СПОСОБ ФОРМИРОВАНИЯ КЛЮЧЕЙ ШИФРОВАНИЯ/ДЕШИФРОВАНИЯ Российский патент 2023 года по МПК H04L9/00 

Изобретение относится к области криптографии, а именно к формированию ключа шифрования/дешифрования (КлШД) и может быть использовано в качестве отдельного элемента при построении симметричных криптографических систем, предназначенных для передачи шифрованных речевых, звуковых, телевизионных и др. сообщений.

Предлагаемый способ формирования КлШД может использоваться в криптографических системах в случае отсутствия или потери криптосвязности^{1 1}(Криптосвязность - наличие у корреспондентов одинакового КлШД. Различают сетевую криптосвязность - факт наличия у всех корреспондентов одинакового КлШД и парную криптосвязность - факт наличия у двух корреспондентов сети связи одинакового парного КлШД.) между корреспондентами сети связи (СС), включающей трех корреспондентов, или установления криптосвязности между новыми корреспондентами СС (КСС) в условиях ведения нарушителем перехвата информации, передаваемой по открытым каналам связи, а также обмена сообщениями в случае компрометации сетевого ключа или необходимости обмена сообщениями с одним из КСС без доступа к ним других КСС. Под термином «сеть связи» понимают множество узлов и линий, соединяющих их, причем для любых двух различных узлов существует по крайней мере один соединяющий их путь, как описано, например, в книге Д. Филлипс, А. Гарсиа-Диас, «Методы анализа сетей», М.: Мир, 1984, стр. 16.

Известен способ формирования КлШД, описанный в книге У. Диффи «Первые десять лет криптографии с открытым ключом», ТИИЭР, т.76, №5, с. 57-58. Известный способ заключается в предварительном распределении между сторонами направления связи (СНС) чисел α и β, где α - простое число и 1 ≤ β ≤ (α-1). Под термином «направление связи» понимают совокупность линий передачи и узлов связи, обеспечивающая связь между двумя пунктами сети, как описано, например, в Национальном стандарте РФ, ГОСТ Р 53111-2008, «Устойчивость функционирования сети связи общего пользования», Москва: Стандартинформ, 2009, стр. 7. Передающая сторона направления связи (ПерСНС) и приемная сторона НС (ПрСНС), независимо друг от друга, выбирают случайные соответствующие числа X_A и X_B, которые хранят в секрете и затем формируют числа на основе X_A, α и β на ПерСНС и X_B, α и β на ПрСНС. СНС обмениваются полученными цифрами по каналам связи без ошибок. После получения чисел корреспондентов стороны преобразовывают полученные числа с использованием своих секретных чисел в единый КлШД. Способ позволяет шифровать информацию во время каждого сеанса связи на новых КлШД (т.е. исключает хранение ключевой информации на носителях) и сравнительно быстро сформировать КлШД при использовании одного незащищенного канала связи.

Однако известный способ обладает относительно низкой стойкостью КлШД к компрометации², ²(Стойкость КлШД к компрометации - способность криптографической системы противостоять попыткам нарушителя получить КлШД, который сформирован и используется законными участниками обмена информацией, при использовании нарушителем информации о КлШД, полученной в результате перехвата, хищения, утраты, разглашения, анализа и т.д.) время действия КлШД ограничено продолжительностью одного сеанса связи или его части, некорректное распределение чисел α и β приводит к невозможности формирования КлШД.

Известен также способ формирования КлШД при использовании квантового канала связи [Патент US №5515438 H04L 9/00 от 07.05.96], который позволяет автоматически сформировать КлШД без дополнительных мер по рассылке (доставке) предварительной последовательности. Известный способ заключается в использовании принципа неопределенности квантовой физики и формирует КлШД, посредством передачи фотонов по квантовому каналу. Способ обеспечивает получение КлШД с высокой стойкостью к компрометации, осуществляет гарантированный контроль наличия и степени перехвата КлШД.

Однако реализация известного способа требует высокоточной аппаратуры, что обуславливает высокую стоимость его реализации. Кроме этого, КлШД по данному способу может быть сформирован при использовании волоконно-оптических линий связи ограниченной длины, что существенно ограничивает область применение его на практике.

Известен также способ формирования КлШД на основе информационного различия [Патент РФ №2180770 от 20.03.2002].

Данный способ включает формирование исходной последовательности (ИП) на ПрСНС, кодирование ИП, выделение из кодированной ИП блока проверочных символов, передачу его по обратному каналу связи без ошибок на ПерСНС, формирование декодированной последовательности (ДП) на ПерСНС, формирование функции хеширования последовательностей на ПерСНС, передачу ее по прямому каналу связи без ошибок на ПрСНС и формирование ключей шифрования/дешифрования на ПрСНС и на ПерСНС путем хеширования ИП и ДП по сформированной на ПерСНС функции хеширования последовательностей.

Недостатком этого способа является относительно большие временные затраты на формирование КлШД для СС из трех корреспондентов, так как необходимо последовательно формировать КлШД посредством способа для каждой пары корреспондентов СС, включающей первого КСС, затем выбирать один из сформированных КлШД в качестве КлШД для СС и обеспечивать его получение всеми корреспондентами СС.

Наиболее близким по технической сущности к заявляемому способу формирования КлШД является способ формирования КлШД [Патент РФ №2480923 от 27.04.2013].

Способ-прототип включает генерирование случайного двоичного символа на стороне первого КСС, формирование из случайного двоичного символа кодового слова, передачу кодового слова от первого КСС второму и третьему КСС, независимое и одновременное формирование принятого двоичного символа на сторонах второго и третьего КСС, формирование двоичного символа подтверждения на сторонах второго и третьего КСС, одновременную передачу двоичного символа подтверждения от второго КСС первому и третьему КСС, одновременную передачу двоичного символа подтверждения от третьего КСС первому и второму КСС, формирование ИП первым КСС, первой предварительной последовательности (ПрШ) на стороне второго КСС и второй предварительной последовательности (ПрШ) на стороне третьего КСС, кодирование ИП, выделение из кодированной ИП блока проверочных символов, передачу его от первого КСС второму и третьему КСС, формирование и запоминание первой декодированной последовательности (ДП1) на стороне второго КСС и второй декодированной последовательности (ДП2) на стороне третьего КСС, формирование функции хеширования на стороне первого КСС, передаче функции хеширования от первого КСС второму и третьему КСС, после чего формирование ключа шифрования/дешифрования из ИП, ДП1 и ДП2 на сторонах первого, второго и третьего КСС, соответственно.

