Нечёткий экстрактор

Эту статью следует сделать более понятной широкому кругу читателей. Пожалуйста, помогите улучшить статью, не удаляя технических деталей, чтобы она стала понятна неспециалисту. Вам могут помочь советы в этом эссе.

Нечёткий экстрактор — способ, который позволяет однозначно восстанавливать секретный ключ из неточно воспроизводимых биометрических данных при участии вспомогательных данных, являющимися открытыми. «Нечёткий» в данном контексте относится к тому факту, что фиксированные значения, требуемые для криптографии, будут извлечены из значений, близких, но не идентичных исходному ключу. Одним из приложений является шифрование и аутентификация записей пользователей, используя биометрические данные пользователя в качестве ключа.

Нечёткий экстрактор — это способ, который позволяет аутентифицировать пользователя, используя в качестве ключа биометрический шаблон, созданный из биометрических данных пользователя. Они извлекают равномерную и случайную строку ${\displaystyle R}$ со входа ${\displaystyle w}$ с допуском на шум. Если вход изменяется на вес ${\displaystyle w'}$, но все ещё близкий к весу w, та же строка ${\displaystyle R}$ будет восстановлена. Для достижения этого, во время первоначального вычисления строки ${\displaystyle R}$ процесс также выводит вспомогательную строку ${\displaystyle P}$, которая будет храниться для восстановления ${\displaystyle R}$ позже и может быть обнародована без ущерба для безопасности R. Безопасность процесса обеспечивается также тогда, когда противник изменяет ${\displaystyle P}$. Однажды исправленная строка ${\displaystyle R}$, которая была рассчитана, её можно использовать, например, для согласования ключей между пользователем и сервером только на основе биометрического ввода.

Исторически, одна из первых биометрических систем такого типа была разработана О. Джуелсом и Б. Ваттенбергом и называлась «Нечёткое обязательство», где криптографический ключ извлекается с использованием биометрических данных. Позже О. Джуелс и М. Судан разработали схемы нечёткого контейнера, которые являются инвариантами порядка для схемы нечётких обязательств, но используют код Рида — Соломона. Кодовое слово оценивается полиномом, а секретное сообщение вставляется как коэффициенты полинома. Полином оценивается для разных значений набора признаков биометрических данных. Так что нечёткий контейнер были предшественниками нечётких экстракторов.

Основные определения[править | править код]

Предсказуемость[править | править код]

Предсказуемость указывает на вероятность того, что злоумышленник сможет угадать секретный ключ. По определению, предсказуемость случайной величины ${\displaystyle A}$ равно ${\displaystyle \max _{\mathrm {a} }P[A=a]}$.

Например, дана пара случайных величин ${\displaystyle A}$ и ${\displaystyle B}$, если противник знает ${\displaystyle b}$ из ${\displaystyle B}$, тогда предсказуемость ${\displaystyle A}$ будет равна ${\displaystyle \max _{\mathrm {a} }P[A=a|B=b]}$. Итак, противник может предсказать ${\displaystyle A}$ с ${\displaystyle E_{b\leftarrow B}[\max _{\mathrm {a} }P[A=a|B=b]]}$. Мы используем среднее по ${\displaystyle B}$, так как это не под контролем противника, но, так как зная ${\displaystyle b}$ делает предсказание ${\displaystyle A}$ противника, мы берём наихудший случай для ${\displaystyle A}$^[1].

Минимальная энтропия[править | править код]

Минимальная энтропия указывает на энтропию в худшем случае. По определению, это определяется как ${\displaystyle H_{\infty }(A)=-\log(\max _{\mathrm {a} }P[A=a])}$.

Случайная величина с минимальной энтропией не менее ${\displaystyle m}$ называется ${\displaystyle m}$-источник^[1].

Статистическая дистанция[править | править код]

Статистическое расстояние является мерой различимости. Математически это выражается для двух вероятностных распределений ${\displaystyle A}$ и ${\displaystyle B}$ и and ${\displaystyle B}$ как ${\displaystyle SD[A,B]}$ = ${\displaystyle {\frac {1}{2}}\sum _{\mathrm {v} }|P[A=v]-P[B=v]|}$. В любой системе, если ${\displaystyle A}$ заменяется на ${\displaystyle B}$, оно будет вести себя как исходная система с вероятностью не менее, чем ${\displaystyle 1-SD[A,B]}$^[1].

Определение 1 (случайный экстрактор)[править | править код]

Определим ${\displaystyle M}$ как экстрактор случайностей, где экстрактор случайностей — это функционал, которая принимает на вход строку с некоторым распределением и выдает на выход нормально распредленную строку из бит. Функция случайности ${\displaystyle Ext:M\rightarrow \{0,1\}^{l}}$ c случайной длиной ${\displaystyle r}$ это ${\displaystyle (m,l,\epsilon )}$ сильный экстрактор, если для всех ${\displaystyle m}$-sources ${\displaystyle W}$ на ${\displaystyle M(Ext(W;I),I)\approx _{\epsilon }(U_{l},U_{r}),}$ где ${\displaystyle I=U_{r}}$ независим от ${\displaystyle W}$.

