Способ мультимодульного шифрования

1 Область техники, к которой относится изобретение Настоящее изобретение относится к области шифрования и дешифрования данных, в особенности данных, которые должны оставаться недоступными для недопущенных к ним лиц или приложений в контексте телевизионных систем с оплатой каждой просматриваемой передачи. Уровень техники В системах указанного типа данные шифруются с использованием средств (называемых подсистемой кодирования), которые находятся в безопасной зоне и используют значительную вычислительную мощность. Затем данные посылаются с помощью известных средств, по меньшей мере, в одну децентрализованную подсистему, где они дешифруются, обычно посредством интегрированного приемника-декодера(чип-карты). Существует возможность, что лицо, которому не разрешено пользование системой, получит неограниченный доступ к этой интеллектуальной карточке и к взаимодействующей с ней децентрализованной подсистеме. Известна практика объединения различных средств шифрования/дешифрования в единую цепочку, образующую систему шифрования/дешифрования. В дальнейшем описании изобретения термин шифрование/дешифрование будет относиться к конкретным криптографическим средствам, используемым в составе более крупной системы шифрования/дешифрования. В течение длительного времени существует стремление к оптимизации работы подобных систем в отношении тройного критерия скорости, занимаемого объема памяти и безопасности. При этом скорость определяется временем,необходимым для дешифрования принятых данных. Известны системы шифрования/дешифрования с симметричными ключами. Присущая им степень безопасности может рассматриваться как функция нескольких критериев. Первым критерием является физическая безопасность, связанная с легкостью или трудностью способа анализа путем извлечения определенных компонентов с их возможной последующей заменой другими компонентами. Эти заменяющие компоненты, предназначенные для того, чтобы информировать лицо, не обладающее полномочиями, о сущности и характере работы системы шифрования/дешифрования,выбираются этим лицом таким образом, чтобы не быть обнаруженным или быть труднообнаружимым, насколько это возможно, остальной частью системы. Второй критерий заключается в системной безопасности, в рамках которой атаки не связаны с проникновением в физическом смысле, но требуют анализа математического типа. В типичном случае подобные атаки будут осуществ 003745 2 ляться с помощью очень мощных компьютеров,которые будут пытаться взломать алгоритмы и коды шифрования. Средства шифрования/дешифрования с симметричными ключами являются примером систем, обозначаемых как DES (Data EncryptionStandard, Стандарт Шифрования Данных). Эти относительно старые средства в настоящее время предлагают системную безопасность и физическую безопасность, которые являются весьма относительными. Именно по этой причине система DES, длина ключей в которой слишком мала для того, чтобы удовлетворить условиям системной безопасности, заменяется новыми средствами шифрования/дешифрования или ключами большей длины. В общем случае указанные средства с симметричными ключами требуют применения алгоритмов, включающих в себя циклы шифрования. Известны также другие стратегии атаки,обозначаемые как Простой анализ мощности(Simple Power Analysis) и Анализ временной диаграммы (Timing Analysis). В стратегии Простого анализа мощности используется то обстоятельство, что микропроцессор, выполняющий задание по шифрованию или дешифрованию данных, подключен к источнику напряжения (как правило, 5 В). Когда он находится в холостом режиме, через него протекает фиксированный ток i. Когда микропроцессор активен,сила тока зависит не только от поступающих данных, но и от алгоритма шифрования (криптоалгоритма). Простой анализ мощности заключается в измерении силы тока i как функции от времени. По результатам может быть определен тип алгоритма, используемого микропроцессором. Аналогичным образом метод Анализа временной диаграммы заключается в измерении длительности вычислений в зависимости от образца данных, поступившего в