Формирование ИП первым КСС заключается в генерировании L раз, где L > 10³ - выбранная первичная длина ИП, случайного двоичного символа, формировании из него кодового слова путем повторения сгенерированного случайного двоичного символа М раз, где М≥1, и передаче кодового слова по каналам связи с ошибками второму и третьему КСС, одновременном формировании из принятого слова принятого двоичного символа и двоичного символа подтверждения на сторонах второго и третьего КСС, одновременной передаче двоичного символа подтверждения F1 от второго КСС первому КСС по первому обратному каналу без ошибок и третьему КСС по третьему прямому каналу без ошибок, одновременной передаче двоичного символа подтверждения F2 от третьего КСС первому КСС по второму обратному каналу без ошибок и второму КСС по третьему обратному каналу без ошибок, причем при равенстве хотя бы одного из двоичных символов подтверждения F1 и F2 нулю соответствующие КСС осуществляют стирание сгенерированного случайного двоичного символа и принятых двоичных символов, а при одновременном равенстве двоичных символов подтверждения F1 и F2 единице осуществляется запоминание сгенерированного случайного двоичного символа и принятых двоичных символов первым, вторым и третьим КСС в качестве i-x элементов ИП, ПрП1 и ПрП2, на сторонах первого, второго и третьего КСС соответственно где i = 1, 2, 3, …, (L-U), где U - количество стертых символов при формировании исходной и предварительных последовательностей.

Кодирование ИП осуществляется линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, порождающая матрица которого имеет размерность K×N, причем N>K. Размеры K и N порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3. Для этого ИП предварительно разделяют на Y подблоков длиной по K двоичных символов, где Y=(L-U)/K, затем, последовательно, начиная с 1-го до Y-го из каждого j-го подблока, где j = 1, 2, 3, …, Y, формируют j-й кодовый блок длиной N двоичных символов перемножением j-го подблока на порождающую матрицу, затем из j-го кодового блока выделяют j-й подблок проверочных символов длиной (N-K) двоичных символов, который запоминают в качестве j-го подблока блока проверочных символов кодированной ИП.

Выделение блока проверочных символов ИП заключается в разбиении кодированной ИП на ИП и блок проверочных символов кодированной ИП и выделении последнего.

Передача блока проверочных символов кодированной ИП заключается в передаче его от первого КСС по первому прямому каналу связи без ошибок второму КСС и по второму прямому каналу связи без ошибок третьему КСС.

Формирование ДП1 вторым КСС и ДП2 третьим КСС осуществляется следующим образом, одновременно, ПрП1 второго КСС и ПрП2 третьего КСС декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, транспонированная проверочная матрица которого имеет размерность N×(N-K), причем N>K. Размеры K и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3. Для этого соответствующую предварительную последовательность на сторонах второго КСС и третьего КСС и блок проверочных символов кодированной ИП разделяют на Y соответствующих пар декодируемых подблоков и подблоков проверочных символов, где Y=(L-U)/K, причем длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно K и (N-K) двоичных символов, затем формируют Y принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к j-му декодируемому подблоку j-го подблока проверочных символов, где j = 1, 2, 3, …, Y, после чего последовательно, начиная с 1-го до Y-го, вычисляют j-й синдром S длиной (N-K) двоичных символов перемножением j-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному j-му синдрому S исправляют ошибки в j-м декодируемом подблоке, который затем запоминают в качестве соответствующего j-го подблока декодированной последовательности.

Формирование функции хеширования последовательностей первым КСС заключается в формировании двоичной матрицы G размерности (L-U)×T, где Т≥64 - длина формируемого КлШД, причем каждый из элементов двоичной матрицы G генерируют случайным образом.

Передача функции хеширования последовательностей заключается в последовательной передаче, начиная с 1-й по (L-U) - ю строки двоичной матрицы G, от первого КСС по первому прямому каналу связи без ошибок второму КСС и по второму прямому каналу связи без ошибок третьему КСС.

Формирование КлШД первым, вторым и третьим КСС заключается в хешировании исходной и декодированных последовательностей по сформированной первым КСС функции хеширования последовательностей. Для хеширования последовательностей, предварительно, на стороне первого КСС двоичную матрицу G и ИП, на стороне второго КСС двоичную матрицу G и ДП1, а на стороне третьего КСС двоичную матрицу G и ДП2 разделяют на W соответствующих пар подматриц размерности Р×Т, где P=(L-U)/W, и подблоков исходной и декодированных последовательностей длиной Р двоичных символов, затем начиная с 1-го до W-й, вычисляют z-й первичный ключ длиной Т двоичных символов, где z = 1, 2, 3, W, перемножением z-го подблока ИП на z-ю подматрицу G_z на стороне первого КСС, z-го подблока ДП1 на z-ю подматрицу G_z на стороне второго КСС, z-го подблока ДП2 на z-ю подматрицу G_z на стороне третьего КСС, после чего формируют КлШД путем поразрядного суммирования по модулю два всех W первичных ключей на сторонах первого, второго и третьего КСС.

Способ-прототип позволяет сформировать КлШД между корреспондентами СС со сравнительно небольшими материальными затратами при большом пространственном разнесении корреспондентов.

Недостатком прототипа является низкая общая криптосвязность, определяемая малым коэффициентом криптосвязности сети связи³. ³(Коэффициент криптосвязности сети связи - отношение количества имеющихся криптосвязностей между корреспондентами сети связи к возможному количеству криптосвязностей между корреспондентами сети связи, включающему сетевую и парные криптосвязности.) Низкая общая криптосвязность сети связи обуславливает прекращение защищенного информационного обмена между корреспондентами СС при компрометации сетевого КлШД (СКлШД) нарушителем у любого КСС и необходимостью формирования нового СКлШД для восстановления криптосвязности между корреспондентами СС, что требует значительных временных затрат для возобновления защищенного информационного обмена

Целью заявленного технического решения является разработка способа формирования КлШД, позволяющего увеличить общую криптосвязность сети связи и обеспечить, в случае отсутствия компрометаций КлШД, дополнительно к сетевому защищенному информационному обмену между корреспондентами СС, парный защищенный информационный обмен, в случае компрометации СКлШД - продолжение защищенного информационного обмена и уменьшение временных затрат на восстановление СКлШД за счет парных криптосвязностей, в случае компрометации парного КлШД (ПКлШД) - продолжение парного и сетевого информационного обмена между корреспондентами СС, в случае компрометации парных КлШД - продолжение защищенного информационного обмена и, в случае компрометации СКлШД и ПКлШД - продолжение парного защищенного информационного обмена между корреспондентами СС.

