Устройство криптографической защиты информации

Устройство формирует k групп по n бит, причем n-бит сообщения рассматривают одновременно как адреса ключей для следующей порции размещенных в постоянном запоминающем устройстве (ПЗУ) объемом 2ⁿ; константы распределены по адресам по случайному закону. Шифрование производится сложением по модулю два каждой порции сообщения со своим ключом. После каждого сеанса связи адресация ключей в ПЗУ меняется. Таким образом метод фактически эквивалентен шифрованию одноразовым ключом с длиной, равным длине сообщения., что соответствует выполнению условий теоремы Шеннона о невозможности расшифровки. Использование аппаратно реализованного микропрограммного автомата обеспечивает высокую скорость шифрования.

Предлагаемое изобретение относится к области вычислительной техники и связи и может быть использовано в локальных корпоративных сетях, а также в информационно-управляющих комплексах для защиты передаваемой информации.

Известно более 20 распространенных методов и соответствующих им устройств (или алгоритмов и программ) криптографической защиты информации /1-7/. Известны также патенты 2141729, 2172075, 2188513, 2206120, 2206182, 2211541 и 2212108, которые можно рассматривать как аналоги.

Наиболее близким к предлагаемому является по патенту Российской Федерации (19) RU (11) 2091983 (13) C1 (51) 6 H04L 9100, G06F 12/16 «Способ шифрования двоичной информации и устройство для его осуществления».

Устройство по этому способу формирует К групп по n бит, где n - длина части обрабатываемого текста. Причем каждая из групп обрабатывается в зависимости от значения n-бит секретного ключа, с перемешиванием поточного шифра по случайному закону. Поточный шифр суммируют по модулю 2 с порцией сообщения. Устройство содержит регистр секретного ключа, блок управления, четыре последовательно-параллельных регистра, регистр показателей степени, блок перемешивания бит, логический блок с сумматором по модулю 2, элементы «И», «ИЛИ» и др.

По существу в устройстве по патенту 2091983 сделана попытка для каждой порции информационного сообщения на основе единственного секретного ключа построить «индивидуальный» как они называют поточный шифр с учетом значения самой порции сообщения. Недостатком этого устройства является использование в его структуре весьма сложного устройства возведения n-битного кода (i-1) группы поточного шифра в степень m по модулю Р, а также использование одного фиксированного секретного ключа с числом бит, равным разрядности одной «порции» сообщения.

Целью настоящего изобретения является повышение быстродействия шифрования и повышения уровня криптозащиты.

Сокращения и обозначения: МПА - микропрограммный автомат; МО - микрооперация; с_i - наименование микрооперации; b_k - служебный сигнал; A_j - команда (группа параллельно выполняемый МО); m - число разрядов параллельно кодируемого (декодируемого) сообщения; Рг - регистр памяти или регистр сдвига; Сч - счетчик; ПЗУ - постоянное запоминающее устройство; - логическая операция неравнозначности (сумма по модулю 2); & - символ операции «И»;

₁=1 - признак выполнения последовательности МО ровно m раз;

-1 - признак окончания сообщения;

- импульс синхронизации;

- импульс синхронизации, не совпадающий по времени с импульсом , т.е. (t)& (t)=;

- символ пустого множества;

Сч Рг - считывание информации с регистра;

Зп Рг - запись информации в регистр.

Устройство защиты информации, содержащее цифровой вход 1, соединенный с первым входом схемы И(2), выход которой связан с последовательным входом регистра записи информации РгИ-3, первые параллельные выходы которого через m схем И(4) связаны с первыми входами логического блока 5, параллельные выходы которого соединены со входами регистра сдвига РгС-(6), последовательный выход которого соединен с выходной клеммой 7 канала связи, причем вторые параллельные выходы регистра записи информации РгИ-3 через схемы И(8), регистр адреса РгА-(9), постоянное запоминающее устройство ПЗУ (10) и регистр ключа РгК(11) соединены со вторыми входами логического блока (5); введена независимая последовательная цепь блоков в виде счетчика (12) триггера (13) и микропрограммного автомата (14) с внешними входами Пуск (16) и Останов (17), причем выходы микропрограммного автомата соединены со всеми управляющими входами блоков устройства.

