing chart of the generated message divided into T a blocks by K a characters;
- на фигуре 15 - временная диаграмма выделенного j-го блока сообщения ;- figure 15 is a timing chart of the selected j-th block of the message ;
- на фигуре 16 - временная диаграмма формирования j-го кодового блока длиной Na двоичных символов;- figure 16 is a timing diagram of the formation of the j-th code block of length N a binary characters;
- на фигуре 17 - временная диаграмма сформированного кодового слова для сообщения , разделенного на Ta блоков по Na символов;- figure 17 is a timing chart of the generated codeword for the message divided into T a blocks of N a characters;
- на фигуре 18 - временная диаграмма сформированного кодового слова для сообщения;- figure 18 is a timing chart of the generated codeword for the message;
- на фигуре 19 - временная диаграмма формирования преобразованного кодового слова;- figure 19 is a timing diagram of the formation of the converted codeword;
- на фигуре 20 - временная диаграмма сформированного блока Х3,- figure 20 is a timing chart of the formed block X 3 ,
- на фигуре 21 - временная диаграмма формирования аутентификатора w;- figure 21 is a timing diagram of the formation of the authenticator w;
- на фигуре 22 - временная диаграмма конкатенации справа аутентификатора w к сообщению ;- figure 22 is a timing diagram of concatenation on the right of the authenticator w to the message ;
- на фигуре 23 - временная диаграмма принятого на ПрСНС сообщения и его аутентификатора w;- figure 23 is a timing chart received at PRSNS messages and its authenticator w;
- на фигуре 24 - временная диаграмма сформированного кодового слова для сообщения;- figure 24 is a timing diagram of the generated codeword for the message;
- на фигуре 25 - временная диаграмма принятого блока Y3;- figure 25 is a timing chart of a received block Y 3 ;
- на фигуре 26 - временная диаграмма формирования аутентификатора w';- figure 26 is a timing diagram of the formation of the authenticator w ';
- на фигуре 27 - временная диаграмма формирования вектора V;- figure 27 is a timing diagram of the formation of the vector V;
- на фигуре 28 - временная диаграмма выделения блоков проверочных символов С1 и С2 из сообщения ;- figure 28 is a timing chart of the allocation of blocks of check characters With 1 and C 2 from the message ;
- на фигуре 29 - временная диаграмма блока проверочных символов С1, разделенного на Т1 подблоков проверочных символов длиной N-К двоичных символов, и выделение из него t-го подблока проверочных символов;- in Fig. 29 is a timing chart of a block of check symbols C 1 divided into T 1 subblocks of check symbols of length N-K binary characters, and the allocation of the t-th sub block of check symbols from it;
- на фигуре 30 - временная диаграмма принятого по каналу с ошибками блока Y1, разделенного на T1 декодируемых подблоков по К символов, и выделение из него t-го декодируемого подблока;- figure 30 is a timing chart of a received channel with errors Y 1 , divided into T 1 decoded subunits of K characters, and the allocation of the t-th decoded subunit from it;
- на фигуре 31 - временная диаграмма конкатенации справа t-го декодируемого подблока и t-го подблока проверочных символов;- figure 31 is a timing diagram of the concatenation on the right of the t-th decoded subunit and the t-th subunit of check symbols;
- на фигуре 32 - временная диаграмма вычисления t-го синдрома S длиной N-К двоичных символов;- figure 32 is a timing diagram of the calculation of the t-th syndrome S of length N-K binary characters;
- на фигуре 33 - временная диаграмма исправления ошибки в t-м декодируемом подблоке по полученному t-му синдрому S;- figure 33 is a timing chart of the error correction in the t-th decoded subunit according to the received t-th syndrome S;
- на фигуре 34 - временная диаграмма формирования декодированной последовательности из Т1 декодируемых подблоков;- figure 34 is a timing diagram of the formation of a decoded sequence of T 1 decoded subunits;
- на фигуре 35 - временная диаграмма сформированного блока X1;- figure 35 is a timing chart of the generated block X 1 ;
- на фигуре 36 - временная диаграмма сформированного блока Х2;- figure 36 is a timing chart of the generated block X 2 ;
- на фигуре 37 - временная диаграмма формирования КлШД Ка.- figure 37 is a timing diagram of the formation of CLSD K a .
На представленных фигурах буквой "А" обозначены действия, происходящие на передающей стороне НС, буквой "В" - на приемной стороне НС. На фигурах заштрихованный импульс представляет собой двоичный символ "1", а не заштрихованный - двоичный символ "0". Знаки "+" и "×" обозначают соответственно сложение и умножение в поле Галуа GF(2). Верхние буквенные индексы обозначают длину последовательности (блока), нижние буквенные индексы обозначают номер элемента в последовательности (блоке).On the presented figures, the letter "A" denotes the actions that occur on the transmitting side of the NS, the letter "B" - on the receiving side of the NS. In the figures, the hatched pulse represents the binary symbol "1", and not the hatched pulse represents the binary symbol "0". The signs “+” and “×” denote addition and multiplication in the Galois field GF (2). Upper letter indices indicate the length of the sequence (block), lower letter indices indicate the number of the element in the sequence (block).