модуль дешифрования. Соотношение между поступившим образцом данных и временем вычисления результата позволяет установить секретные параметры модуля дешифрования, например его ключ. Подобная система описана, например, в документе Timing Attacks on Implementations ofSt, Suite 1088, San Francisco, CA, USA. Для того чтобы повысить безопасность систем шифрования, были предложены алгоритмы с асимметричными ключами, например так называемые системы RSA-шифрования(RSA - акроним, полученный из начальных букв фамилий разработчиков данной системы шифрования: Rivest, Shamir и Adleman). Эти системы предусматривают генерирование пары согласованных ключей. Один из них, так называемый открытый ключ, служит для шифрования, а другой, так называемый индивидуальный ключ,служит для дешифрования. Эти алгоритмы 3 обеспечивают высокий уровень безопасности,как системной, так и физической. С другой стороны, они медленнее, чем традиционные системы, особенно на стадии шифрования. Самые новые технологии атаки используют так называемую концепцию DPA (Differential Power Analysis - Дифференциальный анализ мощности). Подобные методики исходят из предположения, верифицируемого в результате большого числа попыток, о присутствии 0 или 1 в определенной позиции ключа шифрования. Они являются почти недеструктивными, что делает их в значительной степени необнаружимыми, и включают в себя компонент физического проникновения и компонент математического анализа. Способ их функционирования напоминает методики исследования нефтяных месторождений, когда на поверхности земли производится взрыв известной мощности и благодаря использованию отражения ударных волн от границ пластов осадочных пород в исследуемой подпочвенной зоне геофоны и датчики,размещенные на известных расстояниях от места взрыва, позволяют сделать предположения о стратиграфической структуре подпочвенных слоев без необходимости выполнения слишком большого объема вскрышных работ. DPA-атаки описаны, в частности, в параграфе 2.1 документа A Cautionary Note Regarding Evaluation ofCenter, Yorktown Heights, NY. Требование устойчивости к DPA-атакам заставляет вводить так называемые отбеливающие(whitening) преднамеренные помехи либо во входную информацию, либо на выходе алгоритма шифрования/дешифрования (криптоалгоритма). Данный метод описан в параграфе 3.5 вышеназванного документа. Кроме того, то обстоятельство, что вычислительная мощность децентрализованной подсистемы телевизионной системы с оплатой каждой просматриваемой передачи ограничена,создает до сих пор не решенную проблему в отношении создания достаточной цепочки средств шифрования, упоминавшейся выше. Сущность изобретения Задача, на решение которой направлено настоящее изобретение, заключается в разработке способа шифрования/дешифрования, который является устойчивым в отношении современных методов анализа, описанных выше. Решение данной задачи обеспечивается созданием способа, охарактеризованного в отличительной части п.1 формулы изобретения. Отличительная особенность способа по изобретению заключается в том, что промежуточный модуль не запускается, когда завершена работа предшествующего модуля, а начинает действовать, как только ему станет доступна 4 часть полной информации. По этой причине внешнему наблюдателю невозможно определить входные или выходные условия для этого модуля. Поскольку дешифрование происходит в децентрализованной подсистеме, взаимодействующей с интеллектуальной карточкой, которая обладает лишь ограниченной вычислительной мощностью по сравнению с подсистемой кодирования, на последних шагах дешифрования предпочтительно использовать открытый асимметричный ключ, работающий сравнительно быстро. Это позволяет, с одной стороны, сохранить недоступность характеристик системы при выходе из процедуры и, с другой стороны,сконцентрировать вычислительную мощность,относящуюся собственно к шифрованию с использованием индивидуального ключа, в подсистеме кодирования. Было обнаружено, что дополнительная безопасность может быть достигнута при использовании возможности сочленения (конкатенации) или частичного