Функционирование во времени предлагаемого устройства определяется тем, что полное сообщение делится на равные части S₀, S₁ , S₂...,S_n, например, участки с числом m разрядов. Величина m равна 8, 12, 16, 24 или более в зависимости от реальных условий и требований потребителя.

Ключи для шифрования представляют собой константы разрядностью m в памяти устройства, число которых равно 2^m. Например для m=16 число констант (ключей) составит N=2¹⁶64000, если m=24, то N4 млн., для m=12-N=4096.

Константа (ключ) с текущим номером i записывается в память по адресу i, а считывается по адресу S_i, где S_i - код порции сообщения.

Значение констант i=0,1,...,N-1 произвольно и практически может быть получено перемешиванием по случайному закону упорядоченных двоичных цифр от 0 до N-1. Тогда при переходе от адреса i к i+1 для всех не будет наблюдаться какого-либо явно выделяемого (периодического и т.п.) закона.

Передача информации в канал связи производится последовательно «порциями» по m разрядов, причем каждая из порций сообщения подвергается следующему преобразованию

Z_i = S_i F(S_i-1),

где i=0,1,2,...,n;

S_i - информационное сообщение;

- логическая операция неравнозначности (сумма по mod2);

S_i-1 - предыдущая «порция» сообщения;

F(S_i) - константа памяти, считанная по адресу, который определяется значением информационного текущего сообщения S_i как номер в двоичном позиционном коде S_i;

Z_i - двоичный код передаваемого сообщения.

Для j=0, S_i-1=0, или любой другой начальный адрес ПЗУ, известный передающей и приемной стороне.

Управление устройством защиты информации осуществляется последовательной цепью в виде счетчика Сч(12) триггера 13 и микропрограммного автомата (МПА)-14, связанного своими выходами с c₀ ,c₁,...,c₁₈) со всеми блоками устройства, причем счетчик (12) имеет входы установки «0» состояния (с₀) и +1 к содержимому счетчику (c₁), триггер имеет вход установки «0» состояния (c₁ ), а МПА-14 входы «Пуск» (16) и останов (17).

После микрооперации «Пуск» MO-c₁₆ производится принудительная установка в исходное нулевое состояние всех блоков МО-С₀ и триггера 13-MO-C₁. Затем m кратным выполнением микроопераций с₁₀c₁₃c₁₄ производится первоначальная запись m бит исходной информации через схему И2 на регистр РгИ(3) с одновременной отметкой МО-С ₁₀ (путем +1 к содержимому счетчика). Счетчик (12) имеет входы установки «0» состояния (с₀) и +1 к содержимому счетчика (), триггер имеет вход установки «0» состояния (с₁), а МПА-14 входы пуск (16) и останов (17), а на счетчике Сч12. При накоплении в счетчике m единиц происходит его переполнение и импульс переполнения устанавливает на триггере 13 логический сигнал ₁=1, согласно которому (см. фиг.2) выполняется последовательность групп микроопераций c₁c₂c₄c₃c₁₈c₅c₇c ₈ до очередного накопления m бит на РгИ(3) с параллельной выдачей информации с регистра РгС(6) на выход 7. Микропрограммный автомат МПА(14), имеющий входы пуск 16 и причем МПА(14) выходными сигналами c₀,c₁,...,c₁₈ связан с соответствующими управляющими входами всех блоков устройства защиты информации 2,3,...,12,13, а входы останов 17 и пуск 16 являются внешними управляющими входами устройства защиты информации.

Функционирование устройства защиты информации осуществляется после подачи внешней микрооперации c₁₆ «пуск» по входу 16 микропрограммного автомата МПА(14) в автоматическом режиме вплоть до останова микрооперацией с₁₇ по входу 17 при выполнении всей программы кодирования или декодирования передаваемого (принимаемого) информационного сообщения. Последовательность МО c₁c₂c₄c₃c₁₈ соответствует установке Тр13 в исходное (нулевое) состояние с₃, затем c₅ с₇с₈ считывание содержимого ПЗУ(10) по адресу, записанному в РгА(9) с записью в регистр ключа РгК(11) и следом по второму выходу РгИ(3) через блок схем «И»(8) микрооперацией c₁₈ производится запись в регистр адреса РгА(9). Следующей командой (группа МО c₅c₇ c₈) производится считывание содержимого информационного регистра РгИ(3) и регистра ключа РгК(11) с проходом через логический блок (5) и записью результата в РгС(6).