Реализация заявленного способа заключается в следующем. Современные криптосистемы построены по принципу Керкхоффа, описанного, например, в книге Д.Месси, "Введение в современную криптологию", ТИИЭР, т.76, №5, май 1988, с.24, согласно которому полное знание нарушителя включает, кроме, информации, полученной с помощью перехвата, полную информацию о алгоритме взаимодействия законных сторон НС и процессе формирования КлШД. Формирование общего КлШД можно разделить на три основных этапа. Первый этап - обеспечение наличия предварительно сформированных коррелированных последовательностей двоичных символов у законных сторон НС, как исходного материала для формирования КлШД. Предполагается, что у нарушителя имеется своя предварительно сформированная коррелированная последовательность (ПСКП), коррелированная с ПСКП-ми законных сторон НС. Второй этап предназначен для обеспечения формирования КлШД с высокой надежностью. Формирование КлШД с высокой надежностью достигается устранением (исправлением) несовпадающих символов (ошибок) в ПСКП одной законной стороны НС (ПСКП на ПрСНС) относительно ПСКП другой законной стороны НС (ПСКП на ПерСНС), при использовании ЗСНС дополнительной информации о ПСКП (ПСКП на ПрСНС), переданной по каналу связи без ошибок. Предполагается, что нарушитель использует дополнительную информацию для устранения несовпадений в ПСКП-тях ЗСНС для устранения несовпадений в своей ПСКП с последовательностями ЗСНС. Третий этап предназначен для обеспечения формирования КлШД с низким уровнем информации нарушителя о КлШД путем сжатия тождественных последовательностей законных сторон НС, которые были получены ЗСНС после окончания второго этапа. Предполагается, что нарушителю известен алгоритм сжатия последовательностей, который используют ЗСНС. Хранение законными сторонами НС на первом этапе ПСКП-тей приводит к уменьшению стойкости формируемого КлШД к компрометации, т.к. возможно получение нарушителем информации о ПСКП хотя бы одной из законных сторон НС в результате хищения носителей информации, несанкционированного доступа, разглашения информации и др. Это требует выполнения мероприятий по обеспечению надежного хранения полной информации о ПСКП-тях ЗСНС. С другой стороны, при выполнении действий законными сторонами НС второго и третьего этапов для получения КлШД на одних и тех же коротких последовательностях, выделенных из ПСКП-тей ЗСНС, увеличивается вероятность достоверного знания нарушителем сформированного КлШД. Это, также, приводит к уменьшению стойкости формируемого КлШД к компрометации. Кроме этого, при выполнении действий законными сторонами НС по обмену информацией по открытым каналам связи, нарушитель может навязать ЗСНС свой КлШД (или часть КлШД), что приводит к уменьшению стойкости формируемого КлШД к компрометации. Поэтому для формирования КлШД необходимо исключить хранение ПСКП-тей у ЗСНС путем их одновременного формирования, при использовании ЗСНС канала связи с ошибками (возможность формирования КлШД основывается на независимости ошибок, возникающих в канале связи с ошибками законных сторон НС, и ошибок, возникающих в канале перехвата нарушителя), формировать КлШД путем хеширования полученных тождественных последовательностей полной длины.The implementation of the claimed method is as follows. Modern cryptosystems are constructed on the basis of the Kirkhoff principle, described, for example, in the book of D. Messi, "Introduction to Modern Cryptology", TIIER, v. 76, No. 5, May 1988, p.24, according to which the complete knowledge of the violator includes, in addition to, information obtained by interception, complete information about the algorithm for the interaction of the legitimate parties of the National Assembly and the process of formation of CLS. The formation of a common CLSD can be divided into three main stages. The first stage is to ensure the presence of pre-formed correlated sequences of binary symbols for the legitimate parties of the National Assembly, as source material for the formation of CLSD. It is assumed that the violator has its own pre-formed correlated sequence (PSCP), correlated with the PSCP of the legitimate parties of the National Assembly. The second stage is designed to ensure the formation of CLS with high reliability. The formation of CLS with high reliability is achieved by eliminating (correcting) inconsistent characters (errors) in the PSKP of one legitimate NS side (PSKP on PRSNS) relative to PSKP of the other legitimate side NS (PSKP on PRSNS), when using ZSNS additional information on PSKP (PSKP on PRSNS) transmitted over the communication channel without errors. It is assumed that the intruder uses additional information to eliminate inconsistencies in the PSCP-ts of the ZSNS to eliminate inconsistencies in his PSCP-ts with the sequences of the ZSNS. The third stage is designed to ensure the formation of CLS with a low level of information on the CLS by the offender by compressing the identical sequences of the legitimate sides of the NS that were received by the ZSNS after the second stage. It is assumed that the attacker knows the sequence compression algorithm that is used by the MSS. The storage by legal parties of the NS at the first stage of the PSKP-tei leads to a decrease in the resistance of the generated CDS to compromise, because it is possible for an intruder to obtain information about PSCP at least one of the legitimate parties of the National Assembly as a result of theft of information carriers, unauthorized access, disclosure of information, etc. This requires measures to ensure reliable storage of complete information about PSCP-ts ZSNS. On the other hand, when legitimate parties perform actions of the second and third stage NS to obtain CLSD on the same short sequences isolated from the SSPS of the ZSNS, the likelihood of reliable knowledge by the violator of the formed CLSD increases. This, also, leads to a decrease in the resistance of the generated CDS to compromise. In addition, when the legitimate parties of the National Assembly take actions to exchange information through open communication channels, the violator can impose his CLSD (or part of CLSD) on the CSNS, which leads to a decrease in the resistance of the generated CLSD to compromise. Therefore, for the formation of CLSD, it is necessary to exclude the storage of PSCP-tei from the MSS by simultaneously generating them using the MSS of the communication channel with errors (the possibility of generating the MSC is based on the independence of errors arising in the communication channel with errors of the legitimate sides of the NS and errors arising in the interception channel intruder), to form a CWD by hashing the obtained identical sequences of full length.
В заявленном способе формирования ключа шифрования/дешифрования для обеспечения повышенной стойкости сформированного КлШД к компрометации реализуется следующая последовательность действий.In the claimed method of generating an encryption / decryption key to ensure increased resistance of the generated CDS to compromise, the following sequence of actions is implemented.
Нарушитель имеет свой канал перехвата, с помощью которого он получает информацию о переданных блоках Х1, Х2, Х3 по каналу связи с ошибками законных сторон НС (см. фиг.1). Для формирования КлШД с высокой стойкостью к компрометации необходимо создание условий, при которых качество приема в канале связи с ошибками законных сторон НС (т.е. основного канала) будет превосходить качество приема в канале перехвата, т.е. необходимо создать условия, при которых основной канал будет иметь преимущество (лучшее качество приема) по отношению к каналу перехвата. Способы создания таких условий не входят в область, которую рассматривает предлагаемый способ. Известные способы улучшения качества передачи в основном канале по сравнению с качеством канала перехвата описаны, например, в работе В.Коржик, В.Яковлев, А.Синюк, "Протокол выработки ключа с помехами". Проблемы информационной безопасности, Компьютерные системы, №1, СПб: СПбГТУ, 2000, с.52-63.The intruder has his own interception channel, with the help of which he receives information about the transmitted blocks X 1 , X 2 , X 3 through the communication channel with errors of the legitimate parties of the National Assembly (see figure 1). In order to form a CLD with high resistance to compromise, it is necessary to create conditions under which the reception quality in the communication channel with errors of the legitimate sides of the NS (i.e., the main channel) will exceed the reception quality in the interception channel, i.e. it is necessary to create conditions under which the main channel will have an advantage (better reception quality) with respect to the interception channel. Ways to create such conditions are not included in the area considered by the proposed method. Known methods for improving the quality of transmission in the main channel compared to the quality of the interception channel are described, for example, in the work of V. Korzhik, V. Yakovlev, A. Sinyuk, “Protocol for generating a key with interference”. Information Security Problems, Computer Systems, No. 1, St. Petersburg: St. Petersburg State Technical University, 2000, p. 52-63.
На ПерСНС формируют СП в виде трех блоков Х1, Х2, Х3 (см. фиг.2). Известные способы генерирования случайных чисел описаны, например, в книге Д.Кнут, "Искусство программирования для ЭВМ", М., Мир, 1977, т.2, стр.22. Передают блоки Х1, Х2, X3 по каналу связи с ошибками на приемную сторону направления связи (ПрСНС). Временная диаграмма вектора ошибок в канале связи с ошибками показана на фигуре 3. Под термином "вектор ошибок" понимают поразрядную разность между переданным и принятым блоками двоичных символов, как описано, например, в книге А.Зюко, Д.Кловский, М.Назаров, Л.Финк, "Теория передачи сигналов", М., Радио и связь, 1986, стр.93. Принятые по каналу с ошибками блоки Y1, Y2, Y3 показаны на фигуре 4. Известные способы передачи последовательностей по каналам связи с ошибками описаны, например, в книге А.Зюко, Д.Кловский, М.Назаров, Л.Финк, "Теория передачи сигналов", М., Радио и связь, 1986, стр.11.On the PerSNS form a joint venture in the form of three blocks X 1 , X 2 , X 3 (see figure 2). Known methods for generating random numbers are described, for example, in the book of D. Knut, "The Art of Computer Programming", M., Mir, 1977, v.2, p.22. Blocks X 1 , X 2 , X 3 are transmitted over the communication channel with errors to the receiving side of the communication direction (PrSNS). The timing diagram of the error vector in the error communication channel is shown in Figure 3. The term "error vector" refers to the bitwise difference between the transmitted and received blocks of binary symbols, as described, for example, in the book by A. Zyuko, D. Klovsky, M. Nazarov, L. Fink, "Theory of signal transmission", M., Radio and communications, 1986, p. 93. Blocks Y 1 , Y 2 , Y 3 received over the channel with errors are shown in Figure 4. Known methods for transmitting sequences over communication channels with errors are described, for example, in the book by A. Zyuko, D. Klovsky, M. Nazarov, L. Fink, "The theory of signal transmission", M., Radio and communications, 1986, p. 11.