Выход экстрактора является ключом, сгенерированным из ${\displaystyle w\leftarrow W}$ с ядрой ${\displaystyle i\leftarrow I}$. Он ведёт себя независимо от других частей системы с вероятностью ${\displaystyle 1-\epsilon }$. Экстракторы могут извлечь максимум ${\displaystyle l=m-2log{\frac {1}{\epsilon }}+O(1)}$ бит из произвольного ${\displaystyle m}$-source^[1].

Безопасный эскиз[править | править код]

Защищенный эскиз генерирует открытую информацию для своего входа ${\displaystyle w}$, не раскрывая его, но позволяет точно восстановить ${\displaystyle w}$, учитывая другое значение ${\displaystyle w'}$, но близкое к ${\displaystyle w}$. Защищённый эскиз позволяет реконструировать ввод с шумом, так что если вход ${\displaystyle w}$ и эскиз ${\displaystyle s}$, с учётом ${\displaystyle s}$ и значением ${\displaystyle w'}$ рядом с ${\displaystyle w}$, ${\displaystyle w}$ можно восстановить. Но эскиз ${\displaystyle s}$ не должен раскрывать информацию о ${\displaystyle w}$ , чтобы обеспечить его безопасность.

Если ${\displaystyle \mathbb {M} }$ метрическое пространство с функцией расстояния dis, безопасный эскиз восстанавливает строку ${\displaystyle w\in \mathbb {M} }$из любой близкой строки ${\displaystyle w'\in \mathbb {M} }$ без раскрытия ${\displaystyle w}$.

Основные конструкции[править | править код]

Благодаря устойчивым к ошибкам свойствам, безопасные эскизы можно обрабатывать, анализировать и конструировать как ${\displaystyle (n,k,d)_{\mathcal {F}}}$ для общего для исправления ошибок или как ${\displaystyle [n,k,d]_{\mathcal {F}}}$ для линейного кода, где ${\displaystyle n}$ — длина кодовых слов, ${\displaystyle k}$ — длина сообщения, которое должно быть закодировано, ${\displaystyle d}$ — расстояние между кодовыми словами и ${\displaystyle {\mathcal {F}}}$ это алфавит. Если ${\displaystyle {\mathcal {F}}^{n}}$ это вселенная возможных слов, тогда можно найти код ${\displaystyle C\in {\mathcal {F}}^{n}}$, исправляющий ошибки, который имеет уникальное кодовое слово ${\displaystyle c\in C}$ для каждого веса ${\displaystyle w\in {\mathcal {F}}^{n}}$ и имеет расстояние Хемминга ${\displaystyle dis_{Ham}(c,w)\leq (d-1)/2}$. Первым шагом для создания безопасного эскиза является определение типа возможных ошибок, а затем выбор расстояния для измерения^[1].

Гарантии конфиденциальности[править | править код]

В целом, защищённая система пытается передать как можно меньше информации злоумышленнику. В случае биометрических данных, если информация о биометрических показаниях просочилась, злоумышленник может узнать личную информацию о пользователе. Например, злоумышленник замечает, что в вспомогательных строках есть определённый шаблон, который подразумевает этническую принадлежность пользователя. Мы можем считать эту дополнительную информацию функцией ${\displaystyle f(W)}$. Если противник мог узнать вспомогательную строку, необходимо убедиться, что из этих данных он не может вывести какие-либо данные о человеке, у которого было взяты биометрические данные^[1].

Защита от активных атак[править | править код]

Активной атакой может быть атака, при которой злоумышленник может изменить вспомогательную строку ${\displaystyle P}$. Если злоумышленник может перейти на другую строку ${\displaystyle P}$, которая также приемлема для функции воспроизведения ${\displaystyle Rep(W,P)}$, он выдаёт ${\displaystyle Rep(W,P)}$ — неверную секретную строку ${\displaystyle {\tilde {R}}}$. Надёжные нечёткие экстракторы решают эту проблему, разрешая функции воспроизведения выдавать неверный результат, если в качестве входных данных предоставлена изменённая вспомогательная строка^[1].

Примечания[править | править код]

Литература[править | править код]

• Yevgeniy Dodis, Rafail Ostrovsky, Leonid Reyzin, Adam Smith. Fuzzy Extractors: How to Generate Strong Keys from Biometrics and Other Noisy Data // Advances in Cryptology. — 2008. — P. 1—26. — doi:10.1007/978-3-540-24676-3_31.

• Ari Juels. A Fuzzy Vault Scheme. — 2008. — P. 1—10. — doi:10.1007/s10623-005-6343-z.

• А. Иванов, П. Чернов. Протоколы биометрико-криптографического рукопожатия. — 2019.

• Стойкий нечеткий экстрактор позволит оптимизировать применение биометрических технологий в криптографии. — 2008.

• Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации. — 2007.