После передачи в канал (7) m бит информации дается команда на индикацию (или печать) - MO-c₁₂ при декодировании и выделения признака окончания сообщения (с₁₁) после проверки логического условия ₂ работа МПА либо зацикливается с команды А ₃, либо завершается А9. При кодировании информации команда А8 (МО с₁₂) игнорируется.

В силу обратимости логической операции структура кодера (передающая часть аппаратуры защиты информации) и структура декодера (принимающая часть) совершенно идентичны, равно как и алгоритмы их функционирования.

Реализация устройства защиты информации возможна как на элементах средней интеграции, так и на БИС, т.к. все блоки являются типовыми и не имеют особенностей. Следует заметить, что в настоящее время ПЗУ имеют разрядность выхода m=4 или 8 разрядов (бит). Поэтому если в устройстве защиты информации принять, например m=16, то это значит вместо одного блока ПЗУ(10) потребуется поставить два ПЗУ, работающих параллельно, т.е. все связи в блок-схеме рис.1 не поменяются. При m=12 потребуется 2 параллельных ПЗУ: одно С8-ю и второе С 4-мя выходами.

Следует также обратить внимание на то, что блок 5 не имеет управляющих сигналов, т.к. это логическая (комбинационная) схема, обеспечивающая образование суммы по модулю 2 при подаче на нее параллельных кодов с РгК (11) и РгИ (3) сигналами c₅ и с_14.

Реализация алгоритма фиг.2 может осуществляться на микропроцессоре, для медленнодействующих каналов связи и в виде специального схемного (аппаратного) варианта.

В последнем случае по алгоритму фиг.2 сопоставляется граф МПА фиг.3, для которого расшифровка команд А_j приведена в табл.3, а условия переходов от A_j к А_j+1 в табл.4.

Для удобства анализа функционирования МПА на фиг.2 рядом с операторами A_j приведены соответствующие им микрооперации, хотя вся эта информация есть в табл.1 и 3.

Как видно из фиг.2, закон функционирования МПА при переходах от A₀ до A₉ подчиняется в основном закону суммирующего счетчика, т.к.

,

где t - настоящий момент времени;

t+1 - последующий (после синхронизации ) момент времени (символ безраличия «~» обозначает тот факт, что может быть как , так и );

Z_j=_j если к А_i имеется переход от A _i-l по условию _j, в противном случае переход осуществляется без _j.

Тогда, следует сформировать лишь три сигнала A₂, А₃, A₇, не соответствующих изменению состояний на 1 как в счетчике.

Во всех других случаях следует подать сигнал, являющийся микрооперацией плюс «1» к содержимому специального счетчика, являющийся памятью МПА.

В криптографических системах защиты информации чаще всего используется операция неравнозначности (сложение по модулю 2), но в данном методе может использоваться и другая логическая операция, например, операция тождественности (), импликации () и др.

Микропрограммный автомат (МПА-14) по входу «пуск»-16 связан с единичным входом триггера 18 и первым входом схемы ИЛИ-19, причем единичный выход триггера 18 соединен с первыми входами схем И-20, 21, 22, при этом выход генератора импульсов 23 со вторыми входами схемы ИЛИ-19 и схемы И-20, а выход генератора импульсов соединен со вторым входом схемы И-21, 22, а третий вход схемы И-21 соединен с единичным выходом триггера 24, нулевой выход которого соединен с третьим входом схемы И-22 и первым входом схемы ИЛИ-25, а нулевой вход с выходом схемы ИЛИ-19, выход которой соединен со всеми нулевыми входами триггеров y₀y₁y₂y₃ регистра памяти 26, параллельные выходы которых соединены с последовательной цепью блоков, образованных соединением выходов входов блока триггеров 26, блока схем И-27, триггеров x₀x₁x ₂x₃ счетчика Сч28 и дешифратора 29, параллельные выходы которого соединены одновременно со входами комбинационных схем КС-1(30) и КС-2(31), а вход синхронизации ДС-29 соединен с выходом схемы И-20; выход схемы И-21 соединен с суммирующим входом Сч28, выход схемы И-22 через схему ИЛИ-32 соединен с синхронизирующим входом блока И-27, при этом вторые входы схем И25 и И32 образуют независимые сигнальные входы c₁₉ и c₂₀ соответственно; при этом первые выходы y₀y₁ y₂y₃ комбинационной схемы КС1(30) соединены с единичными входами триггеров y₀y₁y ₂y₃ регистра Рг26, пятый выход f₀ схемы блока КС-1(30) соединен с первым входом схемы ИЛИЗЗ, выход которой соединен с нулевым входом триггера 18, а второй вход схемы ИЛИЗЗ образует независимый сигнальный вход с 17-«останов», шестой вход КС1(30) соединен с единичным входом триггера 24; причем выходы комбинационной схемы КС2(31) образуют управляющие входы микроопераций c₀c₁...c₁₈ устройства защиты информации. Комбинационная схема КС1(30) имеет также два независимых входа 34 и 35 для подключения внешних логических сигналов ₁ и ₂.