чередования двух средств шифрования/дешифрования, которые включены последовательно друг за другом. Под этим сочленением или частичным чередованием подразумевается последовательность действий, предусматривающая, что операции по обработке данных со стороны второго средства шифрования/дешифрования начинаются тогда, когда первое средство шифрования/дешифрования еще не завершило свою работу над теми же данными. Это позволяет замаскировать данные,которые были бы иначе выданы первым модулем до того, как их начнет обрабатывать второй модуль. Указанное сочленение может начинаться,как только часть данных, поступающих в результате проведенных вычислений на выход первого модуля, станет доступна для обработки во втором модуле. Изобретение обеспечивает защиту от вышеописанных атак путем комбинирования различных средств шифрования/дешифрования в систему шифрования/дешифрования (криптосистему) и, возможно, путем увязывания сочленения или частичного чередования с порядком, в котором указанные средства следуют друг за другом. В конкретном варианте осуществления изобретения система шифрования/дешифрования содержит подсистему кодирования, в которой последовательно выполняются три алгоритма. а) Асимметричный алгоритм А 1 с индивидуальным ключом d1. Данный алгоритм А 1 создает подпись к простому тексту, представляющему собой сообщение m; эта операция дает, в результате, первую криптограмму С 1 посредством операций, которые обычно обозначаются в данной отрасли как с 1=m exponent d1, modulon1. В этой формуле n1 составляет часть откры 5 того ключа асимметричного алгоритма А 1; обозначение modulo соответствует хорошо известному математическому оператору конгруэнтности (сравнимости по модулю) с набором относительных целых чисел, а d1 - это индивидуальный ключ алгоритма А 1. б) Симметричный алгоритм S, использующий секретный ключ К. Этот алгоритм преобразует криптограмму С 1 в криптограмму С 2. в) Асимметричный алгоритм А 2 с индивидуальным ключом d2. Данный алгоритм преобразует криптограмму С 2 в криптограмму С 3 посредством математической операции, обозначаемой аналогично предыдущей как с 3=с 2 exponent d2 modulo n2. В этой формуле n2 образует часть открытого ключа асимметричного алгоритма А 2, а d2 - это индивидуальный ключ алгоритма А 2. Криптограмма С 3 с выхода подсистемы кодирования передается известными средствами на децентрализованную подсистему дешифрования. Применительно к системе платного телевидения эта операция может в равной степени относиться к видеоданным и к сообщениям. Для того чтобы совершить обратное преобразование, подсистема дешифрования использует три алгоритма: А 1', S' и А 2'. Эти три алгоритма образуют часть трех средств шифрования/дешифрования А 1-А 1', S-S' и А 2-А 2', распределенных между подсистемой кодирования и подсистемой дешифрования и характеризующих систему шифрования/дешифрования. г) Алгоритм А 2' выполняет над С 3 математическую операцию, которая восстанавливает С 2 и обозначается как с 2=с 3 exponent e2 modulon2. В этой формуле набор, состоящий из e2 и n2,представляет собой открытый ключ асимметричного алгоритма А 2-А 2'. д) Симметричный алгоритм S' восстанавливает криптограмму С 1 с использованием секретного ключа К. е) Асимметричный алгоритм A1' с открытым ключом е 1, n1 извлекает m, выполняя операцию, обозначаемую как m=с 1 exponent e1modulo n1. В децентрализованной подсистеме сочленение (конкатенация) состоит в том, что операция д) декодирования начинает выполняться,когда криптограмма С 2 еще не восстановлена полностью на предыдущей операции г), и в том,что операция е) декодирования начинает выполняться, когда криптограмма С 1 еще не восстановлена полностью на операции д). Достигаемое преимущество состоит в расстройстве атаки, нацеленной, например, в первую очередь,на извлечение из децентрализованной подсистемы криптограммы С 1 по завершении операции д) для того, чтобы сопоставить ее с открытым текстом m, а затем, используя С 1 и д), атаковать алгоритм А 1, после чего отследить всю цепочку кодирования. 