Способ формирования ключа шифрования/дешифрования

Изобретение относится к области криптографии, а именно к формированию ключа шифрования/дешифрования (КлШД) и может быть использовано в качестве отдельного элемента при построении симметричных криптографических систем, предназначенных для передачи шифрованных речевых, звуковых, телевизионных и др. сообщений.

Предлагаемый способ формирования КлШД может использоваться в криптографических системах в случае отсутствия или потери криптосвязности¹ (¹Криптосвязность - наличие у законных сторон одинакового КлШД) между законными сторонами направления связи² (²Законные стороны НС - т.е. санкционированные участники обмена информации) (НС) или установления криптосвязности между новыми законными сторонами НС (ЗСНС) при ведении нарушителем перехвата, модификации и подмены информации, передаваемой по открытым каналам связи.

Известен способ формирования КлШД, описанный в книге У. Диффи «Первые десять лет криптографии с открытым ключом», ТИИЭР, 1988, т. 76, №5, с. 57-58. Известный способ заключается в предварительном распределении между законными сторонами направления связи чисел α и β, где α - простое число и 1≤β≤α-1. Передающая сторона НС (ПерСНС) и приемная сторона НС (ПрСНС), независимо друг от друга, выбирают случайные числа Х_А и Х_В соответственно, которые хранят в секрете и затем формируют числа на основе Х_А, α, β на ПерСНС и Х_В, α, β на ПрСНС. ЗСНС обмениваются полученными числами по каналам связи без ошибок. После получения чисел корреспондентов законные стороны преобразовывают полученные числа с использованием своих секретных чисел в единый КлШД. Способ позволяет шифровать информацию во время каждого сеанса связи на новых КлШД (т.е. исключает хранение ключевой информации на носителях) и сравнительно быстро формировать КлШД при использовании одного незащищенного канала связи.

Однако известный способ обладает низкой стойкостью КлШД к компрометации³ (³Стойкость КлШД к компрометации - способность криптографической системы противостоять попыткам нарушителя получить КлШД, который сформирован и используется законными сторонами НС, при использовании нарушителем информации о КлШД, полученной в результате перехвата, хищения и утраты носителей, разглашения, анализа и т.д.), время действия КлШД ограничено продолжительностью одного сеанса связи или его части, некорректное распределение чисел α и β приводит к невозможности формирования КлШД.

Известен также способ формирования КлШД при использовании квантового канала связи [Патент RU №2507690 H04L 9/08 от 13.11.12], который позволяет автоматически сформировать КлШД без дополнительных мер по рассылке (доставке) предварительной последовательности. Известный способ заключается в использовании принципа неопределенности квантовой физики и формирует КлШД, посредством передачи фотонов по квантовому каналу. Способ обеспечивает получение КлШД с высокой стойкостью к компрометации, осуществляет гарантированный контроль наличия и степени перехвата КлШД.

Однако реализация известного способа требует высокоточной аппаратуры, что обуславливает высокую стоимость его реализации. Кроме этого, КлШД по данному способу может быть сформирован при использовании волоконно-оптических линий связи ограниченной длины, что существенно ограничивает область применения его на практике.

Известен также способ формирования КлШД на основе информационного различия [Патент РФ №2183051 H04L9/00 от 27.05.02], который заключается в формировании исходной последовательности (ИП), кодировании ее, выделении из кодированной исходной последовательности блока проверочных символов, передаче его по каналу связи без ошибок и формировании декодированной последовательности, а из исходной и декодированной последовательностей формируют ключ шифрования / дешифрования.

Недостатком данного способа является большое время формирования КлШД и сложностью реализации, что приводит к высокой вероятности навязывания нарушителем ложных сообщений и вероятности утечки информации.

Наиболее близким по технической сущности к заявляемому способу формирования КлШД является способ формирования КлШД на основе случайной и декодированной последовательностей [Патент РФ №2295199 H04L9/14 от 23.08.05].

Способ-прототип заключается в том, что формируют случайную последовательность на передающей стороне направления связи, передают ее по каналу связи с ошибками на приемную сторону направления связи, формируют блок проверочных символов для сформированной случайной последовательности, передают его по каналу связи без ошибок на приемную сторону направления связи, где формируют декодированную последовательность, а из случайной и декодированной последовательностей формируют ключ шифрования/дешифрования. Случайную последовательность на передающей стороне направления связи формируют в виде трех блоков Х₁, Х₂, X₃ с длинами k₁, k₂, k₃ соответственно.