Между сформированными блоками Х1, Х2 на ПерСНС и принятыми блоками Y1, Y2 на ПрСНС остаются несовпадающие символы, что не позволяет ЗСНС приступить к непосредственному формированию КлШД. Устранение этих несовпадений может быть реализовано на основе использования помехоустойчивого кодирования. Однако известные помехоустойчивые коды позволяют кодировать последовательности значительно меньшей длины, чем длины блоков, равные k1, k2 двоичных символов. Для этого применяют последовательное кодирование, т.е. если длины блоков Х1, Х2 велики, например, 105-107 двоичных символов, их разделяют соответственно на T1, T2 подблоков длиной по К символов (см. фиг.6), гдеMismatching characters remain between the generated blocks X 1 , X 2 on the PerSNS and the received blocks Y 1 , Y 2 on the PRSNS, which does not allow the ZSNS to proceed with the direct formation of CLSD. Elimination of these discrepancies can be implemented through the use of error-correcting coding. However, the known error-correcting codes make it possible to encode sequences of significantly shorter length than block lengths equal to k 1 , k 2 binary symbols. For this, sequential coding is used, i.e. if the lengths of the blocks X 1 , X 2 are large, for example, 10 5 -10 7 binary characters, they are divided respectively into T 1 , T 2 sub-blocks of K characters in length (see Fig. 6), where
Каждый подблок длиной К символов кодируется линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом, где К - длина блока информационных символов кода и N - длина кодового блока (см. фиг.7). Линейным двоичным кодом называется код, который построен на основе использования линейных операций в поле GF(2), как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.61. Под термином "блоковый код" понимают код, в котором действия производятся над блоками символов, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.13. Систематическим называется код, в котором кодовое слово начинается с информационных символов, оставшиеся символы кодового слова являются проверочными символами к информационным символам, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.66. Затем формируемые подблоки проверочных символов длиной N - К двоичных символов (см. фиг.8) объединяют в единые блоки проверочных символов C1 и С2 соответственно, с длинами T1(N-К) и T2(N-К) двоичных символов (см. фиг.10). При передаче блоков проверочных символов на ПрСНС и использовании их для устранения несовпадений в блоках Y1 и Y2 то отношению к блокам Х1 и X2 получают декодированные блоки Тогда вероятность ошибочного декодирования блоков Y1 и Y2 может быть определена по формуламEach sub-block of length K symbols is encoded by a linear block systematic binary noise-immunity (N, K) code, where K is the length of the block of information symbols of the code and N is the length of the code block (see Fig. 7). Linear binary code is a code that is built on the basis of the use of linear operations in the GF (2) field, as described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 61. The term "block code" refers to a code in which actions are performed on blocks of characters, as described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 13. A systematic code is one in which the code word begins with information symbols, the remaining symbols of the code word are verification symbols for information symbols, as described, for example, in the book by R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 66. Then, the generated subblocks of check symbols with a length of N - K binary characters (see Fig. 8) are combined into single blocks of check characters C 1 and C 2, respectively, with lengths T 1 (N-K) and T 2 (N-K) of binary characters (see figure 10). When transmitting blocks of check symbols to the PRSNS and using them to eliminate discrepancies in blocks Y 1 and Y 2, then decoded blocks are received with respect to blocks X 1 and X 2 Then the probability of erroneous decoding of blocks Y 1 and Y 2 can be determined by the formulas
где Ре - вероятность ошибочного декодирования подблока длиной К двоичных символов, определяемая, как описано, например, в работе Korjik V., Moralis-Luna G., Balakirsky V. "Privacy amplification theorem for noisy main channel". Lecture notes in computer science, 2001, №2200, pp.18-26. Если информационная часть кодового слова длиной К символов передается по ДСК с вероятностью ошибки рm, а проверочная часть длиной N-К символов передается по бесшумному каналу, то средняя вероятность ошибки по ансамблю (N, К) - кодов может быть оценена сверху модифицированной границей Галлагераwhere P e is the probability of erroneous decoding of a sub-block of length K of binary characters, determined as described, for example, in Korjik V., Moralis-Luna G., Balakirsky V. "Privacy amplification theorem for noisy main channel". Lecture notes in computer science, 2001, No. 2200, pp. 18-26. If the information part of a code word with a length of K characters is transmitted via DSC with an error probability p m , and the verification part with a length of N-K characters is transmitted through a noiseless channel, then the average probability of error in an ensemble of (N, K) codes can be estimated from above by a modified Gallager boundary
гдеWhere
- функция Галлагера для ДСК с вероятностью ошибки рm,- Gallagher function for DSC with error probability p m ,
скорость кода.code speed.
В качестве помехоустойчивых кодов могут использоваться широкий класс кодов Боуза-Чоудхури-Хоквингема, коды Хемминга, Рида-Малера, Рида - Соломона и другие линейные блоковые коды, характеризующиеся своими параметрами N, К. Передача блоков проверочных символов C1 и С2 по обратному каналу связи без ошибок дает возможность нарушителю получить дополнительную информацию о КлШД, путем перехвата блоков проверочных символов С1 и С2. Используя их, нарушитель также исправляет часть несовпадений в своей версии перехваченных блоков СП относительно блоков Х1 и Х2.As error-correcting codes, a wide class of Bowes-Chowdhury-Hockingham codes, Hamming, Reed-Mahler, Reed-Solomon codes and other linear block codes characterized by their parameters N, K can be used. Transmission of blocks of check symbols C 1 and C 2 on the reverse channel Communication without errors enables the intruder to obtain additional information about CLSD by intercepting blocks of check symbols C 1 and C 2 . Using them, the intruder also corrects part of the discrepancies in his version of the intercepted blocks of the joint venture with respect to blocks X 1 and X 2 .