6 Конкатенация не является необходимой применительно к подсистеме кодирования, которая установлена в физически безопасном месте. В отличие от этого, она является полезной для децентрализованной подсистемы. В случае телевидения с оплатой каждой просматриваемой передачи ИПД-модуль устанавливается непосредственно у подписчика и может явиться объектом атак вышеописанного типа. Должно быть понятно, что атака на комбинацию из трех сочлененных алгоритмов А 1', S' и А 2' декодирования имеет намного меньше шансов на успех по сравнению со случаем, когда криптограммы С 1 и С 2 полностью восстанавливаются между операциями г), д) и е). Кроме того, то обстоятельство, что алгоритмы А 1' и А 2' работают с открытыми ключами e1, n1 и е 2, n2,означает, что мощность вычислительных средств, необходимых для децентрализованной подсистемы, может быть значительно уменьшена по сравнению со средствами, используемыми в подсистеме кодирования. В качестве примера можно отметить, что операции а) и в), т.е. операции шифрования с применением индивидуальных ключей, имеют длительность, в 20 раз большую, чем операции г) и е) дешифрования открытыми ключами. В другом конкретном примере осуществления изобретения, основанном на предыдущем,алгоритмы А 1 и А 2 являются идентичными, как и соответствующие им алгоритмы А 1' и А 2'. В следующем конкретном примере осуществления изобретения, также основанном на предыдущем, при выполнении операции в) используется открытый ключ е 2, n2 асимметричного алгоритма А 2, тогда как при выполнении операции г) криптограмма С 3 дешифруется индивидуальным ключом d2 этого алгоритма. Данный вариант представляет собой возможную альтернативу, когда ресурсы децентрализованной подсистемы в терминах вычислительной мощности далеко не исчерпаны. Хотя интеллектуальные карточки используются, в основном, для дешифрования данных,существуют также карточки, обладающие возможностями, необходимыми для выполнения операций шифрования. В таком случае атаки,описанные выше, могут быть направлены также и на такие карточки шифрования, которые применяются вне защищенных зон, таких как центр управления. Вот почему способ в соответствии с настоящим изобретением применим также к серийным операциям шифрования. Это означает, что следующий модуль начинает выполнять свою операцию шифрования сразу же, как только становится доступной часть информации,поступающей от предшествующего модуля. Такой режим обладает преимуществом частичного чередования различных модулей шифрования; как следствие, результат работы предшествующего модуля в любой момент времени не является полностью доступным. Более того, после 7 дующий модуль начинает свои операции не с законченным результатом, а только с его частями. Это делает интерпретацию работы модуля по отношению к известному входному или выходному состоянию практически бесполезной. Перечень фигур чертежей Настоящее изобретение станет более понятным из описания прилагаемых чертежей,приводимых в качестве неограничивающего примера. Фиг. 1 иллюстрирует операции шифрования. Фиг. 2 - операции дешифрования. Фиг. 3 - альтернативный вариант способа шифрования. Фиг. 4 - альтернативный вариант способа дешифрования. Сведения, подтверждающие возможность осуществления изобретения Как показано на фиг. 1, в цепь шифрования поступает массив данных m. Первый компонент А 1 выполняет операцию шифрования с использованием индивидуального ключа (обозначенного как prk), который образован экспонентойd1 и modulo n1. Результат этой операции обозначен как С 1. В соответствии со способом по изобретению, как только часть результата С 1 становится доступной, начинает работать следующий модуль. Этот следующий модуль S выполняет соответствующую операцию шифрования с помощью индивидуального ключа. Как только результат С 2 становится частично доступным, он передается в модуль А 2 для выполнения третьей операции шифрования с использованием индивидуального ключа (prk), который образован экспонентой d2 и modulo n2. Окончательный результат, обозначенный на чертеже как С 3, пригоден для передачи по известным каналам, например через эфир или по кабелю. На фиг. 2 представлена система дешифрования, составленная