Поставленная цель достигается тем, что в предлагаемом способе формирования ключей шифрования/дешифрования, заключающемся в том, что генерируют L раз случайный двоичный символ на стороне первого КСС, где L≥10³, - выбранная длина начальной случайной последовательности, формируют из случайного двоичного символа кодовое слово, одновременно передают кодовое слово от первого КСС второму и третьему КСС по первому и второму каналам связи с ошибками, соответственно, после этого на выходе первого канала связи с ошибками получают принятое слово второго КСС, а на выходе второго канала связи с ошибками получают принятое слово третьего КСС, после чего формируют принятые двоичные символы и двоичные символы подтверждения на сторонах второго КСС и третьего КСС, соответственно, затем передают сформированный вторым КСС двоичный символ подтверждения F1 по первому обратному и третьему прямому каналам связи без ошибок первому КСС и третьему КСС, соответственно, одновременно передают сформированный третьим КСС двоичный символ подтверждения F2 по второму обратному и третьему обратному каналам связи без ошибок первому КСС и второму КСС, соответственно, в случае равенства нулю двоичных символов подтверждения F1 и F2 случайный двоичный символ первого КСС и принятые двоичные символы второго КСС и третьего КСС стирают, в случае равенства единице двоичных символов подтверждения F1 и F2 запоминают случайный двоичный символ первого КСС, принятый двоичный символ второго КСС, принятый двоичный символ третьего КСС, соответственно в качестве i-x элементов, где i = 1, 2, 3, …, UU, исходной и предварительных последовательностей, где UU - количество переданных символов начальной случайной последовательности каждому из которых соответствует выполнение условия совместного равенства единице двоичных символов подтверждения F1 и F2 при формировании исходной и предварительных последовательностей, причем UU≤L, после чего на стороне первого КСС кодируют ИП, выделяют из кодированной ИП блок проверочных символов и одновременно передают его по первому прямому и второму прямому каналам связи без ошибок второму КСС и третьему КСС, соответственно, после этого одновременно формируют и запоминают ДП1 и ДП2 на сторонах второго КСС и третьего КСС, соответственно, затем, на стороне первого КСС формируют функцию хеширования последовательностей и передают ее по первому прямому и второму прямому каналам связи без ошибок второму КСС и третьему КСС, соответственно, после чего формируют СКлШД из ИП на стороне первого КСС и соответствующих ДП1 второго КСС и ДП2 третьего КСС, одновременно и независимо с формированием СКлШД формируют первый ПКлШД (ПКлШД1) второго КСС и первого КСС и второй ПКлШД (ПКлШД2) третьего КСС и первого КСС, для этого, после передачи двоичных символов подтверждения F1 и F2 по каналам связи без ошибок и, в случае совместного равенства двоичного символа подтверждения F2 нулю и двоичного символа подтверждения F1 единице, соответствующие принятый двоичный символ третьего КСС стирают и запоминают случайный двоичный символ первого КСС, принятый двоичный символ второго КСС, соответственно в качестве ii-x элементов, где ii = 1, 2, 3, …, Q1, первой вторичной последовательности (ВП1) первого КСС, первой первичной последовательности (ПП1) второго КСС, где Q1 - количество переданных символов начальной случайной последовательности, каждому из которых соответствует выполнение условия совместного равенства двоичного символа подтверждения F2 нулю и двоичного символа подтверждения F1 единице, причем Q1≤L, в случае совместного равенства двоичного символа подтверждения F1 нулю и двоичного символа подтверждения F2 единице, соответствующие принятый двоичный символ второго КСС стирают и запоминают сгенерированный случайный двоичный символ первого КСС, принятый двоичный символ третьего КСС, соответственно в качестве iii-x элементов, где iii = 1, 2, 3, …, Q2, второй вторичной последовательности (ВП2) первого КСС, второй первичной последовательности (ПП2) третьего КСС, где Q2 - количество переданных символов начальной случайной последовательности каждому из которых соответствует выполнение условия совместного равенства двоичного символа подтверждения F1 нулю и двоичного символа подтверждения F2 единице, причем Q2≤L, после чего, на сторонах первого КСС и второго КСС формируют первую коррелированную последовательность (КП1) и первую базовую последовательность (БП1) длиной Q11 двоичных символов, соответственно, причем Q11≤UU, одновременно, на сторонах первого КСС и третьего КСС, соответственно, формируют вторую коррелированную последовательность (КП2) и вторую базовую последовательность (БП2) длиной Q21 двоичных символов, причем Q2≤UU, после чего, на стороне второго КСС кодируют БП1, выделяют из кодированной БШ блок корректировочных символов и передают его по первому обратному каналу связи без ошибок первому КСС, одновременно на стороне третьего КСС кодируют БП2, выделяют из кодированной БП2 блок корректировочных символов и передают его по второму обратному каналу связи без ошибок первому КСС, после этого, на стороне первого КСС одновременно из КП1 формируют и запоминают первую скорректированную последовательность (СкП1) длиной Q11 двоичных символов и из КП2 вторую скорректированную последовательность (СкП2) длиной Q21 двоичных символов, затем, одновременно формируют из СкП1 и СкП2 на стороне первого КСС первую и вторую сжимаемые скорректированные последовательности (ССП1, ССП2), соответственно, на стороне второго КСС формируют из БП1 первую сжимаемую базовую последовательность (СБП1), на стороне третьего КСС формируют из БШ вторую сжимаемую базовую последовательность (СБП2), причем длина каждой сжимаемой последовательности равна UU двоичных символов, после чего, одновременно формируют ПКлШД1 из ССП1 на стороне первого КСС и СБП1 на стороне второго КСС, ПКлШД2 из ССП2 на стороне первого КСС и СБП2 на стороне третьего КСС.

Формируют кодовое слово путем повторения сгенерированного случайного двоичного символа М раз, где М≥1, а принятому двоичному символу любого корреспондента СС присваивают значение первого двоичного символа принятого слова. Для независимого друг от друга и одновременного формирования двоичного символа