Кодирование блока Х1 на ПерСНС заключается в следующем. Предварительно блок Х1 разделяют на Т1 подблоков длиной К двоичных символов, где Т1=k1/K, как показано на фиг.6. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Последовательно, начиная с 1-го до T1-го, каждый i-й подблок блока Х1, где i=1, 2, 3,..., T1, кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом (см. фиг.7). Порождающая матрица кода имеет размерность К×N, причем N>К. Размеры К и N порождающей матрицы линейного блочного систематического двоичного помехоустойчивого (N, К) кода выбирают К=2m-1-m и N=2m-1, где m≥3, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.71. Для кодирования блока X1 каждый i-й подблок длиной К двоичных символов перемножают на порождающую матрицу кода и получают i-й кодовый блок длиной N двоичных символов, как показано на фиг.8. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", М., Мир, 1986, стр.63. Из i-го кодового блока выделяют i-й подблок проверочных символов длиной N-К двоичных символов (см. фиг.9). Известные способы выделения блоков фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Запоминают i-й подблок проверочных символов в качестве i-го подблока блока проверочных символов кодированного блока X1. Временная диаграмма формирования блока проверочных символов C1 кодированного блока Х1 показана на фигуре 10. Известные способы хранения последовательности бит описаны, например, в книге Л.Мальцев, Э.Фломберг, В.Ямпольский, "Основы цифровой техники", М., Радио и связь, 1986, стр.38. Аналогичным образом кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом блок Х2 на ПерСНС, разделяя его на T2 подблоков длиной К двоичных символов, где T2=k2/K. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Временная диаграмма сформированного блока проверочных символов С2 кодированного блока Х2 показана на фигуре 11.The coding of block X 1 at PersNS is as follows. Previously, block X 1 is divided into T 1 subblocks of length K of binary symbols, where T 1 = k 1 / K, as shown in Fig.6. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. Consistently, starting from the 1st to T 1st , each i-th sub-block of block X 1 , where i = 1, 2, 3, ..., T 1 , is encoded by a linear block systematic binary noise-immunity (N, K) code (see Fig.7). The generating code matrix has dimension K × N, and N> K. The sizes K and N of the generating matrix of the linear block systematic binary noise-immunity (N, K) code are chosen K = 2 m -1-m and N = 2 m -1, where m≥3, as described, for example, in the book of R. Bleikhut, "Theory and practice of error control codes," M., Mir, 1986, p. 71. To encode a block X 1, each i-th subblock of length K of binary symbols is multiplied by a generating code matrix and an i-th code block of length N of binary symbols is obtained, as shown in FIG. Known methods for error-correcting coding of symbol blocks are described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 63. From the i-th code block, the i-th sub-block of check symbols with the length of N-K binary characters is isolated (see Fig. 9). Known methods for allocating fixed-length blocks are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. The i-th sub-block of check symbols is stored as the i-th sub-block of the block of check symbols of the encoded block X 1 . The timing diagram of the formation of a block of check symbols C 1 of the encoded block X 1 is shown in Figure 10. Known methods for storing a sequence of bits are described, for example, in the book by L. Maltsev, E. Flomberg, V. Yampolsky, "Fundamentals of Digital Technology", M., Radio and Communications, 1986, p. 38. Likewise, a linear block systematic binary error-correcting (N, K) code is encoded into a block X 2 at PerSNS, dividing it into T 2 subblocks of length K of binary symbols, where T 2 = k 2 / K. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. The timing diagram of the generated block of check symbols With 2 encoded block X 2 shown in figure 11.
Нарушитель может подменять или имитировать сообщения, передаваемые в канале связи без ошибок, с целью формирования КлШД общего с одним или обоими корреспондентами. Поэтому информация, передаваемая корреспондентами по каналу связи без ошибок, должна быть аутентифицирована. Для достижения этой цели на ПерСНС формируют сообщение путем конкатенации блоков проверочных символов С1 и С2 (см. фиг.12). Затем разделяют сформированное сообщение на Ta блоков длиной по Ка символов (см. фиг.14), гдеThe intruder can substitute or simulate messages transmitted on the communication channel without errors in order to form a CLSD common with one or both correspondents. Therefore, the information transmitted by correspondents over the communication channel without errors must be authenticated. To achieve this goal, a message is generated at PersNS by concatenating blocks of check symbols C 1 and C 2 (see FIG. 12). The generated message is then split. on T a blocks with a length of K a characters (see Fig. 14), where
Каждый блок длиной Ка символов кодируют линейным блоковым систематическим двоичным помехоустойчивым (Na, Кa) кодом, где Ка - длина блока информационных символов кода и Na - длина кодового блока (см. фиг.15). Сформированные кодовые блоки (см. фиг.16) образуют кодовое слово для сообщения (см. фиг.17).Each block with a length of K a symbols is encoded by a linear block systematic binary error-correcting (N a , K a ) code, where K a is the length of the block of information symbols of the code and N a is the length of the code block (see Fig. 15). The generated code blocks (see Fig. 16) form a code word for the message (see Fig. 17).
Кодирование сообщения на ПерСНС заключается в следующем. Предварительно сообщение разделяют на Та блоков длиной Ка двоичных символов, где Та=(N-К)(Т1+Т2)/Ka, как показано на фиг.14. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", М., Высшая школа, 1987, стр.208. Последовательно, начиная с 1-го до Та-го, каждый j-й блок сообщения , где j=1, 2, 3,..., Та, кодируют линейным блоковым систематическим двоичным помехоустойчивым (Na, Кa) кодом (см. фиг.15). Порождающая матрица кода имеет размерность Ка×Na, причем Na>Кa. Размеры Ка и Na порождающей матрицы линейного блочного систематического двоичного помехоустойчивого (Na, Кa) кода выбирают Ка=2m-1-m и Na=2m-1, где m≥3, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.71. Для кодирования сообщения , каждый j-й блок длиной Ка двоичных символов перемножают на порождающую матрицу кода и получают j-й кодовый блок длиной Na двоичных символов, как показано на фиг.16. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.63. Запоминают j-й кодовый блок в качестве j-го блока кодового слова для сообщения . Временная диаграмма формирования кодового слова для сообщения показана на фигуре 17. Известные способы хранения последовательности бит описаны, например, в книге Л.Мальцев, Э.Фломберг, В.Ямпольский, "Основы цифровой техники", M., Радио и связь, 1986, стр.38. Затем преобразуют сформированное кодовое слово для сообщения путем замены в нем символов "0" на "01", а символов "1" на "10" (см. фиг.19). Каждому символу преобразованного кодового слова присваивают порядковый номер s, где s=1, 2,..., NaTa. Аналогичным образом каждому символу блока X3 присваивают порядковый номер s, где, s=1, 2,..., NaTa. Запоминают s-й символ блока Х3, если в преобразованном кодовом слове на s-м месте стоит символ "1". Аутентификатор w образуют как последовательность сохраненных символов блока X3 (см. фиг.21). Далее сообщение и его аутентификатор w передают по открытому каналу связи без ошибок на ПрСНС (см. фиг.22).Message Encoding on PersNS is as follows. Pre message divided into T a blocks of length K a of binary characters, where T a = (N-K) (T 1 + T 2 ) / K a , as shown in FIG. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. Sequentially from the 1st to the T-th and each j-th message block , where j = 1, 2, 3, ..., T a , is encoded by a linear block systematic binary noise-immunity (N a , K a ) code (see Fig. 15). The generating matrix of the code has the dimension K a × N a , and N a > K a . The sizes K a and N a of the generating matrix of the linear block systematic binary noise-immunity (N a , K a ) code are chosen to K a = 2 m -1-m and N a = 2 m -1, where m≥3, as described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes," M., Mir, 1986, p. 71. To encode a message , each j-th block of length K a of binary symbols is multiplied by the generating matrix of the code, and the j-th code block of length N a of binary symbols is obtained, as shown in FIG. Known methods for error-correcting coding of symbol blocks are described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes", M., Mir, 1986, p. 63. The jth code block is stored as the jth codeword block for the message . Timing diagram for generating a code word for a message shown in figure 17. Known methods for storing a sequence of bits are described, for example, in the book of L. Maltsev, E. Flomberg, V. Yampolsky, "Fundamentals of digital technology", M., Radio and communications, 1986, p. 38. The generated codeword for the message is then converted. by replacing the characters "0" with "01" in it, and the characters "1" with "10" (see Fig. 19). Each symbol of the transformed codeword is assigned a sequence number s, where s = 1, 2, ..., N a T a . Similarly, each symbol of block X 3 is assigned a sequence number s, where, s = 1, 2, ..., N a T a . Remember the s-th character of block X 3 , if the symbol "1" is in the s-th place in the converted codeword. The authenticator w is formed as a sequence of stored characters of block X 3 (see FIG. 21). Next message and its authenticator w is transmitted over the open communication channel without errors to the PRNS (see Fig. 22).
