Нацiональний авiацiйний унiверситет Мiнiстерство освiти i науки України Квалiфiкацiйна наукова праця на правах рукопису КОВАЛЕНКО Богдан Анатолiйович УДК 004.056.55 ДИСЕРТАЦIЯ Методи побудови та оцiнки стiйкостi клептографiчних механiзмiв у гiбридних криптосистемах Спецiальнiсть 05.13.21 – Системи захисту iнформацiї Технiчнi науки Подається на здобуття наукового ступеня кандидата технiчних наук Дисертацiя мiстить результати власних дослiджень. Використання iдей, результатiв i текстiв iнших авторiв мають посилання на вiдповiдне джерело Коваленко Б.А. Науковий керiвник: Кудiн Антон Михайлович, доктор технiчних наук, старший науковий спiвробiтник, професор кафедри Київ 2020 Анотацiя Коваленко Б.А. Методи побудови та оцiнки стiйкостi клепто- графiчних механiзмiв у гiбридних криптосистемах. – Квалiфiкацiйна наукова праця на правах рукопису. Дисертацiя на здобуття наукового ступеня кандидата технiчних наук (доктора фiлософiї) за спецiальнiстю 05.13.21 ¾Системи захисту iнформацiї¿. – Нацiональний авiацiйний унiверситет, Мiнiстерство освiти i науки України, Київ, 2020. У дисертацiї розв’язано актуальну наукову задачу розробки методу побудови криптосистем з доведеною вiдсутнiстю клептографiчної модифiкацiї, а також оцiнцi клептографiчних ризикiв криптопримiтивiв на етапi їх стандартизацiї i впровадження. Метою робити є пiдвищення рiвня захищеностi гiбридних криптосистем шляхом зменшення клептографiчних ризикiв через запропонованi методи побудови протоколiв з доведеною вiдсутнiстю клептографiчних каналiв витоку секрету, методи оцiнки ризикiв наявностi клептографiчних лазiвок у криптопримiтивах та методiв синтезу нових клептографiчних механiзмiв з метою вивчення нових пiдходiв до виявлення та протидiї їм. В роботi удосконалено класифiкацiю вразливостей прикладних криптоси- стем Б. Шнаєра в результатi чого отримана класифiкацiя клептографiчних атак за такими критерiями: за закритiстю реалiзацiї, за наслiдками (для iмплементацiї) аналiзу, за рiвнем побудови (лазiвки в нових алгоритмах та модифiкацiя реалiзацiй), за способом впровадження. У дисертацiйнiй роботi вперше було запропоновано математичну модель для протоколiв типу ¾запит-вiдповiдь¿ з клептографiчним каналом витоку секрету, що дозволяє формалiзувати певний клас криптографiчних протоколiв. ! ! Протокол подається у виглядi кортежу hDt; V; U; At;Rt ;At i, де V та U – вiдповiдно простори запитiв та вiдповiдей оракула, At – алгоритм оракула, ! ! Dt – алгоритм перевiрки оракула, Rt ;At – алгоритми вiдновлення та витоку секрету вiдповiдно. Базуючись на запропонованiй моделi були вперше отриманi достатнi умови неможливостi клептографiчної модифiкацiї протоколу, що дозволило побудувати модифiкацiї криптографiчних протоколiв генерацiї nonce та 2 узгодження ключа Дiффi-Хеллмана, що стiйкi до атаки клептографiчної модифiкацiї SETUP. Iдея таких протоколiв полягає у тому, що сторони комунiкацiї не використовують власнi джерела випадковостi. Натомiсть, у випадку необхiдностi генерацiї випадкової послiдовностi, оракул обирає публiчне унiкальне значення з низькою ентропiєю (наприклад, лiчильник або мiтка часу) та перетворює його на випадкове значення використовуючи цифровий пiдпис без рандомiзацiї (наприклад, BLS), а