Причем где - длина формируемого ключа шифрования/дешифрования, (N,K) и (N_a,K_a) - предварительно заданные на передающей и приемной сторонах направления связи линейные блоковые систематические двоичные помехоустойчивые коды, порождающие матрицы которых имеют соответственно размерности K×N и K_a×N_a, причем N>K и N_a>K_a. Передают по каналу связи с ошибками три блока Х₁, Х₂, X₃, которые принимают на приемной стороне направления связи в виде блоков Y₁, Y₂, Y₃. Формируют на передающей стороне направления связи для первого Х₁ и второго Х₂ блоков блоки проверочных символов C₁ и C₂ с длинами r₁ и r₂ соответственно, где Затем формируют сообщение длиной (r₁+r₂) путем конкатенации блоков проверочных символов C₁ и C₂. После чего формируют аутен-тификатор w для сообщения Передают сообщение и его аутентификатор w по каналу связи без ошибок на приемную сторону направления связи. На приемной стороне направления связи формируют аутентификатор w' для принятого сообщения. А также формируют вектор V путем суммирования по модулю два принятого w и сформированного w' аутентификаторов. Вычисляют вес w(V) вектора V путем подсчета его не нулевых элементов и сравнивают полученный вес w(V) с предварительно заданным пороговым значением веса w(V)_пор. При w(V)>w(V)_пор процесс формирования ключа шифрования/дешифрования прерывают, а при w(V)<w(V)_пор на приемной стороне направления связи из принятого сообщения выделяют блоки проверочных символов C₁ и C₂, путем разбиения принятого сообщения на две равные части. На приемной стороне направления связи из ранее принятых по каналу связи с ошибками блоков Y₁, Y₂ блоков проверочных символов C₁ и C₂ формируют декодированные блоки После чего формируют ключи шифрования/дешифрования на приемной и передающей сторонах направления связи путем хэширования блока Х₁ на передающей стороне направления связи и декодированного блока на приемной стороне направления связи.

Для формирования блока проверочных символов C₁ длиной r₁ для блока X₁, кодируют блок X₁ линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом. Для чего разделяют блок X₁ на T₁=k₁/K подблоков по K символов в каждом. Формируют из каждого i-го подблока, где i=1, 2, …, T₁, i-ый кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности K×N линейного блокового систематического двоичного помехоустойчивого (N,K) кода. Затем выделяют из i-го кодового подблока i-ый подблок проверочных символов длиной (N-K) символов. Совокупность из T₁ подблоков проверочных символов образует блок проверочных символов C₁ для блока X₁.

Для формирования блока проверочных символов C₂ длиной r₂ для блока X₂, кодируют блок X₂ линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом. Для чего разделяют блок X₂ на T₂=k₂/K подблоков по K символов в каждом. Формируют из каждого i-го подблока, где i=1, 2, …, T₂, i-ый кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности K×N линейного блокового систематического двоичного помехоустойчивого (N,K) кода. Затем выделяют из i-го кодового подблока i-ый подблок проверочных символов длиной (N-K) символов. Совокупность из Т₂ подблоков проверочных символов образует блок проверочных символов C₂ для блока X₂.

Для формирования на передающей стороне аутентификатора w сообщения кодируют сообщение линейным блоковым систематическим двоичным помехоустойчивым (N_a,K_a) кодом. Для чего разделяют сообщение на Т_а=(r₁+r₂)/K_a блоков по K_a символов в каждом. Формируют из каждого j-го блока, где j=1, 2, …, Т_а, j-ый кодовый блок длиной N_a символов, перемножением j-го блока на порождающую матрицу размерности K_a×N_a линейного блокового систематического двоичного помехоустойчивого (N_a,K_a) кода. Формируют кодовое слово для сообщения в виде последовательности состоящей из Т_а кодовых блоков. Затем преобразуют кодовое слово для сообщения путем замены в нем символов «0» на «01», а символов «1» на «10». Присваивают каждому символу преобразованного кодового слова и соответствующему символу блока Х₂ порядковые номера s, где s=1, 2, …, 2N_aT_a. Запоминают s-ый символ блока X₃, если в преобразованном кодовом слове s-ый символ равен 1. Последовательность запомненных символов блока Х₃, образует аутентификатор w.

Для формирования на приемной стороне направления связи декодированного блока из принятого блока Y₁ и блока проверочных символов С₁ декодируют принятый блок Y₁ линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом. Для чего разделяют принятый блок Y₁ и блок проверочных символов С₁ на Т₁ соответствующих пар декодируемых и проверочных подблоков, где Т₁=k₁/K. Длины декодируемых подблоков и проверочных подблоков выбирают равными соответственно K и (N-K) двоичных символов. Формируют Т₁ принятых кодовых подблоков длиной N двоичных символов путем конкатенации справа к i-му декодируемому подблоку i-го проверочного подблока, где t=1, 2, 3, …, Т₁. Вычисляют последовательно, начиная с 1-го до T₁-го, i-й синдром S длины (N-K) двоичных символов перемножением i-го принятого кодового подблока на транспонированную проверочную матрицу. Исправляют по полученному i-му синдрому S ошибки в i-ом декодируемом подблоке. Запоминают i-й декодируемый подблок в качестве i-го подблока декодированного блока

Для формирования ключа шифрования/дешифрования путем хеширования на передающей стороне направления связи перемножают блоки Х₁ и Х₂. На приемной стороне перемножают декодированные блоки После чего из полученных после перемножения последовательностей выделяют / младших разрядов.

Недостатком прототипа является относительно высокая вероятность компрометации сформированного КлШД, что объясняется передачей в открытом виде сообщения содержащего блоки случайной последовательности для формирования КлШД. Это дает возможность нарушителю сформировать такой же ключ шифрования/дешифрования.