Например, преобразованное кодовое слово для сообщения представим в виде вектора , где υi∈(0, 1), а блок Х3 в виде вектора , где xi∈(0, 1). Тогда аутентификатор , в котором для всех j<na, wij=xj, если υij=1, в противном случае wij не формируется.For example, the transformed codeword for the message is represented as a vector , where υ i ∈ (0, 1), and block X 3 in the form of a vector , where x i ∈ (0, 1). Then authenticator , in which for all j <n a , w ij = x j , if υ ij = 1, otherwise w ij is not formed.
На ПрСНС, получив сообщение и его аутентификатор w (см. фиг.23), формируют аутентификатор w'. Для чего формируют кодовое слово для принятого сообщения , используя линейный блоковый систематический двоичный помехоустойчивый (Na, Kа) код. Преобразуют сформированное кодовое слово для сообщения путем замены в нем символов "0" на "01", а символов "1" на "10". Каждому символу преобразованного кодового слова присваивают порядковый номер s, где s=1, 2,..., 2NaTa. Аналогичным образом каждому символу блока Y3 присваивают порядковый номер s, где s=1, 2,..., 2NaTa. Запоминают s-й символ блока Y3, если в преобразованном кодовом слове на s-м месте стоит символ "1". Аутентификатор w' образуют как последовательность сохраненных символов блока Y3 (см. фиг.26).At PRSN, receiving a message and its authenticator w (see FIG. 23), form the authenticator w '. Why form the code word for the received message using a linear block systematic binary noise-immunity (N a , K a ) code. Convert generated codeword for message by replacing the characters "0" with "01" in it, and the characters "1" with "10". Each symbol of the transformed codeword is assigned a sequence number s, where s = 1, 2, ..., 2N a T a . Similarly, each symbol of block Y 3 is assigned a sequence number s, where s = 1, 2, ..., 2N a T a . The s-th character of block Y 3 is remembered if the symbol "1" is in the s-th place in the converted codeword. The authenticator w 'is formed as a sequence of stored characters of block Y 3 (see Fig. 26).
Для проверки подлинности принятого сообщения, на ПрСНС формируют вектор V путем суммирования по модулю два (как описано, например, в книге У.Питерсон, Э.Уэлдон, "Коды, исправляющие ошибки", М.: Мир, 1976. 34 с.) принятого w и сформированного w' аутентификаторов (см. фиг.27). Вычисляют вес w(V) сформированного вектора V, как, например, описано в книге Мак-Вильямс Ф., Слоэн Н., "Теория кодов, исправляющих ошибки", М., Связь, 1979, 19 с. Затем сравнивают полученное значение веса w(V) с предварительно заданным пороговым значением w(V)пор. Если вес w(V) равен или меньше порогового значения w(V)пор, то сообщение считается подлинным, если больше, сообщение отвергается как ложное.To verify the authenticity of the received message, a vector V is formed on the PRNS by summing modulo two (as described, for example, in the book by W. Peterson, E. Weldon, "Codes Correcting Errors", M .: Mir, 1976. 34 pp.) received w and generated w 'authenticators (see FIG. 27). The weight w (V) of the generated vector V is calculated, as, for example, described in the book by Mc-Williams F., Sloane N., "Theory of error-correcting codes", M., Communication, 1979, 19 pp. Then, the obtained weight value w (V) is compared with a predetermined threshold value w (V) of pores . If the weight w (V) is equal to or less than the threshold value w (V) then the message deemed genuine if greater rejected as false.
Описанная процедура аутентификации впервые была предложена в работе Maurer U., "Information-theoretically secure secret-key agreement by NOT authenticated public discussion", Advances in Cryptology - EUROCRYPT 97, Berlin, Germany: Springer-Verlag, 1997, vol.1233, pp.209-225, и получила название аутентифицирующих помехоустойчивых кодов (АП-код).The authentication procedure described was first proposed by Maurer U., "Information-theoretically secure secret-key agreement by NOT authenticated public discussion", Advances in Cryptology - EUROCRYPT 97, Berlin, Germany: Springer-Verlag, 1997, vol. 1233, pp .209-225, and was called authenticating error-correcting codes (AP code).
Основными характеристиками АП-кода являются:The main characteristics of the AP code are:
Рло - вероятность ложного отклонения переданного сообщения, когда нарушитель не вмешивался в процесс передачи.R lo - the probability of false rejection of the transmitted message when the intruder did not interfere in the transmission process.
Pн - вероятность успешного навязывания ложного сообщения.P n - the probability of successfully imposing a false message.
Устойчивость к навязыванию ложных сообщений зависит от так называемого асимметричного кодового расстояния d01, которое определяется числом переходов из 0 в 1 между кодовыми словами, соответствующими истинному и ложному сообщениям.The resistance to the imposition of false messages depends on the so-called asymmetric code distance d 01 , which is determined by the number of transitions from 0 to 1 between code words corresponding to true and false to messages.
Если (nа, ka) - код имеет постоянный вес τ и асимметричное кодовое расстояние d01, то характеристики АП-кода определяются соотношениями (см. работу Korjik V., Bakin M. "Information theoretically secure keyless authentication", IEEE on Information Theory Symposium 2000, Sorrento, Italy, July):If the (n a , k a ) - code has a constant weight τ and an asymmetric code distance d 01 , then the characteristics of the AP code are determined by the relations (see Korjik V., Bakin M. "Information theoretically secure keyless authentication", IEEE on Information Theory Symposium 2000, Sorrento, Italy, July):
В описанном выше способе построения АП-кода (кодирование сообщения линейным блоковым систематическим двоичным помехоустойчивым (Na, Ka) кодом и замены в нем символов "0" на "01", а символов "1" на "10") асимметричное кодовое расстояние d01 совпадает с минимальным расстоянием кода d, которое может быть найдено, например, с помощью границы Варшамова-Гильберта, как описано в книге Мак-Вильямс Ф., Слоэн Н. "Теория кодов, исправляющих ошибки", M.: Связь, 1979, 539 с.In the above described method of constructing an AP-code (encoding messages linear block systematic binary error-correcting (N a, K a) code and replacing it characters "0" to "01" and the symbols "1" to "10") an asymmetrical code distance d 01 coincides with the minimum distance of the code d, which can be found, for example, using the Warsaw-Hilbert boundary, as described in the book by Mc Williams F., Sloane N. "Theory of error correction codes", M .: Communication, 1979 , 539 p.