МПА функционирует в следующей последовательности.

Первоначально включается все устройство защиты информации подачей питающего напряжения Е (в том числе и на генератор импульсов ГИ23), одновременно подаются последовательно сигналы c₁₉ и с₂₀, при этом Рг26 и Сч27 переводятся в исходное (нулевое) состояние. Сигналом Пуск c₁₆, по входу 16 триггер 18 переводится в состояние «1», а триггер 24 через схему ИЛИ19 в состояние «0». Тем самым разрешается прохождение импульса через схему И20 на опрос дешифратора ДС29 и импульса через схемы И22 и ИЛИ-32 на вход синхронизации блока И27. Первый же импульс от ГИ23

через схему И20 опрашивает дешифратор ДС29, на выходе которого появляется один из импульсов A₀ A₁...A₉. Так как первоначально МПА находится в нулевом исходном состоянии, то все триггеры Сч28 x₀ x₁x₂x₃ обращены в «0», тогда на выходе ДС29 появится сигнал A₀, который через схему КС-2 образует последовательность микроопераций из списка c₀c₁...c₁₈ соответствующих команде А₀, а через схему КС1 образуется либо группа сигналов y₀y₁y₂y₃ для возбуждения единичных входов триггеров Рг26 либо сигнал b₄, который посредством триггера 24 запрещает прохождение сигнала через схемы И22, ИЛИ32 на блок схем И27 и дает возможность прохождения сигнала на суммирующий вход Сч28.

Сигналы y ₀y₁y₂y₃ и b₄ являются взаимоисключающими, что подробно поясняется далее при описании конкретной реализации схем КС1(30) и КС2(31).

Предположим, что ДС29 через КС1 сформированы по сигналу значения выходов y₀y₁y₂ y₃, которые установят соответствующие триггеры Рг26 в единичные «1» состояния (нулевое состояние всем триггерам установлено ранее), тогда по сигналу через схемы И22 и ИЛИ32 с помощью схем И27 парафазным параллельным кодом состояние Рг26 переписывается на Сч28. Таким образом МПА переходит в новое состояние Aj.

После же действия сигнала b₄ прохождение сигнала через И22, ИЛИ32 запрещено, т.к. Тр24 переведен этим сигналом в единичное состояние и разрешение дано схеме И21; тогда импульс изменит состояние Сч28, прибавляя «1» по суммирующему входу и МПА также переходит в новое состояние А_i.

Для определения формальных зависимостей, реализуемых схемами КС-1(30) и КС-2(31) по табл.3 и 4 составим табл.5, в которой коду ₂₁x₃x₂x₁x ₀ (где ₂₁ - значения независимых внешних потенциальных сигналов на клеммах 34 и 35. Сопоставим коды состояний A(t+1) (т.е. y₃y₂y₁y₀) для переходов, отличающихся от переходов в счетчике.

На основании табл.5 получим табл.6, а после очевидных преобразований (вынос за скобки общих членов с введением новых обозначений z ₁ и z₂) получим табл.6. Таблице 6 соответствует схема КС1(30) фиг.5, а по табл.2 определяется комбинационная схема КС2(31). Из фиг.6 видно, что КС2(31) по структуре тривиальна, т.к. содержит лишь одну схему ИЛИ, а все остальные выходы определяются сигналами ДС28.