Целью заявленного способа является разработка способа формирования КлШД, обеспечивающего повышение стойкости сформированного КлШД к компрометации со стороны нарушителя за счет существенного затруднения возможности перехвата случайной последовательности. Повышение стойкости к компрометации формируемых КлШД достигается за счет того что, сам сигнал не содержит информации о случайной последовательности в отличии от способа прототипа. Это достигается путем формирования случайной последовательности с помощью параметра фазовой диаграммы направленности (ФДН) фазированной антенной решетки, который изменяется по случайному закону.

Поставленная цель достигается тем, что в известном способе формирования КлШД заключающемся в том, что на передающей стороне направления связи формируют сигнал s(t)=sin(ωt+ϑ), где где ω - частота передачи, ϑ - начальная фаза, 0≤t≤Т/2, j=l, 2, …, N в виде гармонического колебания. Сигнал с выхода передатчика передают в фазированную антенную решетку со случайной фазовой диаграммой направленности, передают ее по каналу связи с ошибками на приемную сторону направления связи. На приемной стороне направления связи, используя всенаправленную антенну, принимают сигнал у₁(t)=μ_cjcos(ωt+ϕ₁), где 0≤t≤Т/2, j=l, 2, …, N, μ_j - огибающая сигнала, ϕ_j - фаза и вычисляют величину ϕ_j в фазовом детекторе (ФД), используя сигнал опорного генератора, фаза которого синфазна фазе генератора на передаче. Подают на решающее устройство величину разности фаз ϑ_δ=ϑ_j-ϑ_j-1, где j - номер посылки, является числовым параметром - отчетом, который подается на решающее устройство. Затем сравнивают сигнал y' в решающем устройстве с предварительно заданными значениями и принимают решение о приеме символа b по правилу: запоминают «1», если величина разности фаз 0°≤ƒ<90°, 270°<ƒ≤360°; Запоминают «0», если величина разности фаз 90°<ƒ<270°; посылают по служебному каналу сообщение корреспонденту А о том, что этот номер в последовательности стерт, если величина разности фаз ƒ=90°, 270°. Затем на приемной стороне направления связи формируют такой же сигнал в виде гармонического колебания s(t)=sin(ωt+ϑ) где ω - частота передачи, ϑ - начальная фаза, 0≤t≤Т/2, j=l, 2, …, N, и передают его по каналу связи, используя всенаправленную антенну на передающую сторону направления связи. На передающей стороне направления связи принимают сигнал y'(t) и принимают решение о значении символа b' по тому же правилу, как и на приемной стороне связи. Затем запоминают двоичный символ x_j∈0,1

После формирования первого символа, на каждом последующем интервале На передающей стороне направления связи перестраивают ФАР по ФДН случайным образом и передают такой же сигнал s(t)=sin(ωt+ϑ) на приемную сторону направления связи.

В итоге на приемной и передающей сторонах направления связи формируют случайные последовательности Х=x₁, х₂, …, x_N и Y=y₁, y₂, …, y_N соответственно.

Разбивают на приемной и передающей сторонах случайные последовательности X и Y, на три блока Х1, Х2, Х3 и Yl, Y2, Y3 соответственно с длинами k1, k2, k3. Формируют на передающей стороне направления связи для первого Х1 и второго Х2 блоков блоки проверочных символов С1 и С2 с длинами r1 и r2 соответственно, где и Затем формируют сообщение длиной (r1+r2) путем конкатенации блоков проверочных символов С1 и С2. После чего формируют аутентификатор w для сообщения Передают сообщение и его аутентификатор w по каналу связи без ошибок на приемную сторону направления связи. На приемной стороне направления связиформируют аутентификатор w' для принятого сообщения. А также формируют вектор V путем суммирования по модулю два принятого w и сформированного w' аутентификаторов. Вычисляют вес w(V) вектора V путем подсчета его не нулевых элементов и сравнивают полученный вес w(V) с предварительно заданным пороговым значением веса w(V)пор. При w(V)>w(V)пор процесс формирования ключа шифрования/дешифрования прерывают, а при w(V)<w(V)пор сообщение считается подлинным. После чего из случайных последовательностей X и Y на приемной и передающей сторонах направления связи формируют ключи шифрования/дешифрования.

Для формирования блока проверочных символов С₁ длиной r₁ для блока X₁, кодируют блок Х₁ линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом. Для чего разделяют блок Х₁ на Т₁=k₁/K подблоков по K символов в каждом. Формируют из каждого i-го подблока, где i=1, 2, …, Т₁, i-ый кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности K×N линейного блокового систематического двоичного помехоустойчивого (N,K) кода. Затем выделяют из i-го кодового подблока i-ый подблок проверочных символов длиной (N-K) символов. Совокупность из Т₁ подблоков проверочных символов образует блок проверочных символов С₁ для блока Х₁.

Для формирования блока проверочных символов С₂ длиной r₂ для блока Х₂, кодируют блок Х₂ линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом. Для чего разделяют блок Х₂ на Т₂=k₂/K подблоков по K символов в каждом. Формируют из каждого i-го подблока, где i=1, 2,…, Т₂, i-ый кодовый подблок длиной N символов, перемножением i-го подблока на порождающую матрицу размерности K×N линейного блокового систематического двоичного помехоустойчивого (N,K) кода. Затем выделяют из i-го кодового подблока i-ый подблок проверочных символов длиной (N-K) символов. Совокупность из Т₂ подблоков проверочных символов образует блок проверочных символов С₂ для блока Х₂.