подтверждения F1 второго КСС или двоичного символа подтверждения F2 третьего КСС на сторонах второго КСС и третьего КСС, соответственно, первый двоичный символ принятого слова сравнивают с последующими М двоичными символами принятого слова, после чего, при наличии М совпадений первого двоичного символа принятого слова с М двоичными символами принятого слова двоичному символу подтверждения F1 второго КСС, или двоичному символу подтверждения F2 третьего КСС присваивают значение единица, а, при наличии хотя бы одного несовпадения первого двоичного символа принятого слова с М двоичными символами принятого слова двоичному символу подтверждения F1 второго КСС, или двоичному символу подтверждения F2 третьего КСС присваивают значение ноль. Для одновременного и независимого формирования КП1 первого КСС, БП1 второго КСС, а также КП2 первого КСС и БП2 третьего КСС сравнивают требуемую длину формируемых КП1 первого КСС и БП1 второго КСС равную Q11 двоичных символов с длиной равной Q1 двоичных символов ВП1 на стороне первого КСС, ПП1 на стороне второго КСС, затем, в случае выполнения условия Q1≥Q11 каждому j-му символу КП1 на стороне первого КСС присваивают значение j-го символа ВП1 и каждому j-му символу БП1 на стороне второго КСС присваивают значение j-го символа ПП1, где j = 1, 2, 3, …, Q11, в противном случае каждому j1-му символу КП1 на стороне первого КСС присваивают значение j1-го символа ВП1 и каждому j1-му символу БП1 на стороне второго КСС значение j1-го символа ПП1, где j1 = 1, 2, 3, …, Q1, после чего каждому jj-му символу КП1 на стороне первого КСС, где jj = Q1+1, Q1+2, Q1+3, …, Q11, присваивают значение q1-го символа ИП, где q1=1, 2, 3, …, (Q11 - Q1), и каждому jj-му символу БП1 на стороне второго КСС присваивают значение q1-го символа ПрП1, одновременно, для формирования КП2 первого КСС и БП2 третьего КСС сравнивают требуемую длину формируемых КП2 первого КСС и БП2 третьего КСС равную Q21 двоичных символов с длиной равной Q2 двоичных символов ВП2 на стороне первого КСС и ПП2 на стороне третьего КСС, затем, в случае выполнения условия Q2≥Q21 каждому j2-му символу КП2 на стороне первого КСС присваивают значение j2-го символа ВП2 и каждому j2-му символу БП2 на стороне третьего КСС присваивают значение j2-го символа ПП2, где j2 = 1, 2, 3, …, Q21, в противном случае каждому j3-му символу КП2 на стороне первого КСС присваивают значение j3-го символа ВП2 и каждому j3-му символу БП2 на стороне третьего КСС присваивают значение j3-го символа ПП2, где j3=1, 2, 3, …, Q2, после чего каждому jj2-му символу КП2 на стороне первого КСС, где jj2=Q2+1, Q2+2, Q2+3, …, Q21, присваивают значение q2-го символа ИП, где q2=UU, (UU-1), (UU-2), …, (UU-(Q21-Q2)+1), и каждому jj2-му символу БП2 на стороне третьего КСС присваивают значение q2-го символа ПрП2. Для одновременного формирования блока проверочных символов кодированной ИП, блока корректировочных символов кодированной БП1, блока корректировочных символов кодированной БП2 исходную последовательность первого КСС кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, где K - длина блока информационных символов и N - длина кодового блока, порождающая матрица которого имеет размерность K×N, причем N>K, при этом размеры K и N порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3, для чего предварительно ИП разделяют на Y подблоков длиной K двоичных символов, где Y=UU/K, затем последовательно начиная с первого до Y-го из каждого q-го подблока, где q=1, 2, 3, …, Y, формируют q-й кодовый блок длиной N двоичных символов перемножением q-го подблока на порождающую матрицу, затем из q-го кодового блока выделяют q-й подблок проверочных символов длиной (N-K) двоичных символов, который запоминают в качестве q-го подблока блока проверочных символов кодированной ИП, одновременно на стороне второго КСС кодируют БП1 линейным блоковым систематическим двоичным помехоустойчивым (NN, KK) кодом, где KK - длина блока информационных символов и NN - длина кодового блока, порождающая матрица которого имеет размерность KK×NN, причем NN>KK, при этом размеры KK и NN порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (NN, KK) кода выбирают KK=2^mm-1-mm и NN=2^mm-1, где mm≥3, для чего предварительно БП1 разделяют на YY подблоков длиной KK двоичных символов, где YY=Q11/KK, затем последовательно начиная с первого до YY-го из каждого qq-го подблока, где qq=1, 2, 3, …, YY, формируют qq-й кодовый блок длиной NN двоичных символов перемножением qq-го подблока на порождающую матрицу, затем из qq-го кодового блока выделяют qq-й подблок корректировочных символов длиной (NN-KK) двоичных символов, который запоминают в качестве qq-го подблока блока корректировочных символов кодированной БП1, одновременно на стороне третьего КСС кодируют БП2 линейным блоковым систематическим двоичным помехоустойчивым (NNN, KKK) кодом, где KKK - длина блока информационных символов и NNN - длина кодового блока, порождающая матрица которого имеет размерность KKK×NNN, причем NNN>KKK, при этом размеры KKK и NNN порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (NNN, KKK) кода выбирают KKK=2^mmm-1-mmm и NNN=2^mmm-1, где mmm≥3, для чего предварительно БП2 разделяют на YYY подблоков длиной KKK двоичных символов, где YYY=Q21/KKK, затем последовательно начиная с первого до YYY-го из каждого qqq-го подблока, где qqq=1, 2, 3, …, YYY, формируют qqq-й кодовый блок длиной NNN двоичных символов перемножением qqq-го подблока на порождающую матрицу, затем из qqq-го кодового блока выделяют qqq-й подблок корректировочных символов длиной (NNN-KKK) двоичных символов, который запоминают в качестве qqq-го подблока блока корректировочных символов кодированной БП2. Для одновременного формирования ДШ второго КСС, ДП2 третьего КСС, а также СкП2 первого КСС и СкП2 первого КСС ПрП1 второго КСС и ПрП2 третьего КСС, одновременно и независимо декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, где K - длина блока информационных символов и N - длина кодового блока, транспонированная проверочная матрица которого имеет размерность N×(N-K), причем N>K, при этом выбирают размеры K и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода K=2^m-1-m и N=2^m-1, где m≥3, для чего предварительные последовательности и блоки проверочных символов кодированной ИП разделяют на Y соответствующих пар декодируемых подблоков и подблоков проверочных символов, где Y=UU/K, причем длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно K и (N-K) двоичных символов, затем формируют Y принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к q-му декодируемому подблоку q-го подблока проверочных символов, где q=1, 2, 3, …, Y, затем последовательно, начиная с 1-го до Y-го, вычисляют q-й синдром D длиной (N-K) двоичных символов перемножением q-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному q-му синдрому D исправляют ошибки в q-м декодируемом подблоке, который затем запоминают в качестве q-го подблока декодированных последовательностей, одновременно и независимо формируют СкП1 на стороне первого КСС, для чего КП1 декодируют линейным блоковым систематическим двоичным помехоустойчивым (NN, KK) кодом, где KK - длина блока информационных символов и NN - длина кодового