Моделі і методи забезпечення імітостійкості та конфіденційності в системах обробки інформації

Abstract

Складанний П.М. МОДЕЛІ І МЕТОДИ ЗАБЕЗПЕЧЕННЯ ІМІТОСТІЙКОСТІ ТА КОНФІДЕНЦІЙНОСТІ В СИСТЕМАХ ОБРОБКИ ІНФОРМАЦІЇ. – Кваліфікаційна наукова праця на правах рукопису. Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.06 – Інформаційні технології. – Інститут телекомунікацій і глобального інформаційного простору Національної академії наук України, Київ, 2021. Дисертація присвячена розв`язанню актуального наукового завдання, що полягає у розробленні теоретичних і прикладних засад побудови та забезпечення методами криптографічної обробки інформації імітостійкості та конфіденційності даних в системах обробки інформації з урахуванням множини кіберзагроз та потенційно можливих наслідків їх реалізації. Об’єктом дослідження в роботі є процеси створення та використання нових моделей та методів забезпечення імітостійкості та конфіденційності криптографічного захисту інформації в системах обробки інформації. Предметом дослідження – моделі та методи для забезпечення імітостійкості та конфіденційності даних в системах обробки інформації в умовах зростання потужності кібератак та ймовірності цільового ураження систем. Методи дослідження. При вирішенні поставлених задач в дисертаційній роботі було використано методи теорії ймовірностей та математичної статистики, математичного моделювання, синтезу та аналізу криптосистем. Метою дисертаційної роботи є підвищення рівня імітостійкості та конфіденційності інформації в системах обробки інформації в умовах кібератак, за рахунок розробки й впровадження адекватних умовам застосування методів і моделей забезпечення надійного криптозахисту таких систем. Для досягнення поставленої мети в роботі: 1) досліджено множину актуальних загроз і уразливостей інформації, що циркулює в системах обробки інформації; 2) побудувано уточнені моделі порушника та загроз, а також автоматну модель безпеки функціонування каналів управління системах обробки інформації в умовах впливу кібератак; 3) розроблено метод генерації потоку підстановок для шифру багатоалфавітної заміни для забезпечення в системах обробки інформації конфіденційності та цілісності інформації; 4) розроблено метод виявлення атак на програмні реалізації засобів криптографічного захисту інформації в системах обробки інформації; 5) розроблено модель функціонування (криптосхему) шифратора багатоалфавітної заміни (модулю криптографічного захисту інформації) в системах обробки інформації; 6) вдосконалено метод оцінки ефективності застосування сучасних криптосистем. Метод виявлення атак на програмні реалізації засобів криптографічного захисту інформації в системах обробки інформації розроблено на підставі вимог нормативних документів системи криптографічного захисту інформації щодо необхідності забезпечення контролю цілісності програмного коду, виявлення збоїв засобів захисту та помилок операторів. Метод ґрунтується на уточнених моделях порушника і загроз, а також автоматній моделі безпеки функціонування каналів управління СОІ в умовах впливу кібератак та полягає у дослідженні статистики аномальної поведінки (стану) засобу криптографічного захисту інформації та зводиться до виявлення зміни математичного сподівання в деякій новій випадковій послідовності, сформованій з вихідної. При розробці методу було зроблено припущення, що у випадку штатного функціонування системи обробки інформації деякий потік вимірюваних даних від об’єкту контролю є стаціонарним, а після настання деякої події він змінює розподіл своїх значень. Необхідно максимально точно виявити момент настання цій ситуації та прийняти рішення щодо аномальності ситуації. Як результат, застосування методу виявлення атак на програмні реалізації засобів криптографічного захисту інформації в состемі обробки інформації та дозволяє виявити момент настання певної критичної ситуації та прийняти рішення щодо її аномальності, відновити секретний ключ, за допомогою якого створені зашифровані повідомлення та/або розкрити вихідне значення зашифрованої інформації в СОІ, а також знизити вартість системи виявлення атак на програмні реалізації засобів КЗІ приблизно на 25%. Метод генерації потоку підстановок для шифру БАЗ з метою забезпечення імітостійкого шифрування в СОІ в свою чергу ґрунтується на вирішенні задачі швидкого формування підстановок з симетричної групи підстановок S. Суть методу n полягає у формуванні нижнього рядка підстановки заміни в безповторному наборі підстановок із випадкової (або псевдовипадкової) рівномірно розподіленої послідовності (РРВП). Для цього використовується потік випадкових чисел 𝑗, 𝑗,…,𝑗,… ∈ ℤ таким 0 1 𝑚 𝑛 чином, що символ, який присутній у сформованій частині рядка, відхиляється та у подальшому не використовується. Таким чином процес може продовжуватися досить довго. Як результат, застосування методу генерації потоку підстановок з використанням шифру БАЗ для забезпечення імітостійкого шифрування в СОІ (шифру багатоалфавітної заміни на основі оригінального швидкісного алгоритму формування підстановок замін) дозволить підвищити надійність захисту інформації в СОІ, а також знизити ймовірність підробки команди управління до прийнятної для практичного застосування величини порядку 10-6. Модель функціонування (криптосхему) шифратора БАЗ (модулю КЗІ). Модель включає генератор ПВП, алгоритм генерації підстановок заміни, систему контролю і блокування та вузол шифрування. Базою для моделі стали модель та метод виявлення атак на програмні реалізації засобів КЗІ в СОІ та методу генерації потоку підстановок з використанням шифру БАЗ. Її квінтесенція полягає в тому, що вона передбачає: по-перше, при ініціалізації ключа – генерацію ПВП у відповідному блоці; по-друге, перевірку правильності роботи генератора ПВП у блоці «Вузол контролю та блокування»; по-третє, подачу ПВП сигналу блокування при збої генератора ПВП та його зупинку до відновлення правильної роботи; по-четверте, при позитивному проходженні перевірки ПВП: – початок роботи алгоритму генерації підстановок заміни з подальшим шифруванням даних; – перевірку в блоці «Вузол контролю та блокування». Впровадження зазначеної моделі дозволяє, на відміну від існуючих, забезпечити конфіденційність і цілісність інформації, що циркулює в СОІ та в умовах кібератак забезпечити власне функціональну безпеку і живучість самої системи. Останнім кроком дисертаційних досліджень стало удосконалення методу оцінки ефективності застосування криптосистем в СОІ. Відомо, що у криптографії в якості оцінки ефективності роботи криптосистем, 𝑝 за звичай, використовують співвідношення ⁄, де 𝑅 – мінімальна складність 𝑅 методу криптоаналізу, що обчислюється в елементарних операціях обчислювальної техніки, 𝑝 – ймовірність успішної реалізації цього методу. У роботі ця оцінка набула подальшого розвитку у плані практичного застосування для оцінки відносної ефективності системи захисту інформації в СОІ в умовах кібератак. Зважаючи на матеріальний характер збитків власника СОІ у разі успіху несанкціонованого втручання у її роботу внаслідок успішної кібератаки та виходячи з необхідності здійснення зловмисником певних матеріальних витрат для реалізації цієї атаки, є логічним у якості оцінки рівня відносної ефективності системи захисту (засобу КЗІ) – величини Q – використовувати дещо інше співвідношення У процесі виконання дисертаційної роботи отримано такі основні результати. 1. Розроблено метод генерації потоку підстановок з використанням шифру БАЗ для забезпечення імітостійкого шифрування в СОІ, впровадження якого дозволяє обрати таку степень підстановок, яка б забезпечувала достатню швидкодію криптоперетворення та була б раціональною для забезпечення захисту повідомлень від підробки. 2. Розроблено метод виявлення атак на програмні реалізації засобів криптографічного захисту інформації в СОІ, впровадження якого дозволяє своєчасно виявити момент настання певної критичної ситуації та прийняти рішення щодо подальших дій. 3. Розроблено модель функціонування (криптосхема) шифратора БАЗ (модулю криптографічного захисту інформації) в СОІ, яка є комплексним рішенням в межах двох попередніх методів та впровадження якої дозволяє забезпечити конфіденційність і цілісність інформації, що циркулює в СОІ та в умовах кібератак забезпечити власне функціональну безпеку та живучість самої системи. 4. Удосконалено метод оцінки ефективності застосування криптосистем, який шляхом урахування матеріального характеру збитків власника СОІ у разі успіху несанкціонованого втручання у її роботу, дозволяє визначити границі для відносної ефективності системи захисту інформації в СОІ в умовах реалізації кіберзагроз. 5. Проведено, шляхом імітаційного моделювання процесу нападу на програмну реалізацію засобу КЗІ, експериментальне дослідження моделі функціонування шифратора БАЗ. Це, по-перше, підтвердило дієздатність крипто схеми та, по-друге, в масштабі часу наближеному до реального дозволило впевнитись, що застосування моделі дозволить зменшити час на виявлення атаки приблизно на 20%.