Для формирования на передающей стороне аутентификатора w сообщения кодируют сообщение линейным блоковым систематическим двоичным помехоустойчивым (N_a,K_a) кодом. Для чего разделяют сообщение на Т_а=(r₁+r₂)/K_a блоков по K_a символов в каждом. Формируют из каждого j-го блока, где j=1, 2, …, T_a, j-ый кодовый блок длиной N_a символов, перемножением j-го блока на порождающую матрицу размерности K_a×N_a линейного блокового систематического двоичного помехоустойчивого(N_a,K_a) кода. Формируют кодовое слово для сообщения в виде последовательности состоящей из Т_а кодовых блоков. Затем преобразуют кодовое слово для сообщения путем замены в нем символов «0» на «01», а символов «1» на «10». Присваивают каждому символу преобразованного кодового слова и соответствующему символу блока X₃ порядковые номера s, где s=1, 2, …, 2N_aT_a. Запоминают s-ый символ блока X₃, если в преобразованном кодовом слове s-ьт символ равен 1. Последовательность запомненных символов блока Х₃ образует аутентификатор w.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественные всем признакам заявленного решения, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного способа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленный способ поясняется фигурами, на которых показаны:

• на фигуре 1 - формирование цепочек бит с использованием антенны со случайным возбуждением;

• на фигуре 2 - схема оценивания параметра принятого сигнала корреспондентом;

• на фигуре 3 - принцип формирования логических значений «единиц» и «нулей»;

• на фигуре 4 - временная диаграмма сформированной случайной последовательности после разбиения на ПерСНС в виде блоков Х₁, Х₂, Х₃,

• на фигуре 5 - временная диаграмма сформированной случайной последовательности после разбиения на ПрмСНС в виде блоков Y₁, Y₂, Y₃,

• на фигуре 6 - вид порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N,K) кода;

• на фигуре 7 - временная диаграмма сформированного блока Х₁, разделенного на T₁ подблоков по K символов;

• на фигуре 8 - временная диаграмма выделенного i-го подблока блока Х₁;

• на фигуре 9 - временная диаграмма формирования i-го кодового подблока длиной N двоичных символов;

• на фигуре 10 - временная диаграмма выделения i-го подблока проверочных символов длиной N-K двоичных символов;

• на фигуре 11 - временная диаграмма формирования блока проверочных символов C₁;

• на фигуре 12 - временная диаграмма сформированного блока проверочных символов C₂;

• на фигуре 13 - временная диаграмма формирования сообщения

• на фигуре 14 - вид порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N_a,K_a) кода;

• на фигуре 15 - временная диаграмма сформированного сообщения разделенного на Т_а блоков по K_a символов;

• на фигуре 16 - временная диаграмма выделенного j-го блока сообщения

• на фигуре 17 - временная диаграмма формирования j-го кодового блока длиной N_a двоичных символов;

• на фигуре 18 - временная диаграмма сформированного кодового слова для сообщения разделенного на Т_а блоков по N_a символов;

• на фигуре 19 - временная диаграмма сформированного кодового слова для сообщения;

• на фигуре 20 - временная диаграмма формирования преобразованного кодового слова;

• на фигуре 21 - временная диаграмма сформированного блока Х₃;

• на фигуре 22 - временная диаграмма формирования аутентификатора w;

• на фигуре 23 - временная диаграмма конкатенации справа аутентификатора w к сообщению

• на фигуре 24 - временная диаграмма принятого на ПрСНС сообщения и его аутентификатора w;

• на фигуре 25 - временная диаграмма сформированного кодового слова для сообщения;

• на фигуре 26 - временная диаграмма принятого блока Y₃;

• на фигуре 27 - временная диаграмма формирования аутентификатора w';

• на фигуре 28 - временная диаграмма формирования вектора V;

• на фигуре 29 - вероятность несовпадения битовых цепочек у легального корреспондента и нарушителя в зависимости от коэффициента корреляции отсчетов сигнала.

На представленных фигурах буквой «А» обозначены действия, происходящие на передающей стороне НС, буквой «В» - на приемной стороне НС. На фигурах заштрихованный импульс представляет собой двоичный символ «1», а не заштрихованный - двоичный символ «О». Знаки «+» и «х» обозначают соответственно сложение и умножение в поле Галуа GF(2). Верхние буквенные индексы обозначают длину последовательности (блока), нижние буквенные индексы обозначают номер элемента в последовательности (блоке).