блока, транспонированная проверочная матрица которого имеет размерность NN×(NN-KK), причем NN>KK, при этом выбирают размеры KK и NN проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (NN, KK) кода KK=2^mm-1-mm и NN=2^mm-1, где mm≥3, для чего КП1 и блок корректировочных символов кодированной БП1 разделяют на YY соответствующих пар корректируемых подблоков и подблоков корректировочных символов, где YY=Q11/KK, причем длины корректируемых подблоков и подблоков корректировочных символов выбирают равными соответственно KK и (NN-KK) двоичных символов, затем формируют YY принятых кодовых блоков длиной NN двоичных символов путем конкатенации справа к qq-му корректируемому подблоку qq-го подблока корректировочных символов, где qq=1, 2, 3, …, YY, затем последовательно, начиная с 1-го до YY-го, вычисляют qq-й синдром Da1 длиной (NN-KK) двоичных символов перемножением qq-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному qq-му синдрому Da1 исправляют ошибки в qq-м корректируемом подблоке, который затем запоминают в качестве qq-го скорректированного подблока СкП1, одновременно для независимого формирования СкП2 на стороне первого КСС КП2 декодируют линейным блоковым систематическим двоичным помехоустойчивым (NNN, KKK) кодом, где KKK - длина блока информационных символов и NNN - длина кодового блока, транспонированная проверочная матрица которого имеет размерность NNN×(NNN-KKK), причем NNN>KKK, при этом выбирают размеры KKK и NNN проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (NNN, KKK) кода KKK=2^mmm-1-mmm и NNN=2^mmm-1, где mmm≥3, для чего КП2 и блок корректировочных символов кодированной БП2 разделяют на YYY соответствующих пар корректируемых подблоков и подблоков корректировочных символов, где YYY=Q21/KKK, причем длины корректируемых подблоков и подблоков корректировочных символов выбирают равными соответственно KKK и (NNN-KKK) двоичных символов, затем формируют YYY принятых кодовых блоков длиной NNN двоичных символов путем конкатенации справа к qqq-му корректируемому подблоку qqq-го подблока корректировочных символов, где qqq=1, 2, 3, …, YYY, затем, последовательно, начиная с 1-го до YYY-го, вычисляют qqq -й синдром Da2 длиной (NNN-KKK) двоичных символов перемножением qqq-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному qqq-му синдрому Da2 исправляют ошибки в qqq-м корректируемом подблоке, который затем запоминают в качестве qqq-го скорректированного подблока СкП2. Для одновременного и независимого формирования ССП1 первого КСС, СБП1 второго КСС, а также ССП2 первого КСС и СБП2 третьего КСС сравнивают требуемую длину формируемых ССП1 первого КСС и СБП1 второго КСС равную UU двоичных символов с длиной равной Q11 двоичных символов СкП1 на стороне первого КСС и БП1 на стороне второго КСС, затем, в случае выполнения условия Q11=UU каждому j-му символу ССП1 на стороне первого КСС присваивают значение j-го символа СкП1 и каждому j-му символу СБП1 на стороне второго КСС присваивают значение j-го символа БП1, где j = 1, 2, 3, …, UU, в противном случае каждому jj-му символу ССП1 на стороне первого КСС присваивают значение jj-го символа СкП1 и каждому jj-му символу СБП1 на стороне второго КСС присваивают значение jj-го символа БП1, где jj = 1, 2, 3, …, Q11, после чего каждому i-му символу ССП1 на стороне первого КСС присваивают значение ноль и каждому i-му символу СБП1 на стороне второго КСС присваивают значение ноль, где i=Q11+1, Q11+2, UU, одновременно, для формирования ССП2 первого КСС и СБП2 третьего КСС сравнивают требуемую длину формируемых последовательностей равную UU двоичных символов с длиной равной Q21 двоичных символов СкП2 на стороне первого КСС и БП2 на стороне третьего КСС, затем, в случае выполнения условия Q21=UU каждому j2-му символу ССП2 на стороне первого КСС присваивают значение j2-го символа СкП2 и каждому j2-му символу СБП2 на стороне третьего КСС присваивают значение j2-го символа второй базовой последовательности, где j2=1, 2, 3, …, UU, в противном случае каждому jj2-му символу ССП2 на стороне первого КСС присваивают значение jj2-го символа СкП2 и каждому jj2-му символу СБП2 на стороне третьего КСС присваивают значение jj2-го символа БП2, где jj2=1, 2, 3, …, Q21, после чего каждому i2-му символу ССП2 на стороне первого КСС присваивают значение ноль и каждому i2-му символу СБП2 на стороне третьего КСС присваивают значение ноль, где i2=Q21+1, Q21+2, …, UU. Функцию хеширования последовательностей на стороне первого КСС формируют в виде двоичной матрицы G размерности UU×T, где Т≥64 - длина формируемых сетевого и парных ключей шифрования/дешифрования, причем каждый из элементов двоичной матрицы G генерируют случайным образом. Функцию хеширования последовательностей передают последовательно, начиная с первой по UU-ю строки двоичной матрицы G. Для одновременного формирования СКлШД, ПКлШД1, ПКлШД2 предварительно двоичную матрицу G и ИП первого КСС, двоичную матрицу G и ДП1 второго КСС, двоичную матрицу G и ДП2 третьего КСС разделяют на W соответствующих пар подматриц размерности Р×Т, причем P=UU/W, где Т≥64 - длина формируемого СКлШД, и соответственно подблоков ИП, ДП1 второго КСС и ДП2 третьего КСС длиной Р двоичных символов соответственно, затем одновременно начиная с первого по W-й, вычисляют z-й первичный ключ длиной Т двоичных символов, где z=1, 2, 3, …, W, перемножением z-го подблока ИП первого КСС на z-ю подматрицу G_z, z-го подблока декодированной последовательности второго КСС на z-ю подматрицу G_z, z-го подблока декодированной последовательности третьего КСС на z-ю подматрицу G_z, после чего одновременно формируют СКлШД путем поразрядного суммирования по модулю два W первичных ключей на сторонах всех корреспондентов сети связи, одновременно, для формирования ПКлШД1 предварительно двоичную матрицу G и ССП1 первого КСС, двоичную матрицу G и СБП1 второго КСС разделяют на W соответствующих пар подматриц размерности Р×Т, где P=UU/W, где Т≥64 - длина формируемого ПКлШД1, и, соответственно подблоков ССП1, СБП1 длиной Р двоичных символов, соответственно, затем, одновременно, начиная с первого по W-й, вычисляют zz-й первичный ключ длиной Т двоичных символов, где zz=1, 2, 3, …, W, перемножением zz-го подблока ССП1 первого КСС на zz-ю подматрицу G_zz, zz-го подблока СБП1 второго КСС на zz-ю подматрицу G_zz, после чего одновременно формируют ПКлШД1 путем поразрядного суммирования по модулю два W первичных ключей на сторонах первого КСС и второго КСС, соответственно, одновременно, для формирования ПКлШД2 предварительно двоичную матрицу G и ССП2 первого КСС, двоичную матрицу G и СБП2 третьего КСС разделяют на W соответствующих пар подматриц размерности Р×Т, где P=UU/W, где Т≥64 - длина формируемого ПКлШД2, и, соответственно подблоков ССП2, СБП2 длиной Р двоичных символов, соответственно, затем, одновременно, начиная с первого по W-й, вычисляют zzz-й первичный ключ длиной Т двоичных символов, где zzz=1, 2, 3, …, W, перемножением zzz-го подблока ССП2 первого КСС на zzz-ю подматрицу G_zzz, zzz-го подблока СБП2 третьего КСС на zzz-ю подматрицу G_zzz, после чего одновременно формируют ПКлШД2 путем поразрядного суммирования по модулю два W первичных ключей на сторонах первого КСС и третьего КСС, соответственно.

