Случайные числа играют довольно важную роль для теории игр, криптографии и алгоритмов защиты информации, но существует и множество других весьма специфических задач с использованием генератора случайных и псевдослучайных чисел. О разработке и исследовании своих наиболее значимых результатах в стохастических алгоритмах защиты информации рассказал доцент Института интеллектуальных кибернетических систем НИЯУ МИФИ, к.т.н. Илья Чугунков.
– Что такое генераторы случайных и псевдослучайных чисел?
– Реализация практически любого криптографического протокола связана с необходимостью использования источника энтропии. В качестве последнего может выступать генератор случайных чисел, то есть устройство, формирующее числа с равномерным законом распределения. Однако генератор случайных чисел достаточно сложно реализовать, кроме того, сформированная последовательность будет неповторима. Поэтому на практике используют генераторы псевдослучайных чисел, формирующие последовательности, по своим статистическим свойствам неотличимые от истинно случайных, и которые, в отличие от сформированных генераторами случайных чисел, можно повторить. Стохастическими же методами защиты информации называются методы защиты компьютерных систем, прямо или косвенно основанные на использовании генераторов псевдослучайных чисел.
– В чём особенность (преимущество) стохастических алгоритмов защиты информации?
– Генераторы псевдослучайных чисел успешно решают практически все
задачи, стоящие перед разработчиками систем обеспечения безопасности
информации. Более того, наиболее перспективный метод защиты, сутью
которого является внесение неопределённости в работу
компьютерных систем (реализация которого в принципе невозможна без
использования генераторов псевдослучайных чисел), универсален. Он может
использоваться совместно с любым другим методом защиты, автоматически
повышая его качество.
– Где это используется в современных информационных технологиях?
– Область применения стохастических алгоритмов защиты информации чрезвычайно широка. Сюда можно отнести техническую диагностику, теорию помехоустойчивого кодирования, криптографию и криптоанализ, стеганографию и стегоанализ, информационную безопасность, технологию безопасного программирования. Можно выделить следующие задачи, эффективно решаемые при помощи генераторов псевдослучайных чисел:
- криптографическое преобразование информации с целью обеспечения секретности данных;
- формирование кодов, предназначенных для обнаружения и исправления ошибок, в задачах обеспечения аутентификации субъектов и объектов информационного взаимодействия;
- контроль хода выполнения программ с использованием сторожевых процессоров;
- формирование элементов вероятностного пространства при реализации криптографических протоколов;
- самотестирование сверхбольших интегральных схем;
- хеширование информации;
- внесение неопределенности в работу методов и средств защиты информации;
- формирование ключевой информации и т.д.
– По вашему мнению, в чём причины ненадёжности программных систем защиты?
– Я бы немного расширил вопрос и поговорил о причинах ненадёжности систем защиты в целом. В настоящее время не уделяется достаточно внимания технологиям комплексного анализа защищенности программных систем и совершенствованию методов и средств защиты.
Разработчики систем обеспечения безопасности информации часто не учитывают, что эффективная система защиты – это не фиксированная совокупность методов и средств, а непрерывный процесс периодического анализа защищённости системы на всех её уровнях и опережающего совершенствования методов и средств защиты. Кроме того, не следует забывать и о человеческом факторе. Система защиты не может быть надёжнее отдельных её компонентов. Самое ненадёжное звено системы – человек. Можно выделить следующие ошибки пользователей, нарушающие безопасность всей системы защиты в целом:
- предоставление своего секретного пароля коллегам по работе;
- повторное использование секретных паролей в несекретных системах;
- генерация паролей самими пользователями, выбор паролей по критерию удобства запоминания;
- несвоевременное информирование о компрометации ключевой информации (например, об утере смарт-карт).
Также можно выделить следующие причины ненадёжности систем защиты информации, связанные с их реализацией и применением: использование нестойких криптоалгоритмов; неправильное применение криптоалгоритмов; ошибки в реализации криптоалгоритмов; недостаточная длина ключа; некачественный генератор псевдослучайных чисел.
– В чём заключается суть вашей научной работы? Расскажите про лабораторию, рабочий процесс.
– Суть моей научной работы как раз и заключается в разработке и исследовании генераторов псевдослучайных чисел. Как я уже говорил ранее, генераторы псевдослучайных чисел играют важную роль в реализации систем защиты. Именно от их свойств зависят надёжность и безопасность процессов сбора, обработки, хранения и передачи информации. В связи с этим, к генераторам псевдослучайных чисел предъявляются жесткие требования, а именно: криптографическая стойкость; хорошие статистические свойства; большой период формируемой последовательности; эффективная программная и аппаратная реализации.
Оценке статистических свойств генераторов — или даже, если укрупнить, оценке статистической безопасности генераторов — как раз и посвящены мои исследования. Научные изыскания я начал будучи студентом 4 курса, под руководством заведующего кафедрой компьютерных систем и технологий Михаила Иванова. Сначала это было просто создание новых генераторов, затем я переключился на разработку методов и средств оценки их качества. Были изучены и усовершенствованы существующие тесты, применяемые для исследования статистических свойств генераторов, а именно, тесты Дональда Кнута, тесты Джорджа Марсалья, входящие в его знаменитую систему DIEHARD, тесты руководства Национального института стандартов и технологий США по оценке качества криптографических генераторов псевдослучайных чисел и многие другие.
Результатом работы стало создание программной системы оценки качества генераторов, включающей в себя все известные оценочные тесты и их модификации, а также тесты собственной разработки. По тематике исследований опубликовано более 50 печатных работ, в том числе 15 входящих в Scopus. В настоящий момент исследования продолжаются в составе рабочей группы, в которую входят мой аспирант Антон Прокофьев, занимающийся методологией разработки и применения графических тестов, ассистент нашей кафедры Артём Максутов, применяющий принципы машинного обучения для оценки стойкости генераторов, и доцент кафедры Михаил Ровнягин, использующий гибридные вычислительные системы для распараллеливания тестов.
– Какие научные направления вы ведёте со студентами?
– Конечно, основным направлением, по которому студенты и аспиранты пишут свои выпускные квалификационные работы и кандидатские и магистерские диссертации является разработка и исследование генераторов псевдослучайных чисел. Вместе с тем в рамках нашей научной группы ведутся исследования по следующим направлениям: анализ и восстановление информации с накопителей на жестких магнитных дисках, анализ безопасности платежных карт.
– Какими знаниями должны обладать студенты, чтобы развиваться в этой области науки?
– Область защиты информации широка и многогранна. Здесь каждый найдет себе направление по душе. Тут и классическая криптография, и постквантовая криптография. Не стоит забывать и про такие новые направления, как технологии распределенного реестра (блокчейн) и интернета вещей, которые также требуют комплексного подхода к обеспечению защиты информации.
Для успешного развития в области защиты информации студенту необходимо иметь багаж из таких разделов математики, как высшая алгебра, теория чисел и теория сложности вычислений. Но самое главное – вера в себя, свои силы и настойчивость в достижении поставленной цели!
Источник: НИЯУ МИФИ