Реализация заявленного способа заключается в следующем. Современные криптосистемы построены по принципу Керкхоффа, описанного, например, в книге Д. Месси, «Введение в современную криптологию», ТИИЭР т. 76, №5, май 1988, с. 24, согласно которому полное знание нарушителя включает, кроме, информации полученной с помощью перехвата, полную информацию о алгоритме взаимодействия законных сторон НС и процессе формирования КлШД. Формирование общего КлШД можно разделить на три основных этапа. На первом этапе легальные корреспонденты А и В формируют цепочки случайных бит X₁, Х₂, …, X_N и Y₁, Y₂, …, Y_N соответственно. Для этого используется обмен сигналами по каналу с искусственно изменяемыми параметрами при применении у одного из корреспондентов фазированной антенной решетки (ФАР) со случайным возбуждением. Поскольку цепочки у легальных пользователей в силу ряда причин могут отличаться друг от друга, то на втором этапе осуществляется их согласование путем коррекции несовпадающих бит. С этой целью могут быть использованы различные способы: стирание наименее надежных или наоборот выбор наиболее надежных символов отсчетов принимаемого параметра, и применение помехоустойчивых кодов с передачей проверочных символов по дополнительному (служебному) каналу. Наконец, на третьем этапе из «очищенных» от ошибок цепочек бит на основе методов усиления секретности формируются ключи. Нарушитель Е перехватывает сигналы, которыми обмениваются легальные корреспонденты, и формирует цепочку бит Z₁, Z₂, …, Z_N, которая в силу случайности параметров канала будет отличаться от цепочек бит у легальных корреспондентов. Мы также предполагаем, что нарушитель Е может полностью контролировать дополнительный канал, осуществлять в нем перехват данных или осуществлять имитовоздействие. Однако, нарушитель Е принимая сигнал и выполняя оценку параметра с, формирует символ z_j∈0,1, но, поскольку параметры в силу различия местоположения корреспондентов В и Е и многолучевости распространения сигнала отличаются, то и формируемые биты x_i и z_i также будут отличаться. Степень этого отличия определяется коррелированностью коэффициентов передачи и коррелированностью фазовых сдвигов сигналов по разным направлениям излучения антенны. Очевидно, что величина рассогласования бит, формируемых нарушителем и законным корреспондентом, обуславливает степень безопасности формирования ключа.

В заявленном способе формирования ключа шифрования/дешифрования для обеспечения повышенной стойкости сформированного КлШД к компрометации реализуется следующая последовательность действий.

Корреспондент А формирует последовательность сигналов (радиоимпульсов) вида (см. фиг.1):

Сигнал с выхода передатчика поступает в кольцевую ФАР, управление диаграммой направленности которой осуществляется дискретным по времени случайным процессом. На каждом интервале передачи сигнала параметры антенны не изменяются, однако при передаче сигнала на очередном интервале они изменяются случайным образом.

Корреспондент В, используя всенаправленную антенну, принимает сигнал:

где υ_ij - коэффициент передачи антенны в i-м луче на j-м интервале передачи; μ_i - коэффициент передачи канала в i-м луче; ϑ_ij - фазовый сдвиг в i-м луче на j-том нтервале; k - количество лучей. Далее корреспондент В вычисляет величину ϑ_ij в фазовом детекторе (ФД) (см. фиг. 2). Для вычисления значения фаз принятого колебания используют сигнал опорного генератора, фаза которого синфазна фазе генератора на передаче. Сравнивают сигнал у' в решающем устройстве с предварительно заданными значениями и принимают решение о приеме символа b по правилу(см. фиг. 3):

После приема сигнала на каждом интервале корреспондент В сразу же посылает корреспонденту А точно такой же сигнал s(t)=sin(ωt+ϑ), T/2<t≤Т, j=l, 2, …, N. В силу принципа взаимности (поскольку ДН ФАР пока не изменилась) корреспондент А принимает сигнал x_j(t)≈y_i(t), находит оценку параметра с по тому же правилу, что и корреспондент В. В итоге он формирует двоичный символ x_j∈(0,1). После формирования первого символа, ФАР перестраивается случайным образом и на следующем интервале такой же сигнал с новым значением начальной фазы передается корреспонденту В и т.д.

В итоге корреспонденты А и В формируют случайные последовательности Х=x₁, х₂, …, x_N и Y=y₁, y₂, …, y_N соответственно.