Благодаря новой совокупности существенных признаков за счет одновременного формирования сетевого и парных ключей между корреспондентами СС увеличивается общая криптосвязность СС, обеспечивающая при компрометации нарушителем СКлШД продолжение защищенного информационного обмена и восстановление нового СКлШД, а также появление возможности попарного обмена сообщениями между корреспондентами СС без доступа к нему других корреспондентов СС и нарушителя за счет сохранения парной криптосвязности корреспондентов СС.

Вышеописанная новая совокупность существенных признаков в предлагаемом способе позволяет повысить общую криптосвязность сети связи, которая позволяет получить защищенный парный информационный обмен и обеспечить условия для продолжения защищенного информационного обмена между корреспондентами СС, быстрого восстановления СКлШД, посредством использования парных криптосвязностей, в случае компрометации ПКлШД - продолжить защищенный парный и сетевой информационный обмен, в случае компрометации ПКлШД и СКлШД - продолжить защищенный парный информационный обмен, а в случае компрометации парных КлШД - позволит продолжить защищенный сетевой информационный обмен между корреспондентами СС.

В силу аналогичного и подобного формирования в предлагаемом способе и способе-прототипе СКлШД, а также симметрии формирования ПКлШД1 второго КСС и первого КСС и ПКлШД2 третьего КСС и первого КСС, на представленных ниже фигурах показан процесс формирования только ПКлШД1 второго КСС и первого КСС.

Заявленный способ поясняется фигурами, на которых показаны:

• на фигуре 1 - обобщенная структурная схема сети связи, применяемая в заявленном способе;

• на фигуре 2 - временная диаграмма генерирования случайного двоичного символа на стороне первого КСС;

• на фигуре 3 - временная диаграмма сформированной начальной случайной последовательности двоичных символов на стороне первого КСС длиной L;

• на фигуре 4 - временная диаграмма формирования кодового слова на стороне первого КСС длиной (М+1) двоичных символов;

• на фигуре 5 - временная диаграмма вектора ошибок в первом канале связи с ошибками между первым и вторым КСС;

• на фигуре 6 - временная диаграмма принятого слова второго КСС длиной (М+1) двоичных символов;

• на фигуре 7 - временная диаграмма формирования принятого двоичного символа второго КСС;

• на фигуре 8 - временная диаграмма формирования двоичного символа подтверждения F1 второго КСС;

• на фигуре 9 - временная диаграмма принятого третьим КСС и первым КСС двоичного символа подтверждения F1;

• на фигуре 10 - временная диаграмма сформированного кодового слова на стороне первого КСС длиной (М+1) двоичных символов;

• на фигуре 11 - временная диаграмма вектора ошибок во втором канале связи с ошибками между первым и третьим КСС;

• на фигуре 12 - временная диаграмма принятого слова третьего КСС длиной (М+1) двоичных символов;

• на фигуре 13 - временная диаграмма формирования принятого двоичного символа третьего КСС;

• на фигуре 14 - временная диаграмма формирования двоичного символа подтверждения F2 третьего КСС;

• на фигуре 15 - временная диаграмма принятого вторым и первым КСС двоичного символа подтверждения F2;

• на фигуре 16 - временная диаграмма сформированной корреспондентами сети связи совокупности двоичных символов подтверждения F1=1 и F2=0;

• на фигуре 17 - временная диаграмма стертого третьим КСС принятого двоичного символа;

• на фигуре 18 - временная диаграмма сформированного принятого двоичного символа второго КСС;

• на фигуре 19 - временная диаграмма формирования вторым КСС первой первичной последовательности длиной Q1 двоичных символов (общий случай);

• на фигуре 20 - временная диаграмма сформированной вторым КСС первой первичной последовательности длиной Q1 двоичных символов при условии Q1≥Q11;

• на фигуре 21 - временная диаграмма формирования вторым КСС первой базовой последовательности длиной Q11 двоичных символов при условии Q1≥Q11;

• на фигуре 22 - временная диаграмма сформированной вторым КСС первой предварительной последовательности длиной (UU) двоичных символов при условии Q1<Q11;

• на фигуре 23 - временная диаграмма сформированной вторым КСС первой первичной последовательности длиной Q1 двоичных символов при условии Q1<Q11;

• на фигуре 24 - временная диаграмма формирования вторым КСС первой базовой последовательности длиной Q11 двоичных символов при условии Q1<Q11;

• на фигуре 25 - временная диаграмма сгенерированного случайного двоичного символа на стороне первого КСС;

• на фигуре 26 - временная диаграмма формирования первым КСС первой вторичной последовательности длиной Q1 двоичных символов (общий случай);

• на фигуре 27 - временная диаграмма сформированной первым КСС первой вторичной последовательности длиной Q1 двоичных символов при условии Q1≥Q11;

• на фигуре 28 - временная диаграмма формирования первым КСС первой коррелированной последовательности длиной Q11 двоичных символов при условии Q1≥Q11;

• на фигуре 29 - временная диаграмма сформированной первым КСС исходной последовательности длиной (UU) двоичных символов при условии Q1<Q11;

• на фигуре 30 - временная диаграмма сформированной первым КСС первой вторичной последовательности длиной Q1 двоичных символов при условии Q1<Q11;

• на фигуре 31 - временная диаграмма формирования первым КСС первой коррелированной последовательности длиной Q11 двоичных символов при условии Q1<Q11;

• на фигуре 32 - временная диаграмма сформированной вторым КСС первой базовой последовательности, разделенной на YY подблоков длиной по KK двоичных символов;