iнша сторона перевiряє цi пiдписи. У випадку порушення автентичностi, оракул пiдозрюється у зловмиснiй модифiкацiї. Також, вперше розроблено метод побудови геш функцiї з клептографiчною лазiвкою, що дозволяє розробнику, який задав стартовий вектор IV , ефективно обчислити невiдому частину повiдомлення за умови наявностi геш коду та вiдомих iнших частин даного повiдомлення. Функцiя побудована на основi широкорозповсюдженої конструкцiї Меркла-Дамгарда та функцiї стиснення на базi блокового шифру. Отримана лазiвка дозволяє Розробнику вiдновлювати до половини повiдомлення, що може застосовуватися, наприклад, для вiдновлення коротких паролей iз геш коду. Одним з ключових результатiв є вперше запропонована метрика ¾клептографiчного потенцiалу¿, яка дозволяє оцiнити максимально можливий розмiр секрету лазiвки Розробника i, таким чином, оцiнити клептографiчнi ризики криптографiчного примiтиву чи системи. Iдея пiдходу полягає у тому, що ми оцiнюємо кiлькiсть iнформацiї у структурi криптографiчного примiтиву, що i є верхньою межею розмiру секрету лазiвки Розробника. При цьому, у випадку, якщо клептографiчний потенцiал є високим, це означає не стiльки ймовiрнiсть наявностi лазiвки, скiльки вiдсутнiсть аргументiв проти її наявностi. Але у випадку, коли потенцiал низький можна стверджувати, що клептографiчна лазiвка вiдсутня. Проте проблема полягає в тому, що обчислити потенцiал на практицi часто неможливо. Тому також вводиться поняття ¾клептографiчної надлишковостi¿, що є нижньою оцiнкою клептографiчного потенцiалу. Для обчислення клептографiчної надлишковостi спершу задається клас еквiвалентних примiтивiв i на основi його потужностi обчислюється надлишковiсть. Користуючись запропонованою метрикою, були отриманi оцiнки 3 клептографiчної надлишковостi для алгоритмiв AES, SHA-256, ГОСТ-28147- 89, росiйського шифру ¾Кузнєчiк¿ та геш функцiї ¾Стрибог¿, українського шифру ¾Калина¿. Виявилося, що серед дослiджених алгоритмiв, найменшу надлишковiсть має AES – 32 бiти, що говорить за малу ймовiрнiсть наявностi лазiвки на противагу росiйського стандарту гешування ¾Стрибог¿ – близько 12 кбiт надлишковостi, яка означає його досить високу клептографiчну ризиковiсть. Отримано подальший розвиток методу Пренеля для побудови фейстелiв- ських шифрiв з диференцiйними шляхами високої ймовiрностi. А саме, був запропонований метод побудови геш функцiї на основi методу Пренеля, що дозволяє Розробнику отримати перевагу у побудовi сильної колiзiї, що може використовуватися у специфiчних режимах роботи геш функцiї, наприклад, протоколi консенсусу типу ¾Proof-of-Work¿ технологiї блокчейн. А саме, якщо Розробник може змiнити послiдовнiсть бiтiв fi0; i1; :::ing за допомогою набору диференцiйних шляхiв повiдомлення з середньою ймовiрнiстю p для кожного, вiн отримує перевагу у пошуку повiдомлення, геш код якого мiстить in нулiв на початку. Отриманi науковi та практичнi результати впровадженi при виконаннi науково-дослiдних проектiв ¾Корифена¿ (номер держреєстрацiї 0118U001653) на замовлення Служби зовнiшньої розвiдки України, ¾Родолiт¿ (номер держреєстрацiї 0111U007473) на замовлення Служби безпеки України та Нацiонального банку України, що пiдкрiплено двома актами впровадження. Ключовi слова: клептографiя, протокол типу ¾запит-вiдповiдь¿, пра- ктична стiйкiсть, SETUP, канал непомiтного витоку секрету, обчислювальна стiйкiсть. Науковi працi, в яких опублiковано основнi науковi результати дисертацiї: 1. Коваленко Б.