где g(p)=-plog(p)-(1-p)log(1-p) - энтропийная функция.where g (p) = - plog (p) - (1-p) log (1-p) is the entropy function.
Вес τ всех преобразованных кодовых слов постоянен и равен длине кодового слова для сообщения .The weight τ of all converted codewords is constant and equal to the length of the codeword for the message .
При подлинности сообщения на ПрСНС выделяют блоки проверочных символов C1 и C2, путем разбиения принятого сообщения на две равные части (см. фиг.28). Затем, используя полученные блоки проверочных символов С1 и С2, производят исправление ошибок в принятых ранее по каналу с ошибками блоков Y1, Y2 путем их декодирования. Процедуру декодирования осуществляют следующим образом.When authenticating a message blocks of check symbols C 1 and C 2 are allocated to the PRSNS by splitting the received message into two equal parts (see Fig. 28). Then, using the obtained blocks of check symbols C 1 and C 2 , error correction is made in the previously received error channel Y 1 , Y 2 by decoding them on the channel. The decoding procedure is as follows.
Блок Y1 и блок проверочных символов С1 разделяют на T1 соответствующих пар декодируемых подблоков (см. фиг.30) и подблоков проверочных символов (см. фиг.29), где Т1=k1/K. Длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно К и N-К двоичных символов. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В.Васильев, В.Свириденко, "Системы связи", M., Высшая школа, 1987, стр.208. Формируют Т1 принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к t-му декодируемому подблоку t-го подблока проверочных символов, где t=1, 2, 3,..., T1, как показано на фиг.31. Каждый из T1 принятых кодовых блоков декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, К) кодом (см. фиг.31). Проверочная матрица кода имеет размерность (N-К)×N, причем N>К. Выбирают размеры К и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, К) кода К=2m-1-m и N=2m-1, где m≥3, как описано, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.71. Последовательно, начиная с 1-го до Т1-го, вычисляют t-й синдром S длины N-К двоичных символов перемножением t-го принятого кодового блока на транспонированную проверочную матрицу. Временная диаграмма вычисления t-го синдрома S длиной N-К двоичных символов показана на фигуре 32. По полученному t-му синдрому S исправляют ошибки в t-м декодируемом подблоке (см. фиг.33). Известные способы синдромного декодирования блоков символов описаны, например, в книге Р.Блейхут, "Теория и практика кодов, контролирующих ошибки", M., Мир, 1986, стр.70. Затем t-й декодируемый подблок запоминают в качестве t-го подблока декодированного блока как показано на фиг.34. Известные способы хранения последовательности бит описаны, например, в книге Л.Мальцев, Э.Фломберг, В.Ямпольский, "Основы цифровой техники", M., Радио и связь, 1986, стр.38. Аналогичным образом производят исправления ошибок в блоке Y2 и получают декодированный блок Block Y 1 and block of check symbols C 1 are divided into T 1 corresponding pairs of decoded subblocks (see Fig. 30) and subblocks of check symbols (see Fig. 29), where T 1 = k 1 / K. The lengths of the decoded subblocks and subblocks of the check symbols are selected equal to K and N-K binary symbols, respectively. Known methods of dividing a sequence into blocks of fixed length are described, for example, in the book by V. Vasiliev, V. Sviridenko, “Communication Systems”, M., Higher School, 1987, p. 208. Form T 1 received code blocks with a length of N binary symbols by concatenating to the right of the t-th decoded sub-block of the t-th sub-block of check symbols, where t = 1, 2, 3, ..., T 1 , as shown in Fig. 31. Each of the T 1 received code blocks is decoded by a linear block systematic binary noise-immunity (N, K) code (see FIG. 31). The verification matrix of the code has the dimension (N-K) × N, and N> K. Choose the sizes K and N of the verification matrix of the linear block systematic binary noise-immunity (N, K) code K = 2 m -1-m and N = 2 m -1, where m≥3, as described, for example, in the book of R. Bleikhut, "Theory and practice of error control codes," M., Mir, 1986, p. 71. Consistently, starting from the 1st to the Tth 1st , the t-th syndrome S of length N-K of binary symbols is calculated by multiplying the t-th received code block by the transposed check matrix. The timing diagram for calculating the t-th syndrome S of length N-K binary characters is shown in figure 32. Based on the obtained t-th syndrome S, errors are corrected in the t-th decoded sub-block (see Fig. 33). Known methods for syndromic decoding of symbol blocks are described, for example, in the book of R. Bleikhut, "Theory and Practice of Error Control Codes," M., Mir, 1986, p. 70. Then, the t-th decoded sub-block is stored as the t-th sub-block of the decoded block as shown in FIG. Known methods for storing a sequence of bits are described, for example, in the book of L. Maltsev, E. Flomberg, V. Yampolsky, "Fundamentals of Digital Technology", M., Radio and Communications, 1986, p. 38. In the same way, error correction is performed in block Y 2 and a decoded block is obtained.
Нарушитель, также, может перехватить сообщение и выделить блоки проверочных символов С1 и С2. Используя их, он исправляет часть несовпадений в своей версии перехваченных блоков случайной последовательности. Это обстоятельство ЗСНС учитывают при формировании из блока Х1 и декодированного блока КлШД.An intruder can also intercept a message and highlight the blocks of check characters C 1 and C 2 . Using them, he corrects part of the discrepancies in his version of the intercepted blocks of a random sequence. This circumstance ZSNS take into account when forming from the block X 1 and the decoded block CLSD.