• на фигуре 33 - временная диаграмма кодирования qq-го подблока двоичных символов первой базовой последовательности на стороне второго КСС;

• на фигуре 34 - временная диаграмма сформированного qq-го кодового блока двоичных символов, включающего qq-й подблок корректировочных символов длиной (NN-KK) двоичных символов в составе кодированной первой базовой последовательности на стороне второго КСС;

• на фигуре 35 - временная диаграмма объединения из qq-x кодовых подблоков корректировочных символов в qq-й кодовый блок на стороне второго КСС;

• на фигуре 36 - временная диаграмма передачи qq-го подблока корректировочных символов кодированной первой базовой последовательности от второго КСС первому КСС;

• на фигуре 37 - временная диаграмма разделения принятого первым КСС блока корректировочных символов кодированной первой базовой последовательности на YY подблоков корректировочных символов длиной по (NN-KK) двоичных символов и выделение из него qq-го подблока корректировочных символов;

• на фигуре 38 - временная диаграмма разделения на стороне первого КСС первой коррелированной последовательности длиной Q11 двоичных символов на YY корректируемых подблоков длиной по KK двоичных символов и выделение из нее qq-го корректируемого подблока;

• на фигуре 39 - временная диаграмма формирования qq-го кодового блока длиной NN двоичных символов путем конкатенации справа qq-го подблока корректировочных символов к qq-му корректируемомоу подблоку и вычисления qq-го синдрома;

• на фигуре 40 - временная диаграмма формирования qq-го синдрома Da1 длиной по (NN-KK) двоичных символов и определение ошибки;

• на фигуре 41 - временная диаграмма формирования первым КСС qq-го скорректированного подблока длиной KK двоичных символов

• на фигуре 42 - временная диаграмма формирования на стороне первого КСС первой скорректированной последовательности двоичных символов из YY скорректированных подблоков с исправленными ошибками длиной Q11 двоичных символов;

• на фигуре 43 - временная диаграмма сформированной на стороне первого КСС первой скорректированной последовательности длиной Q11 двоичных символов (общий случай);

• на фигуре 44 - временная диаграмма сформированной на стороне первого КСС первой скорректированной последовательности длиной Q11 двоичных символов при условии Q11=UU;

• на фигуре 45 - временная диаграмма формирования на стороне первого КСС первой сжимаемой скорректированной последовательности длиной UU двоичных символов при условии Q11=UU;

• на фигуре 46 - временная диаграмма сформированной на стороне второго КСС первой базовой последовательности длиной Q11 двоичных символов при условии Q11=UU;

• на фигуре 47 - временная диаграмма формирования на стороне второго КСС первой сжимаемой базовой последовательности длиной UU двоичных символов при условии Q11=UU;

• на фигуре 48 - временная диаграмма сформированной на стороне первого КСС первой скорректированной последовательности длиной Q11 двоичных символов при условии Q11<UU;

• на фигуре 49 - временная диаграмма формирования на стороне первого КСС первой сжимаемой скорректированной последовательности длиной UU двоичных символов при условии Q11<UU;

• на фигуре 50 - временная диаграмма сформированной на стороне второго КСС первой базовой последовательности длиной Q11 двоичных символов при условии Q11<UU;

• на фигуре 51 - временная диаграмма формирования на стороне второго КСС первой сжимаемой базовой последовательности длиной UU двоичных символов при условии Q11<UU;

• на фигуре 52 - временная диаграмма сформированной на стороне первого КСС первой сжимаемой скорректированной последовательности длиной UU двоичных символов;

• на фигуре 53 - временная диаграмма сформированной на стороне второго КСС первой сжимаемой базовой последовательности длиной UU двоичных символов;

• на фигуре 54 - вид сформированной на стороне первого КСС функции хеширования последовательностей;

• на фигуре 55 - временная диаграмма представления функции хеширования в виде последовательности двоичных символов, включающей с первой по (UU)-ю строки длиной по Т двоичных символов;

• на фигуре 56 - временная диаграмма сформированных первой сжимаемой скорректированной последовательности на стороне первого КСС и первой сжимаемой базовой последовательности на стороне второго КСС;

• на фигуре 57 - временная диаграмма сформированного ПКлШД1 на сторонах первого и второго КСС длиной по Т двоичных символов;

• на фигуре 58 - временная диаграмма формирования ПКлШД1 на сторонах первого и второго КСС длиной по Т двоичных символов.

На представленных фигурах символом «А» обозначены действия, происходящие на стороне первого КСС, символами «В1» - на стороне второго КСС, символами «В2» - на стороне третьего КСС, символами «Е» обозначен уровень сигнала (символа) по оси ординат временной диаграммы. Символ «→» обозначает процесс передачи последовательностей двоичных символов по каналам связи между корреспондентами СС. На фигурах заштрихованный импульс представляет собой символ «1», а не заштрихованный символ - «0». Знаки «+» и «×» обозначают, соответственно, сложение и умножение в поле Галуа GF(2). Верхние буквенные индексы обозначают длину последовательности (блока), нижние буквенные индексы обозначают номер элемента в последовательности (блоке). Символы, подчеркнутые прямой линией обозначают последовательности, без подчеркивания обозначаются отдельные символы (блоки символов).

Формирование ИП, ПрП1, ПрП2, а также СКлШД осуществляется в соответствии со способом-прототипом (Патент РФ №2480923 от 27.04.2013). Особенностью предлагаемого способа является одновременное формирование СКлШД и двух ПКлШД.

Реализация заявленного способа заключается в следующем. Современные криптосистемы построены по принципу Керкгоффса, описанного, например, в книге Д. Месси, «Введение в современную криптологию», ТИИЭР т.76, №5, май 1988, с. 24, согласно которому полное знание нарушителя включает, кроме информации, полученной с помощью перехвата, полную информацию о порядке взаимодействия корреспондентов СС и процессе формирования КлШД. Формирование СКлШД и двух ПКлШД можно разделить на три основных этапа в рамках структурной схемы (см. фиг.1).

Первый этап - одновременное формирование статистически зависимых последовательностей (СЗП) у корреспондентов СС. Обеспечение формирования СЗП у каждого из корреспондентов СС обеспечивается путем одновременной передачи информации от первого КСС по первому и второму каналам связи с независимыми ошибками, соответственно, второму КСС и третьему КСС. В предлагаемом способе формирование СЗП обеспечивает формирование ИП первого КСС, ПрП1 второго КСС, а также ПрП2 третьего КСС, для использования их в ходе формирования СКлШД, одновременно формируются БП1 второго КСС, КП1 первого КСС для формирования ПКлШД1, а также БП2 третьего КСС и КП2 первого КСС для формирования ПКлШД2. Особенности обработки информации при формировании данных последовательностей обеспечивают уменьшение статистических связей между ними для обеспечения возможности формирования СКлШД и двух ПКлШД, не совпадающих между собой. Предполагается, что нарушитель знает порядок обработки информации корреспондентами СС и перехватывает свои версии формируемых последовательностей с использованием независимого канала перехвата с ошибками (КПер) между первым КСС и нарушителем.