Нарушитель может подменять или имитировать сообщения, передаваемые в канале связи, с целью формирования КлШД общего с одним или обоими корреспондентами. Поэтому информация, передаваемая корреспондентами по каналу связи, должна быть аутентифицирована. Для достижения этой цели корреспонденты А и В разбивают случайные последовательности X и Y, на три блока X1, Х2, Х3 (см. фиг. 4) и Yl, Y2, Y3 (см. фиг. 5) соответственно, с длинами k1, k2, k3. Кодируют блок Х\ на ПерСНС, для чего предварительно блок Х₁ разделяют на Т₁ подблоков длиной K двоичных символов, где Т₁=k₁/K, как показано на фиг. 7. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В. Васильев, В. Свириденко, «Системы связи», М., Высшая школа, 1987, стр. 208. Последовательно, начиная с 1-го до Т₁-го, каждый i-й подблок блока Х₁, где i=1, 2, 3, …, Т₁, кодируют линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом (см. фиг. 8). Порождающая матрица кода (см. фиг. 6) имеет размерность K×N, причем N>K. Размеры K и N порождающей матрицы линейного блочного систематического двоичного помехоустойчивого (N,K) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3, как описано, например, в книге Р. Блейхут, «Теория и практика кодов контролирующих ошибки», М., Мир, 1986, стр. 71. Для кодирования блока Х₁ каждый i-й подблок длиной K двоичных символов перемножают на порождающую матрицу кода и получают i-и кодовый блок длиной N двоичных символов, как показано на фиг. 9. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р. Блейхут, «Теория и практика кодов контролирующих ошибки», М., Мир, 1986, стр. 63. Из i-го кодового блока выделяют i-й подблок проверочных символов длиной N-K двоичных символов (см. фиг. 10). Известные способы выделения блоков фиксированной длины описаны, например, в книге В. Васильев, В. Свириденко, «Системы связи», М., Высшая школа, 1987, стр. 208. Запоминают i-й подблок проверочных символов в качестве i-го подблока блока проверочных символов кодированного блока Х₁. Временная диаграмма формирования блока проверочных символов С₁ кодированного блока Х₁ показана на фиг. 11. Известные способы хранения последовательности бит описаны, например, в книге Л. Мальцев, Э. Фломберг, В. Ямпольский, «Основы цифровой техники», М., Радио и связь, 1986, стр. 38. Аналогичным образом кодируют линейным блоковым систематическим двоичным помехоустойчивым (N,K) кодом блок Х₂ на ПерСНС, разделяя его на на Т₂ подблоков длиной K двоичных символов, где Т₂=k₂/K. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В. Васильев, В. Свириденко, «Системы связи», М., Высшая школа, 1987, стр. 208. Временная диаграмма сформированного блока проверочных символов С₂ кодированного блока Х₂ показана на фиг. 12. На ПерСНС формируют сообщение путем конкатенации блоков проверочных символов С₁ и С₂ (см. фиг. 13). Затем разделяют сформированное сообщение на Т_а блоков длиной по K_a символов (см. фиг. 15), где

Каждый блок длиной K_a символов кодируют линейным блоковым систематическим двоичным помехоустойчивым (N_a,K_a) кодом, где K_a - длина блока информационных символов кода и N_a - длина кодового блока (см. фиг. 16). Сформированные кодовые блоки (см. фиг.17) образуют кодовое слово для сообщения (см. фиг. 18).

Кодирование сообщения на ПерСНС заключается в следующем. Предварительно сообщение разделяют на Т_а блоков длиной K_a двоичных символов, где Т_а=(N-K)(Т₁+Т₂)/K_a, как показано на фиг. 15. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В. Васильев, В. Свириденко, «Системы связи», М., Высшая школа, 1987, стр. 208. Последовательно, начиная с 1-го до i-го, каждый j-й блок сообщения где j=1, 2, 3, …, Т_а, кодируют линейным блоковым систематическим двоичным помехоустойчивым (N_a,K_a) кодом (см. фиг.16). Порождающая матрица кода имеет размерность K_a×N_a, причем N_a>K_a. Размеры K_a и N_a порождающей матрицы линейного блочного систематического двоичного помехоустойчивого (N_a,K_a) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3, как описано, например, в книге Р. Блейхут, «Теория и практика кодов контролирующих ошибки», М., Мир, 1986, стр. 71. Для кодирования сообщения каждый j-й блок длиной K_a двоичных символов перемножают на порождающую матрицу кода и получают j-й кодовый блок длиной N_a двоичных символов, как показано на фиг. 17. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р. Блейхут, «Теория и практика кодов контролирующих ошибки», М., Мир, 1986, стр. 63. Запоминают j-й кодовый блок в качестве -го блока кодового слова для сообщения Временная диаграмма формирования кодового слова для сообщения показана на фиг. 18. Известные способы хранения последовательности бит описаны, например, в книге Л. Мальцев, Э. Фломберг, В. Ямпольский, «Основы цифровой техники», М., Радио и связь, 1986, стр. 38. Затем преобразуют сформированное кодовое слово для сообщения путем замены в нем символов «0» на «01», а символов «1» на «10» (см. фиг. 20). Каждому символу преобразованного кодового слова присваивают порядковый номер s, где s=1, 2, …, 2N_aT_a. Аналогичным образом каждому символу блока Х₃ присваивают порядковый номер s, где s=1, 2, …, 2N_aT_a. Запоминают s-ый символ блока Х₃, если в преобразованном кодовом слове на s-ом месте стоит символ «1». Аутентификатор w образуют как последовательность сохраненных символов блока Х₃ (см. фиг. 22). Далее сообщение и его аутентификатор w передают по открытому каналу связи без ошибок на ПрСНС (см. фиг. 23).

Например, преобразованное кодовое слово для сообщения представим в виде вектора где υ_i∈(0,1), а блок Х₃ в виде вектора где x_i∈(0,1). Тогда аутентификатор в котором для всех j<n_a, w_ij=x_j, если υ_ij=1, в противном случае w_ij не формируется.

На ПрСНС, получив сообщение и его аутентификатор w (см. фиг. 24), формируют аутентификатор w'. Для чего формируют кодовое слово для принятого сообщения используя линейный блоковый систематический двоичный помехоустойчивый (N_a,K_a) код. Преобразуют сформированное кодовое слово для сообщения путем замены в нем символов «0» на «01», а символов «1» на «10». Каждому символу преобразованного кодового слова присваивают порядковый номер s, где s=1, 2, …, 2N_aT_a. Аналогичным образом каждому символу блока Y₃ присваивают порядковый номер s, где s=1, 2, …, 2N_aT_a. Запоминают s-ый символ блока Y₃, если в преобразованном кодовом слове на s-ом месте стоит символ «1». Аутентификатор w' образуют как последовательность сохраненных символов блока Y₃ (см. фиг. 27).