А., Кудiн А.М., Швидченко I.В., ¾Технологiя блокчейн: питання аналiзу та синтезу¿, Кiбернетика та системний аналiз, т.55, №3, c.165-173, 2019. 2. Коваленко Б.А., Кудiн А.М., ¾Диференцiйний аналiз функцiй хешування та блокових шифрiв: узагальнений пiдхiд¿, Безпека iнформацiї, т.21, №2, с.159–164,2015. 4 3. Коваленко Б.А., Кудiн А.М., ¾Алгоритмiчнi аспекти пошуку прообразiв геш-функцiй на прикладi MD5¿, Захист iнформацiї, т.17, №3, c.205-210, 2015. 4. Коваленко Б.А., Кудiн А.М. ¾Побудова клептографiчних механiзмiв у функцiях гешування¿, Захист iнформацiї, т.21, №2, c.121-128, 2019. 5. Кудiн А.М., Ковальчук Л.В., Коваленко Б.А., ¾Теоретичнi засади та застосування блокчейн-технологiй: iмплементацiя нових протоколiв консенсусу та краудсорсiнг обчислень¿, Математичне та комп’ютерне моделювання, №19, c.62-68, 2019. 6. Коваленко Б.А., ¾Побудова криптографiчних протоколiв вiльних вiд клептографiчних модифiкацiй¿, Безпека iнформацiї, т.25, №2, с.122-126, 2019. 7. Kovalenko B. Kleptography trapdoor free cryptographic protocols [Еле- ктронний ресурс] / B. Kovalenko, A. Kudin // Cryptology ePrint Archive. – 2018. – Режим доступу до ресурсу: https://eprint.iacr.org/2018/989. 8. Коваленко, Б. А. Побудова клептографiчних модифiкацiй функцiй хешування / Б. А. Коваленко, А. М. Кудiн // Матерiали XIII Всеукраїнської науково-практичної конференцiї студентiв, аспiрантiв та молодих вчених ¾Теоретичнi i прикладнi проблеми фiзики, математики та iнформатики¿, м. Київ, 21-23 травня 2015. – Київ : НТУУ ¾КПI¿. – 2015. – с. 122-124. 9. Коваленко Б.А., Кудiн А.М., ¾Диференцiйний аналiз функцiй хешування та блокових шифрiв: узагальнений пiдхiд¿: матерiали п’ятої мiжнар. наук.-практ. конф., 27-29 травня 2015 /М-во освiти i науки України, Прикарпатський нацiонал. унiвер. iм. Василя Стефаника, Вiнницький нацiон. тех. унiвер.– Iвано-Франкiвськ: с.154-157. 10. Коваленко Б.А., ¾Побудова криптографiчних примiтивiв без клептогра- фiчних лазiвок¿: зб. наук. праць за матерiалами мiжнар. наук.-практ. конф., 29 липня 2019 р./ ГО ¾Європейська наукова платформа¿’. – Лондон: т.3, с.97-102. 5 11. Коваленко Б.А., Кудiн А.М. ¾Побудова криптографiчних протоколiв, захищених вiд побудови SETUP¿: збiр. тез наук. допов. конф. ¾Стан та удосконалення безпеки iнформацiйно-телекомунiкацiйних систем¿ 19- 21 червня 2019 р./М-во освiти i науки України, ДССЗI України [та iн.].–Миколаїв: с.23-24. 12. Kovalenko B., Kudin A., ¾Evaluation and minimization of kleptography risks in cryptographic algorithms¿: збiр. тез наук. допов. конф. ¾20th Central European Conference on Cryptology¿ 24-26 червня 2020 р. –Загреб: с.37-38. Abstract Kovalenko B. Methods of kleptographic mechanisms implementation and security estimation in hybrid cryptosystems. – Manuscript. PhD dissertation, specialty 05.13.21 – Information Security Systems. – National Aviation University, Kyiv, 2020 There is actual problem solved in the dissertation, namely the problem of creation approaches and methods for