Модель безопасной системы подписывания в недоверяемой среде

УДК 519.688

САВЧЕНКО Александр Николаевич, аспирант кафедры прикладной математики и информатики Ставропольского государственного университета. Автор трех научных публикаций

МОДЕЛЬ БЕЗОПАСНОЙ СИСТЕМЫ ПОДПИСЫВАНИЯ В НЕДОВЕРЯЕМОЙ СРЕДЕ

В статье представлена модель системы водяных знаков (системы подписывания) с безопасным модулем для вычисления водяного знака в зашифрованном пространстве вейвлет-преобразований.

Цифровые водяные знаки, безопасная система подписывания, недоверяемая среда, гомоморфные операции

Когда подписывание с использованием водяных знаков необходимо для целей защиты цифровых прав (DRM), внедрение водяного знака представляется в «доверяемой» среде, а детектирование - в «чужой». Можно сказать, что детектор водяного знака считается доверяемой стороной, хотя на самом деле он оперирует в атакующей среде, где конечный пользователь хочет обойти или разрушить DRM. Эти обстоятельства находятся в контрасте со стандартной моделью, где и устройство внедрения, и детектор действуют в доверяемой среде и поэтому используют один общий секретный ключ. Вместо этого мы принимаем модель, где только внедрение осуществляется в доверяемой среде.

В общем случае, масштаб и сложность таких систем делает эту задачу трудной и дорогой. Другой способ хранения в секрете как ключа, так и алгоритма состоит во внедрении водяного знака в очень маленькое устройство, которое будет физически безопасным. Это устройство, например смарткарта, затем будет работать как черный ящик. Проблемой является то, что такие устройства обычно имеют

низкую вычислительную емкость и не способны детектировать водяной знак очень быстро [1]. Мы предлагаем использовать детектор водяного знака в шифрованном пространстве и применять доверительное безопасное устройство, называемое секретным модулем, для завершения процесса детектирования.

В нашей модели мы используем две криптосистемы, в которых детектор производит все необходимые вычисления без получения какой-либо информации о секретных параметрах. Эти системы гомоморфны, т. е. операция над шиф-ротекстом соответствует операции над открытым текстом. Например, в криптосистеме Па-лье (РаПНег), если E (•) - функция шифрования, тогда E(x)E(у) = E(x + у). Гомоморфные свойства этих криптосистем как раз то, что позволяет детектору действовать без раскрытия знаний. Интересно заметить, что в нашей системе ни к шифрованию, ни к дешифрованию нет общего доступа. Единственные операции, доступные для детектора - это гомоморфные операции.

Несмотря на то, что детектор не получает никакой информации о секретных параметрах,

знание о наличии или отсутствии водяного знака является важным для т.н. «проницательных» атак [2]. Цель таких атак - найти порог определения водяного знака и использовать его для получения секретных параметров. Эти атаки более мощные, чем рассмотренные в этой работе и выходят за ее рамки.

Мы обсуждаем простой вариант системы с единственным скалярным квантователем. Наша цель - не улучшить параметры подписывания, а обеспечить безопасность детектирования. Внедрение водяного знака в сигнал включает изменение сигнала так, что значения преобразования квантуются. Наиболее очевидный подход - преобразовать сигнал, прокванто-вать коэффициенты преобразования и применить обратное преобразование.

Для детектирования водяного знака в сигнале сигнал вначале преобразуется секретным линейным случайным преобразованием, например рендлет, косинус-преобразованием или вейвлет-преобразованием. Для каждого коэффициента преобразования сi есть секретный квантователь, Qi. Если расстояние от с1 до ближайшей точки квантования на Qi меньше, чем порог 5 , тогда коэффициент считается подписанным. Если порог т коэффициентов преобразования преодолен, тогда целый сигнал считается подписанным и неподписанным в противном случае:

Затем сигнал рассматривается подписанным, если:

k Z F* (Qj (c,) - c,) * r.

Криптосистема Палье (Paillier)[3]. Генерация ключа: Пусть N = pq, где p и q - целые числа. Выберем g ^ZN2 так, чтобы порядок g был делителем N. Любое g имеет вид g = (1 + N) abN mod N2 для пары (a, b), где a ZN и b <EZ*N . Заметим, что

(1 + N)a = 1 + aNmodN2 , а g =(i + aN)bN x

x mod N 2. Пусть X = НОК(p 1, q 1). Открытый ключ (g, N) , секретный - X .

Криптосистема Гольдвассера-Микали (Goldwasser-Micali) [4].