из трех модулей А 1', S', A2' дешифрования, которые аналогичны модулям,использованным для шифрования, но соединены в обратном порядке. Следовательно, первым начинает работу модуль A2', выполняющий операцию дешифрования с использованием ключа, который образован экспонентой е 2 иmodulo n2. Аналогично тому, как это имеет место при шифровании, как только часть результата С 2 на выходе модуля A2' становится доступной, она передается модулю S' для выполнения второй операции дешифрования. Для завершения дешифрования модуль А 1' выполняет свою операцию на основе открытого ключа, который образован экспонентой е 1 и modulo n1. В конкретном варианте осуществления изобретения ключи двух модулей А 1 и A2 идентичны, т.е. на стороне шифрования d1=d2 и n1=n2. По аналогии, при дешифровании е 1=е 2 и n1=n2. В этом случае можно говорить об индивидуальном ключе d, n и об открытом ключе е, n. 8 В другом варианте изобретения, который иллюстрируется фиг. 3, 4, в модуле A2, вместо индивидуального ключа, применен открытый ключ. В момент шифрования в модуле A2 (см. фиг. 3) используется открытый ключ е 2, n2, а во время дешифрования (см. фиг. 4) модуль A2' использует для своей работы индивидуальный ключ d2, n2. Хотя такая конфигурация увеличивает объем работы для подсистемы дешифрования, использование индивидуального ключа повышает безопасность, обеспечиваемую модулем A2'. Пример, приведенный на фиг. 3, 4, не является ограничивающим в отношении использования других комбинаций. Например, модуль А 1 может быть сконфигурирован таким образом, что он выполняет операцию шифрования с открытым ключом, а дешифрование - с индивидуальным ключом. Кроме того, возможна замена модуля шифрования/дешифрования, имеющего секретный ключ S, модулем А такого типа, в котором используются асимметричные ключи того же типа, что и в модулях А 1 и A2. ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Способ шифрования и дешифрования с использованием нескольких последовательно соединенных в цепочку модулей шифрования/дешифрования, отличающийся тем, что следующий в цепочке модуль шифрования/дешифрования начинает действовать, как только становится доступной часть результата,выдаваемого предшествующим по цепочке модулем шифрования/дешифрования. 2. Способ по п.1, отличающийся тем, что следующий в цепочке модуль дешифрования начинает действовать, как только становится доступной часть результата, выдаваемого предшествующим по цепочке модулем дешифрования. 3. Способ по п.1, отличающийся тем, что следующий в цепочке модуль шифрования начинает действовать, как только становится доступной часть результата, выдаваемого предшествующим по цепочке модулем шифрования. 4. Способ по любому из пп.1-3, отличающийся тем, что для его осуществления используют три модуля (А 1, S, A2), причем центральный модуль (S) относится к типу модулей с секретным симметричным ключом (К). 5. Способ по п.4, отличающийся тем, что первый модуль (А 1) и последний модуль (A2) в цепочке шифрования, а также первый модуль(A2) и последний модуль (А 1) в цепочке дешифрования относятся к типу RSA-шифрования с асимметричными ключами, т.е. с индивидуальным ключом и открытым ключом. 6. Способ по п.5, отличающийся тем, что два модуля (А 1, A2) используют так называемый индивидуальный ключ (d, n; d1, n1; d2, n2) для шифрования и так называемый открытый ключ (е, n; е 1, n1; е 2, n2) для дешифрования. 7. Способ по п.6, отличающийся тем, что два модуля (А 1, A2) используют одинаковый набор из индивидуального ключа (d, n) и открытого ключа (е, n). 8. Способ по п.6, отличающийся тем, что два модуля (А 1, A2) используют различные наборы индивидуальных ключей (d1, n1; d2, n2) и открытых ключей (е 1, n1; е 2, n2). 9. Способ по п.5, отличающийся тем, что при шифровании последний модуль (A2) использует так называемый открытый ключ (е 2,n2), а при дешифровании первый модуль (A2) использует так называемый индивидуальный ключ (d2, n2). 10. Способ по любому из пп.1-3, отличающийся тем, что для его осуществления используют три модуля (А 1, А, A2) шифрования/дешифрования с асимметричными ключами.