Для проверки подлинности принятого сообщения, на ПрСНС формируют вектор V путем суммирования по модулю два (как описано например в книге У. Питерсон, Э. Уэлдон, «Коды, исправляющие ошибки», М.: Мир, 1976. 34 с. ) принятого w и сформированного w' аутентификаторов (см. фиг. 28). Вычисляют вес w(V) сформированного вектора V как, например, описано в книге Мак-Вильямс Ф., Слоэн Н., «Теория кодов, исправляющих ошибки», М., Связь, 1979, 19 с. Затем сравнивают полученное значение веса w(V) с предварительно заданным пороговым значением w(V)_пор. Если веса w(V) равен или меньше порогового значения w(V)_пор, то сообщение считается подлинным, если больше, сообщение отвергается как ложное. При подлинности сообщения на ПрдСНС и ПрмСНС формируют КлШД.

Описанная процедура аутентификации впервые была предложена в работе Maurer U., «Information-theoretically secure secret-key agreement by NOT authenticated public discussion», Advances in Cryptology - EUROCRYPT 97, Berlin, Germany: Springer-Verlag, 1997, vol. 1233, pp. 209-225, и получила название аутентифицирующих помехоустойчивых кодов (АП-код).

Основными характеристиками АП-кода являются:

Р_ло - вероятность ложного отклонения переданного сообщения, когда нарушитель не вмешивался в процесс передачи.

Р_н - вероятность успешного навязывания ложного сообщения.

Устойчивость к навязыванию ложных сообщений зависит от так называемого асимметричного кодового расстояния d₀₁, которое определяется числом переходов из 0 в 1 между кодовыми словами, соответствующими истинному и ложному сообщениям.

Если (n_a,k_a) - код имеет постоянный вес τ и асимметричное кодовое расстояние d₀₁, то характеристики АП-кода определяются соотношениями (см. работу Korjik V., Bakin М. ((Information theoretically secure keyless authentication)), IEEE on Information Theory Symposium 2000, Sorrento, Italy, July.):

В описанном выше способе построения АП-кода (кодирование сообщения линейным блоковым систематическим двоичным помехоустойчивым (N_a,K_a) кодом и замены в нем символов «О» на «01», а символов «1» на «10») асимметричное кодовое расстояние d₀₁ совпадает с минимальным расстоянием кода d. Которое может быть найдено, например, с помощью границы Варшамова-Гильберта как описано в книге Мак-Вильямс Ф., Слоэн Н. «Теория кодов, исправляющих ошибки», М: Связь, 1979, 539 с.

где - энтропийная функция.

Вес τ всех преобразованных кодовых слов постоянен и равен длине кодового слова для сообщения

Нарушитель, также, принимает сигнал где - параметры аналогичные параметрам сигнала y_j(t), выполняет оценку параметра с и z формирует символ z_j∈0,1. Поскольку параметры в силу различия местоположения корреспондентов В и Е и многолучевости распространения x_i и z_i сигнала будут отличаются, то и формируемые биты также будут отличаться.

Степень этого отличия определяется коррелированностью коэффициентов передачи и коррелированностью фазовых сдвигов сигналов по разным направлениям излучения антенны. Очевидно, что величина рассогласования бит, формируемых нарушителем и законным корреспондентом, обуславливает степень безопасности формирования ключа.

Важнейшим параметром, характеризующим процедуру усиления секретности, является количество информации о ключе, которое может получить нарушитель. Для оценки количества этой информации будем использовать следующую теорему.

Теорема. Пусть X^k последовательность длиной к бит, распределенная между А и В, пусть Z^k эта же последовательность, полученная нарушителем Е по ДСК с вероятностью ошибки p_w. Пусть t - информация Реньи, содержащаяся в Z^k об X^k. Пусть Н - известный пользователям U₂-класс хэш-функций, отображающих h - хэш-функция, выбранная корреспондентом А из Н случайным образом и переданная В по каналу обсуждения. Используя h, корреспонденты А и В вычисляют ключи

Тогда количество информации о ключе, которое получает Е, имеет оценку сверху

Для ДСК с вероятностью ошибки p_w информация Реньи, находится из соотношения:

Если нарушитель Д помимо информации, содержащейся в Z^k, получает дополнительно информацию о последовательности X^k, например, в виде блока С^r проверочных символов кода длиной r, передаваемого от A к В по служебному каналу, то:

которое выполняется с вероятностью:

Таким образом, для оценки количества информации о ключе длиной / бит, получаемой легальным корреспондентом из цепочки бит длиной к при помощи процедуры усиления секретности, необходимо найти оценку информации Реньи, для чего необходимо иметь оценку вероятности p_w различия последовательностей X^k=Xi, X₂, …, X_k и Z^k=Zj, Z₂, …, Z_k.

Будем полагать, что нарушитель принимает решение о переданном символе по тому же правилу (3), что и легальные корреспонденты.

Тогда вероятность ошибки p_w это вероятность события, при котором символы в цепочках y_i и z_i будут отличаться. При этом мы предполагаем, что символы y_i удовлетворяют условиям их приема, т.е. не содержат символов стирания.