Она шифрует один бит информации и является гомоморфной, т.к. умножению шифротек-стов соответствует операция XOR между открытыми текстами.

Генерация ключа: Пусть N = pq , где p и q - секретные целые числа. Выберем g е QR(N) (множество псевдоквадратичных остатков). N и g - открытые, а разложение N - секретно.

Устройство внедрения выбирает N = pq, где p и q - секретные целые числа. Напомним, что для такого N, X = НОК (p -1, q -1). g ezn выбирается так, чтобы g mod N е QR(N), и порядок g, обозначаемый как ORD(g), был равен kN, где k | X . Все такие g можно сгенерировать следующим образом. Выберем a GZN, тогда НОД(a, N) = 1, а b е QR(N). Пусть g = (1 + N)abN mod N2. Поскольку (1 + N)a = 1 + aN, мы можем записать:

g = (1 + aN)bN mod N2.

Внедрение водяного знака.

Устройство внедрения выбирает ортогональное преобразование S = (s^} для i = 1...n и j = 1...m . Пусть st есть i -тая строка преобразования. Устройство внедрения выбирает q = (qj,...,qn), где каждый qt е (0,1}. В качестве входа он берет сигнал х = (х1,...,xm) и выдает подписанный сигнал у = (у1,...,yn) так, что для всех i

st • у = qt (mod 2).

Для i е [1, n], j е [1, m] Py выбирается так, чтобы Py е QR(N). Для i е [1, n] yt выбирается так, чтобы yt е QR(N). Пусть V = (vtj}, где vtJ = Ep(sy.,;g,N), и k = (^,...,kn),

где k = egm(q,г{;g,N).

Открытый ключ в этой схеме - (N, V, к) . Детектирование водяного знака. Во-первых, детектор находит вектор коэффициентов преобразования с = (с1,..., ст ). Напомним, что ^ = si • у . Пусть =1Рь

Затем:

nvy mod N2 =

= EP (ti, wi; g, N) = g w. mod N .

В этой точке мы меняем модуль с N2 на N. Это сделано, чтобы шифротексты были совместимы с криптосистемой Гольдвассера.

Сейчас мы покажем, что если tt mod 2 = 0, тогда с. mod N е QR( N), иначе

с. mod N е QR(N). Поскольку каждый Ру е QR(N), тогда w. е QR(N) и, таким образом, (w.)N mod N е QR(N) . Если

ti mod 2 = 0, тогда~§-й mod N е QR(N)~ Иначе, т.к. g mod N е QR(N), gu mod N е QR(N). Следовательно, если tt mod2 = 0, тогда С е QR(N), иначе, с. е QR(N). В обоих случаях

. Получаем:

С mod N = egm (ti mod2, wi , g L J; g, N). Теперь мы начинаем скрытое квантование.

Пусть f = c.k. mod N и zг = wf g

f = ciki mod N =

= egm (t,mod 2 z; g, N )egm (q, ,7r; g, N) mod N =

=egm ((timod 2) © 4t, 7izi; g, N).

Таким образом, Dgm (f; P, q) = = (ti mod 2) © qt, которое равно 0, если tt было корректно квантовано, и 1 в противном случае.

Безопасный модуль дается как вход f1,..., fn, и известна пороговая функция T(n) . Эта функция дешифрует каждый f., суммирует значения и объявляет, что данные подписаны, если:

При безопасных криптосистемах Палье и Гольдвассера-Микали, наша система безопасна и раскрывает минимум возможной информации.

Заключение. Мы представили систему, в которой большинство работы детектора выполняется без какой-либо информации о секретном ключе. Модуль безопасности, например смарт-карта, используется для выполнения финальной стадии детектирования, раскрывая лишь факт наличия или отсутствия водяного знака. Наше скрытое преобразование использует криптосистему Палье, а скрытое квантование - криптосистему Гольдвассера-Микали, а целая система имеет доказанную максимальную безопасность против пассивных противников.

Список литературы

Savchenko Alexandr

MODEL OF SECURE WATERMARKING SYSTEM OPERATING IN HOSTILE ENVIRONMENT

The article presents a watermarking system model (marking system) with a secure module for computing a watermark in the encrypted domain of wavelet transforms.

Контактная информация: e-mail: Syberdine_85@mail.ru

Рецензент - Корабельщикова С.Ю., кандидат физико-математических наук, доцент кафедры алгебры и геометрии Поморского государственного университета имени М.В. Ломоносова