ЗСНС должны сформировать КлШД с малым количеством информации нарушителя о КлШД. Для обеспечения малого количества информации нарушителя о КлШД в предлагаемом способе формирования КлШД используют метод "усиления секретности" блока Х1 и декодированного блока основанный на универсальном хешировании, как описано, например, в книге Bennett С., Brassard G., Crepeau С., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT, vol.41, no.6, pp.1915-1923, 1995, стр.1920. Сущность метода "усиления секретности" заключается в следующем. На ПерСНС выбирают в качестве функции хеширования блок Х2, а на ПрСНС декодированный блок Затем хешируют блок Х1 на ПерСНС и декодированный блок на ПрСНС. Результатом хеширования будет сформированный КлШД ЗСНС.С вероятностью, близкой к единице и равной 1-Pε, происходит событие, при котором информация (информация Шеннона) нарушителя о КлШД не превысит определенной малой величины I0 и с малой вероятностью сбоя Pε возможно событие, при котором информация нарушителя о КлШД будет более I0. При хешировании блока Х1 (блок Х1 длиной k1 двоичных символов) отображается в последовательность Ка длиной l двоичных символов формируемого КлШД на ПерСНС. Аналогично, при хешировании декодированный блок (декодированный блок длиной k1 двоичных символов) отображается в последовательность Кb длиной l двоичных символов формируемого КлШД на ПрСНС. Функция хеширования последовательностей должна удовлетворять ряду требований, как описано, например, в книге Ю.Романец, П.Тимофеев, В.Шаньгин, "Защита информации в компьютерных системах и сетях", М., Радио и связь, 1999, с.156:ZSNS should create KShShD with a small amount of information of the violator about KShShD. To ensure a small amount of information on the CLS offender in the proposed method of forming CLSD using the method of "secrecy" block X 1 and the decoded block based on universal hashing, as described, for example, in Bennett C., Brassard G., Crepeau C., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT, vol. 41, no.6, pp. 1915-1923, 1995, p. 1920. The essence of the method of "enhancing secrecy" is as follows. On PersNS, block X 2 is selected as a hash function, and on PRNS, a decoded block Then hashed block X 1 on PersNS and the decoded block on PRSNS. The result of the hashing will be the generated CLSD of the SNSS. With a probability close to unity and equal to 1-P ε , an event occurs in which the information (Shannon information) of the intruder about the CLSD does not exceed a certain small value of I 0 and an event is possible with a low probability of failure P ε , at which the information on the CLS violator will be more than I 0 . When hashing a block X 1 (a block X 1 with a length of k 1 binary characters), it is mapped into a sequence K and a length l of binary characters of the generated CWSD on PersNS. Similarly, when hashed, the decoded block (decoded block length k 1 binary symbols) is mapped to a sequence K b of length l binary symbols of the generated CLSD on the PRSN. The function of hashing sequences must satisfy a number of requirements, as described, for example, in the book by Yu. Romanets, P. Timofeev, V. Shangin, "Information Security in Computer Systems and Networks", M., Radio and Communications, 1999, p.156:
- функция хеширования должна быть чувствительна к всевозможным изменениям в последовательности, таким как, вставки, выбросы, перестановки и т.п.;- the hash function must be sensitive to all kinds of changes in the sequence, such as inserts, outliers, permutations, etc .;
- функция хеширования должна обладать свойством необратимости, т.е. задача подбора другой последовательности, которая обладала требуемым значением функции хеширования, должна быть вычислительно не разрешима;- the hash function must have the property of irreversibility, i.e. the task of selecting another sequence that possesses the required value of the hash function must be computationally insoluble;
- вероятность коллизии, т.е. вероятность события, при котором значения функции хеширования двух различных последовательностей совпадают, должна быть ничтожно мала.is the probability of collision, i.e. the probability of an event in which the values of the hash function of two different sequences coincide should be negligible.
Кроме этого, функция хеширования должна принадлежать универсальному множеству функций хеширования. Универсальное множество функций хеширования определяется следующим образом. Пусть n и r два положительных целых числа, причем n>r. Множество функций G2, отображающих множество двоичных последовательностей длиной n в множество двоичных последовательностей длиной r, называется универсальным, если для любых различных последовательностей х1 и х2 из множества двоичных последовательностей длины n вероятность (коллизии) того, что значение функции хеширования от х1 равно значению функции хеширования от х2(g(x1)=g(x2)), не больше 2-r, при случайном выборе функции хеширования g, в соответствии с равновероятным распределением, из G2, как описано, например, в книге Carter J., Wegman M., "Universal classes of hash functions". Journal of Computer and System Sciences, 1979, Vol.18, pp.143-154, стр.145. Все линейные функции, отображающие множество двоичных последовательностей длиной n в множество двоичных последовательностей длиной r, принадлежат универсальному множеству, как описано, например, в книге Carter J., Wegman M., "Universal classes of hash functions". Journal of Computer and System Sciences, 1979, Vol.18, pp.143-154, стр.150.In addition, the hash function must belong to a universal set of hash functions. A universal set of hash functions is defined as follows. Let n and r be two positive integers, with n> r. The set of functions G 2 that map the set of binary sequences of length n to the set of binary sequences of length r is called universal if, for any different sequences x 1 and x 2 from the set of binary sequences of length n, the probability (collision) that the value of the hash function is from x 1 equal to the value of the hash function from x 2 (g (x 1 ) = g (x 2 )), not more than 2 -r , with a random choice of the hash function g, in accordance with an equally probable distribution, from G 2 , as described, for example, in Carter J., Wegman M., "Universa l classes of hash functions ". Journal of Computer and System Sciences, 1979, Vol. 18, pp. 143-154, p. 145. All linear functions that map the set of binary sequences of length n to the set of binary sequences of length r belong to the universal set, as described, for example, in Carter J., Wegman M., "Universal classes of hash functions". Journal of Computer and System Sciences, 1979, Vol. 18, pp. 143-154, p. 150.
Хэширование блока Х1 может быть осуществлено как умножение двоичного числа, представленного блоком Х1, на двоичное число, представленное блоком Х2, и выделения из полученного произведения l младших разрядов (см. фиг.37). После формирования ЗСНС КлШД путем хеширования блока Х1 на ПерСНС и декодированного блока на ПрСНС количество информации Шеннона, получаемое нарушителем о КлШД, сформированном ЗСНС, не больше (как показано в работе Яковлев В., Коржик В., Бакаев M. "Протоколы формирования ключа с использованием открытых каналов связи с шумом в условиях активного перехвата. Часть 1. Постановка задачи, основные процедуры, протокол Маурера-Вольфа", Проблемы информационной безопасности. Компьютерные системы. №3 СПб.: СПбГТУ, 2004, с.80), чемThe hashing of block X 1 can be accomplished by multiplying the binary number represented by block X 1 by the binary number represented by block X 2 and extracting l lower order bits from the resulting product (see FIG. 37). After the formation of the CSNS CLSD by hashing the block X 1 on the PerSNS and the decoded block at the PRSNS, the amount of Shannon information received by the intruder about the CLS generated by the ZSNS is no more (as shown by Yakovlev V., Korzhik V., Bakaev M. "Key generation protocols using open communication channels with noise under conditions of active interception.
Информация Реньи t определяется через выражение для энтропии Реньи на символ (энтропия Реньи на символ зависит от вероятности ошибки на бит рw в канале перехвата), которая характеризует неопределенность нарушителя о КлШД, при знании нарушителем информации, полученной с помощью канала перехвата, полной информации о алгоритме взаимодействия законных сторон НС и их действиям по формированию КлШД, как описано, например, в книге Bennett С., Brassard G., Crepeau С., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT. vol.41. no.6. pp.1915-1923, 1995, стр.1919. Энтропия Реньи равнаThe Renyi information t is determined through the expression for the Renyi entropy per symbol (the Renyi entropy per symbol depends on the probability of an error per bit p w in the interception channel), which characterizes the intruder’s uncertainty about CLW, if the intruder knows the information obtained using the interception channel, full information about the algorithm for the interaction of the legitimate parties of the National Assembly and their actions for the formation of CLS, as described, for example, in the book Bennett S., Brassard G., Crepeau S., Maurer U. "Generalized privacy amplification", IEEE Trans. on IT. vol.41. no.6. pp. 1915-1923, 1995, p. 1919. Renyi entropy is equal to
Тогда информация Реньи t, полученная нарушителем при перехвате блока Х1 длиной k1 символов, определяется выражениемThen the Renyi information t obtained by the intruder when intercepting a block X 1 of length k 1 characters is determined by the expression
Количество информации Шеннона, получаемое нарушителем о сформированном ЗСНС КлШД, при использовании ЗСНС метода "усиления секретности", может быть больше ограничения I0 (определенного в (12)) с малой вероятностью сбоя.The amount of Shannon’s information received by the intruder about the CLSD generated by the CCSS when using the CCSC method of “secrecy enhancement” may be greater than the restriction I 0 (defined in (12)) with a low probability of failure.