Схема КС1(30) также относится к числу простейших комбинационных схем включающей четыре схемы «И», одну схему ИЛИ-НЕ и две схемы ИЛИ.

Комбинационная схема КС1(30) состоит из схем И40, 41, 42, 43, причем выход 2 ДС29 подключен к первому входу И40, а выход 7 - к первому входу И41, на вторые входы которых подан сигнал , выход 9 подключен к первым входам И42 и И43, причем ко второму входу И42 подключен сигнал , а ко второму входу И43 - сигнал ₂, при этом выходы схем И43 и И41 объединяются схемой И44 и образуют выход y₀, а выход схемы ИЛИ44 и выход схемы И40 объединяются схемой ИЛИ45 и образуют выход y₁, при этом

выход схемы И42 образует сигнал f₀, а сигнал b₄ образуется объединением схемой ИЛИ-НЕ выходов И40, И41 и девятого выхода ДС29.

К.Шенноном /3/ доказано, что если ключ является фундаментом истинно случайной двоичной последовательности с равномерным законом распределения, причем длина его равна длине исходного сообщения и используется этот ключ только один раз, то такой шифр является абсолютно стойким.

Заметим, что в предлагаемом устройстве можно сказать, что выполняются условия теоремы К.Шеннона, т.к. имеется:

- равенство длины ключа и открытого текста, что следует из структурной организации предлагаемого устройства и его функционирования;

- однократное использование ключа, т.к. согласно методу при использовании другого текста с помощью ПЗУ будет формироваться и другой ключ.

Причем прямой зависимости значения ключа от текста сообщения нет, так как код порции Z_j сообщения определяет не значение кода (ключа) (двоичной цифры), а лишь адрес этого ключа в ПЗУ. Содержимое числового блока ПЗУ упорядочено по случайному закону, известному адресату и получателю.

В связи с тем, что все константы различны и неупорядочены по значениям (рассортированы по случайному закону) даже при m=8, N=256 предлагаемое устройство использует метод шифрования с ключом К=m N=8·256=2048. Для m=16, K=2²⁰.

Как известно /1, стр.11-12/, ключи длиной 128 бит и более останутся недопустимыми для вскрытия методом грубой силы (перебор) не только на сегодня, но и в будущем.

Преимущество устройства заключается в быстродействии кодирования и декодирования. Как известно, алгоритм Фейстеля /1, 2, 3/, являющийся основой американской системы защиты DES, использует 56-битный ключ /2 стр.46/, а в российском госте 256-битный.

В американской системе 16 раундов шифрования, а в Российской - 32.

Сам однораундовый алгоритм Фейстеля весьма сложен, т.к. содержит не только операции с блоком в 64 бита, но и операции сдвига и подстановки частей информации, что требует большого числа ячеек оперативной памяти и высокого быстродействия универсальных вычислительных средств обработки информации для выполнения многочисленных пересылок и сдвигов информации. В алгоритме Blowfish используется 16 раундов, причем 521 итерация только для получения подключей.

Преимущества предлагаемого устройства по сравнению с прототипом очевидны. В прототипе «индивидуальный», как они называют, поточный шифр формируется через сложный блок возведения (i-1) позиций в степень m по модулю Р, с последующим формированием от специального датчика случайного кода и его запоминания.

В предлагаемом устройстве этот код формируется простым считыванием из ПЗУ индивидуального ключа по адресу, которым является код предыдущей

(i-1) порции сообщения. Причем константы в ПЗУ заранее (до начала работы) «перемещены» по случайному закону.

Эти конструктивные отличия предлагаемого устройства обеспечивают не только его простоту структурной организации, но и преимущества в быстродействии, в эффективности и криптостойкости.

Преимущества предлагаемого устройства заключаются также в том, что величина разрядности m порции информации, подлежащей шифрации или дешифрации может отличаться от величины целой степени двойки. Как известно, типовые средства вычислительной техники (микропроцессоры, контроллеры, микроЭВМ и до.) имеют разрядность 8, 16, 32 и 64.