Для первого слагаемого можно записать

где w(ξ) - плотность распределения СВ ξ (шумового сигнала в РУ легального пользователя); - плотность распределения СВ (шумового сигнала в РУ нарушителя); - двумерная плотность распределения параметров сигналов, принимаемых законным пользователем В и нарушителем Е.

Шумы можно полагать независимыми, гауссовскими процессами с нулевым математическим ожиданием и дисперсиями тогда (13) можно записать в виде.

Для оценки вероятности ошибки по (13) необходимо знать распределение Если оцениваемым параметром, на основе которого принимается решение о принятом бите, является разность фаз, т.е. ϑ=ϑi-ϑ_i+1, то плотность w(ϑ) имеет треугольное распределение. Это распределение весьма близко к нормальному.

Поэтому сделаем первое допущение, что - плотность двумерного гауссовского распределения:

где r -коэффициент корреляции СВ

Второе допущение сделаем относительно шумов в приемнике легального пользователя и нарушителя. Сначала предположим, что выделение параметра сигнала проходит в отсутствии шумов и отличие параметров (у легального пользователя и нарушителя) друг от друга определяется только случайным возбуждением ФАР и многолучевым распространением радиоволн. При таком допущении мы решаем задачу распределения ключей в заведомо лучших условиях для легального пользователя.

В этом случае соотношение для вероятности p_w(1) может быть записано в следующем виде

Рассмотрим 2-й интеграл.

Используя к интегралу формулу из книги Градштейна И.С.и Рыжика И.М. «Таблицы интегралов, сумм, рядов и произведений», запишем

Подставляя (16) в (15) и произведя замену переменной получаем

Наконец, применяя к интегралу формулу из книги Градштейна И.С.и Рыжика И.М. «Таблицы интегралов, сумм, рядов и произведений», получаем

Полная вероятность ошибки согласно (12) в силу симметрии соотношения равна:

Из данного соотношения следует, что вероятность ошибки не зависит от дисперсий сигналов, а определяется только коэффициентом корреляции.

На фиг. 29 показана зависимость вероятности ошибки p_w от коэффициента корреляции СВ представляющих собой значения оцениваемого параметра, у легального пользователя и нарушителя согласно (17).

На этом же графике (фиг. 29) показана зависимость вероятности ошибки от r, полученная на основе моделирования отсчетов сигнала, представляющих разности фаз соседних посылок, которые имеют треугольное распределение плотности вероятности. Видим, что полученные зависимости имеют достаточно хорошее совпадение. Более того, при одном и том же коэффициенте корреляции вероятность ошибки для треугольного распределения оказывается даже больше. То есть гауссовская аппроксимация с точки зрения обеспечения безопасности формируемого ключа представляется наименее благоприятной.

Тем самым мы показали, что задача распределения ключей по радиоканалам может быть решена не за счет того, что канал нелегального пользователя хуже, чем канал легального пользователя (р<p_w), как предполагалось в прототипе, а за счет того, что перехватываемые нелегальным корреспондентом сигналы частично некоррелированы с сигналами легального корреспондента и причем уровень корреляции может быть достаточно большим (r≤0.9).

1. Способ формирования ключа шифрования/дешифрования, заключающийся в том, что формируют случайную последовательность на передающей стороне направления связи, передают ее по каналу связи с ошибками на приемную сторону направления связи, формируют блок проверочных символов для сформированной случайной последовательности, передают его по каналу связи без ошибок на приемную сторону направления связи, где формируют декодированную последовательность, а из случайных последовательностей формируют ключ шифрования/дешифрования, отличающийся тем, что случайную последовательность на передающей стороне направления связи формируют за счет излучения гармонического сигнала посредством фазированной антенной решетки, диаграмма направленности которой формируется случайным образом, а канал связи с ошибками на приемной стороне направления связи формируют за счет учета многолучевости распространения радиоволн.

2. Способ по п. 1, отличающийся тем, что случайную последовательность длины N на передающей стороне направления связи формируют на тактовых интервалах длины Т, причем в первой половине тактового интервала на передающей стороне направления связи формируют тест-сигнал s(t) в виде гармонического колебания, который с выхода передатчика поступает в фазированную антенную решетку со случайной диаграммой направленности (фиг. 1), а на приемной стороне направления связи, используя всенаправленную антенну, принимают сигнал y(t), находят оценку некоторого параметра b, сравнивают ее с предварительно заданными значениями по правилу (3) и принимают решение о выделении 1 или 0.

3. Способ по п. 1, отличающийся тем, что после приема сигнала на второй половине тактового интервала на приемной стороне направления связи сразу же посылают на передающую сторону точно такой же сигнал s(t), в силу принципа взаимности (поскольку ДН антенны пока не изменилась) на передающей стороне принимают сигнал x(t)≈y(t), находят оценку параметра с по тому же правилу, что и на приемной стороне, и формируют двоичный символ x_j∈0,1, после формирования первого символа на каждом последующем интервале антенну перестраивают случайным образом и передают такой же сигнал, в итоге на приемной и передающей сторонах формируют случайные последовательности X=x₁, x₂, …, x_N и Y=у₁, y₂, …, y_N соответственно.