У нарушителя остается возможность получения полной информации о КлШД ЗСНС в результате хищения носителей информации о блоках Х1, Х2, Х3 несанкционированного доступа к информации о блоках Х1, Х2, Х3 (блоках Y1, Y2, Y3), разглашения информации о блоках X1, X2, Х3 (блоках Y1, Y2, Y3) и др. хотя бы одной из законных сторон НС. Для исключения этой возможности нарушителя ЗСНС после формирования КлШД стирают блоки X1, X2, X3 () на передающей стороне направления связи и блоки Y1, Y2, Y3, на приемной стороне направления связи. Действия по передаче и приему последовательностей по каналу связи с ошибками, прямому и обратному каналам связи без ошибок засинхронизированы. Известные способы синхронизации описаны, например, в книге Е.Мартынов, "Синхронизация в системах передачи дискретных сообщений", М., Связь, 1972, стр.186.The intruder still has the opportunity to obtain complete information about the CLSD of the ZSNS as a result of the theft of information carriers about blocks X 1 , X 2 , X 3 of unauthorized access to information about blocks X 1 , X 2 , X 3 (blocks Y 1 , Y 2 , Y 3 ) , disclosure of information about blocks X 1 , X 2 , X 3 (blocks Y 1 , Y 2 , Y 3 ), etc., at least one of the legal parties of the National Assembly. To exclude this possibility, the intruder of the ZSNS after the formation of the CDS erases the blocks X 1 , X 2 , X 3 () on the transmitting side of the communication direction and blocks Y 1 , Y 2 , Y 3 , on the receiving side of the communication direction. The actions for transmitting and receiving sequences over the communication channel with errors, the forward and reverse communication channels are synchronized without errors. Known methods of synchronization are described, for example, in the book of E. Martynov, "Synchronization in transmission systems of discrete messages", M., Communication, 1972, p.186.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2005126661/09A RU2295199C1 (en) | 2005-08-23 | 2005-08-23 | Method for generation of encryption/decryption key |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2005126661/09A RU2295199C1 (en) | 2005-08-23 | 2005-08-23 | Method for generation of encryption/decryption key |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2295199C1 true RU2295199C1 (en) | 2007-03-10 |
Family
ID=37992598
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2005126661/09A RU2295199C1 (en) | 2005-08-23 | 2005-08-23 | Method for generation of encryption/decryption key |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2295199C1 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2613845C1 (en) * | 2016-04-01 | 2017-03-21 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for forming key of encryption/decryption |
RU2656578C1 (en) * | 2016-11-22 | 2018-06-05 | Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" | Method for generating encryption keys |
RU2684492C1 (en) * | 2018-03-12 | 2019-04-09 | Павел Владимирович Лебедев | Method of generating an encryption/decryption key |
RU2695050C1 (en) * | 2018-07-23 | 2019-07-18 | Павел Владимирович Лебедев | Method of generating an encryption/decryption key |
RU2749016C1 (en) * | 2020-07-13 | 2021-06-03 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Encryption/decryption key generation method |
WO2021133204A1 (en) * | 2019-12-27 | 2021-07-01 | Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | System for the secure transfer of data within a digital network |
RU2766319C1 (en) * | 2021-03-24 | 2022-03-15 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for generating the encryption/decryption key |
RU2774103C1 (en) * | 2021-11-24 | 2022-06-15 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for forming encryption/decryption key |
-
2005
- 2005-08-23 RU RU2005126661/09A patent/RU2295199C1/en not_active IP Right Cessation
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2613845C1 (en) * | 2016-04-01 | 2017-03-21 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for forming key of encryption/decryption |
RU2656578C1 (en) * | 2016-11-22 | 2018-06-05 | Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" | Method for generating encryption keys |
RU2684492C1 (en) * | 2018-03-12 | 2019-04-09 | Павел Владимирович Лебедев | Method of generating an encryption/decryption key |
RU2695050C1 (en) * | 2018-07-23 | 2019-07-18 | Павел Владимирович Лебедев | Method of generating an encryption/decryption key |
WO2021133204A1 (en) * | 2019-12-27 | 2021-07-01 | Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | System for the secure transfer of data within a digital network |
US11728980B2 (en) | 2019-12-27 | 2023-08-15 | Joint Stock Company “Info TeCS” | System for secure data transmission in digital data transmission network using single-pass quantum key distribution system and method of key negotiation during operation of the system |
RU2749016C1 (en) * | 2020-07-13 | 2021-06-03 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Encryption/decryption key generation method |
RU2766319C1 (en) * | 2021-03-24 | 2022-03-15 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for generating the encryption/decryption key |
RU2774103C1 (en) * | 2021-11-24 | 2022-06-15 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина Краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for forming encryption/decryption key |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11558188B2 (en) | Methods for secure data storage | |
Courtois et al. | How to achieve a McEliece-based digital signature scheme | |
US5161244A (en) | Cryptographic system based on information difference | |
RU2367007C2 (en) | Method of transmission and complex protection of information | |
US20030063751A1 (en) | Key agreement protocol based on network dynamics | |
RU2295199C1 (en) | Method for generation of encryption/decryption key | |
Esmaeili et al. | A secure code based cryptosystem via random insertions, deletions, and errors | |
Mihaljević et al. | An approach for stream ciphers design based on joint computing over random and secret data | |
CN107786327B (en) | Safe and reliable transmission method based on LDPC code | |
RU2480923C1 (en) | Method to generate coding/decoding key | |
Vaidyanathaswami et al. | Robustness of physical layer security primitives against attacks on pseudorandom generators | |
RU2183051C2 (en) | Process of formation of encryption/decryption key | |
Esmaeili | Application of linear block codes in cryptography | |
RU2356168C2 (en) | Method for formation of coding/decoding key | |
RU2180469C2 (en) | Encryption/decryption key generation process | |
Mihaljević | A Framework for Stream Ciphers Based on Pseudorandomness, Randomness and Coding | |
RU2180770C2 (en) | Method for generating encryption/decryption key | |
RU2171012C1 (en) | Procedure forming encoding/decoding key | |
RU2684492C1 (en) | Method of generating an encryption/decryption key | |
Moldovyan et al. | Symmetric encryption for error correction | |
RU2713694C1 (en) | Method of generating an encryption / decryption key | |
RU2613845C1 (en) | Method for forming key of encryption/decryption | |
RU2695050C1 (en) | Method of generating an encryption/decryption key | |
RU2749016C1 (en) | Encryption/decryption key generation method | |
RU2774103C1 (en) | Method for forming encryption/decryption key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20070824 |