Средства малой интеграции имеют разрядность 1, 4, 8, 16. Эти же и промежуточные разрядности реализуются на элементах большой и сверхбольшой интеграции (Программируемые логические матрицы - ПЛМ и программируемые логические интегральные схемы - ПЛИС). Наряду с типовой разрядностью 1, 4, 8, 16, 32, 64 для специальных средств допустима разрядность 12, 24, 48 в связи с простотой автоматной реализации. Для всего комплекса устройств фиг.1 и фиг.4 может быть выбрано m, например, равное 24. Известно, что для представления всего числа букв и служебных символов выводится не более 8 бит, следовательно в 24 битах может быть максимум три символа или меньше, если часть двоичных разрядов используется для помехозащищенного представления информации. В этом случае число ключей 2²⁴16 млн., а длина ключа равна 24 битам. Согласно методу комбинация 24·2²⁴ одноразово «покрывает» весь зашифрованный текст, что эквивалентно методу Гаммирования с таким случайным одноразовым ключом. Более того использование разрядности m=12, 24, 48 дополнительно затрудняет криптоанализ на типовых вычислительных средствах с разрядностью 8, 16, 32.

Быстродействие же предложенного метода и устройства его реализующего остается вне конкуренции по сравнению со всеми известными средствами и методами защиты информации.

Предлагаемое устройство криптографической защиты информации в отличие от всех известных допускает также такую модификацию (тривиально реализуемую аппаратными методами) при которой после каждой передачи информации возможно в автоматическом режиме изменение величин и ключей без изменения адресации ПЗУ, например, за счет циклического сдвига выбранной константы без перезаписи самого содержимого ПЗУ. При второй передаче F(S_j) автоматически заменяется на F(S_j)+1, затем +2, +3, +4 и т.д. по сигналу окончания передачи в приемной и передающей аппаратуре для подготовки к следующему сеансу связи. Тогда одна и та же комбинация ключей повторится только после 2²⁴ передач, но к тому времени источник и приемник информации согласованно поменяют базовый «текст» ключей ПЗУ.

Все вышеперечисленные преимущества предлагаемого метода и устройства его реализующего подтверждают:

- его принципиальные отличия от известных методов;

- возможность простой аппаратной реализации на элементах средней и большой интеграции;

- близость к методу «Гаммирования» с одноразовым случайным ключом, покрывающим весь текст сообщения;

- возможность работы с разрядностью не кратной степени двойки;

- преимущества в быстродействии реализации, которое может составить 3-5 порядков по сравнению с известными методами;

- сложность криптоанализа для «взлома» шифра;

- возможность использования режимов, эквивалентных автоматической смене всех ключей перед новым сеансом связи при реализации устройства на современных сверхбыстродействующих элементах вычислительной техники;

- «обратимость» аппаратной реализации, т.е. способность одного и того же устройства работать как в режиме шифрации, так и в режиме дешифрации.

Авторы

Мухопад Юрий Федорович - доктор технических наук, профессор, заведующий кафедрой «Управление техническими системами» Иркутского государственного университета путей сообщения.

Мухопад Александр Юрьевич - аспирант ИрГУПС.

Агафонов Тимофей Борисович - кандидат технических наук, ведущий программист ВСЖД.

Устройство защиты информации, состоящее из приемного регистра, регистра сдвига информации, регистра ключа длиной n-бит, логического блока, отличающееся тем, что дополнительно введено постоянное устройство с числом ключей, равным 2ⁿ, микропрограммный автомат и изменены связи между элементами так, что своими параллельными входами-выходами образована кольцевая последовательная цепь блоков из регистра адреса, постоянного запоминающего устройства, регистра ключа, логического блока, первого регистра схем И, регистра записи информации, второго регистра схем И, связанного своими выходами со входами регистра адреса, причем выходы логического блока параллельно соединены с выходным регистром сдвига; последовательный вход регистра записи информации через схему И соединен с внешним входом устройства защиты информации, а все сигналы управления формируются последовательной цепью блоков в виде счетчика, имеющего вход установки нуля, вход увеличения содержимого счетчика на «1» и управляющий вход, выход счетчика соединен с единичным входом управляющего триггера, имеющего внешний вход установки в нулевое состояние, единичный выход управляющего триггера соединен со входом микропрограммного автомата, имеющем внешние входы «Пуск» и «Останов», выходы которого соединяются со всеми входами микроопераций всех блоков последовательной цепи и выходного регистра сдвига.