Второй этап предназначен для обеспечения одновременного формирования СКлШД и двух ПКлШД с высокой надежностью. Одновременное формирование СКлШД с высокой надежностью достигается устранением (исправлением) несовпадающих символов (ошибок) в ПрП1 второго КСС и ПрП2 третьего КСС относительно ИП первого КСС, при использовании вторым КСС и третьим КСС дополнительной информации о ИП, переданной от первого КСС по первому прямому каналу связи без ошибок второму КСС и по второму прямому каналу связи без ошибок третьему КСС (см. фиг.1). Одновременное формирование ПКлШД1 с высокой надежностью достигается устранением (исправлением) несовпадающих символов (ошибок) в КП1 первого КСС относительно БП1 второго КСС, при использовании первым КСС дополнительной информации о БП1, переданной по первому обратному каналу связи без ошибок (см. фиг.1) от второго КСС первому КСС. Одновременное формирование ПКлШД2 с высокой надежностью достигается устранением (исправлением) несовпадающих символов (ошибок) в КП2 первого КСС относительно БП2 третьего КСС, при использовании первым КСС дополнительной информации о БП2, переданной по второму обратному каналу связи без ошибок (см. фиг.1) от третьего КСС первому КСС. Предполагается, что нарушитель перехватывает всю передаваемую дополнительную информацию по каналам перехвата без ошибок и использует ее для устранения несовпадений в своих версиях ИП, БП1 и БП2. Возможность одновременного формирования СКлШД и двух ПКлШД определяется разными условиями ведения перехвата нарушителем. Информацию о ИП нарушитель получает на выходе независимого КПер с ошибками между ним и первым КСС (т.е. исходного КПер), при этом, одновременно, информацию о БП1 нарушитель получает на выходе составного КПер, включающего последовательное соединение первого канала связи с ошибками и исходного КПер, а информацию о БП2 нарушитель получает на выходе составного КПер, включающего последовательное соединение второго канала связи с ошибками и исходного КПер.

Третий этап предназначен для формирования СКлШД и двух ПКлШД заданной длины с малым количеством информации о ключе, получаемой нарушителем.

Обеспечение формирования СКлШД и двух ПКлШД корреспондентов СС с малым количеством информации о каждом КлШД у нарушителя обеспечивается путем сжатия последовательностей корреспондентов СС, используемых для формирования СКлШД и двух ПКлШД, которые получены ими после второго этапа. Предполагается, что нарушителю известен алгоритм сжатия последовательностей. Возможности формирования СКлШД и двух ПКлШД для СС из трех корреспондентов, уменьшение временных затрат на восстановление криптографической сетевой связности СС при компрометации СКлШД, продолжение защищенного информационного обмена достигается одновременной передачей функции хеширования от первого КСС по первому прямому и второму прямому каналам связи без ошибок соответственно второму КСС и третьему КСС и одновременной обработкой информации в целях формирования СКлШД и двух ПКлШД.

Предполагается, что нарушитель имеет канал перехвата с ошибками с входом от первого КСС, с помощью которого он получает информацию о переданных кодовых словах по каналам связи с ошибками для формирования своих версий ИП, БП1, БП2. Нарушитель может только получать информацию и не может участвовать в информационном обмене. Информацию о БП1 нарушитель получает на выходе первого составного канала утечки, включающего последовательное соединение первого канала связи с ошибками и канала перехвата, а информацию о БП2 нарушитель получает на выходе второго составного канала утечки, включающего последовательное соединение второго канала связи с ошибками и канала перехвата. Информацию о ИП нарушитель получает на выходе канала перхвата.

В заявленном способе повышение общей криптосвязности корреспондентов СС, уменьшение времени восстановления сетевой криптографической связности корреспондентов СС в случае компрометации СКлШД со стороны нарушителя реализуется следующей последовательностью действий.

Для одновременного формирования СКлШД и двух ПКлШД корреспондентов СС на стороне первого КСС генерируют L раз случайный двоичный символ (см. фиг.2), где L≥10³ - выбранная длина начальной случайной последовательности (см. фиг.3). Известные способы генерирования случайных чисел описаны, например, в книге Д. Кнут, «Искусство программирования для ЭВМ», М., Мир, 1977, т.2, стр. 22. Формируют из случайного двоичного символа кодовое слово. Для формирования кодового слова сгенерированный случайный двоичный символ повторяют М раз (см. фиг.4, 10), где М≥1. Величина М определяется качеством каналов связи с ошибками. Известные способы кодирования кодом с повторениями описаны, например, в книге Э. Берлекэмп, «Алгебраическая теория кодирования», М., Мир, 1971, стр. 11. Одновременно передают кодовое слово от первого КСС по первому и второму каналам связи с независимыми ошибками второму КСС и третьему КСС, соответственно. Временная диаграмма вектора ошибок в первом канале связи с независимыми случайными ошибками показана на фигуре 5, а временная диаграмма вектора ошибок во втором канале связи с независимыми случайными ошибками показана на фигуре 11. Под термином «вектор ошибок» понимают поразрядную разность между переданным и принятым кодовыми словами, как описано, например, в книге А. Зюко, Д. Кловский, М. Назаров, Л. Финк, «Теория передачи сигналов», М., Радио и связь, 1986, стр. 93. После этого на выходе первого канала связи с ошибками получают принятое слово второго КСС (см фиг.6), а на выходе второго канала связи с ошибками получают принятое слово третьего КСС (см фиг.12). Известные способы передачи последовательностей по каналам связи с ошибками описаны, например, в книге А. Зюко, Д. Кловский, М. Назаров, Л. Финк, «Теория передачи сигналов», М., Радио и связь, 1986, стр. 11. Второй КСС и третий КСС из соответствующих принятых слов одновременно и независимо формируют принятые двоичные символы. Принятому двоичному символу любого корреспондента СС присваивают значение первого двоичного символа соответствующего принятого слова (см. фиг.7, 13). В силу аналогии и подобия формирования в предлагаемом способе и способе-прототипе СКлШД, а также симметрии формирования ПКлШД1 второго КСС и первого КСС и ПКлШД2 третьего КСС и первого КСС, на представленных фигурах, начиная с фигуры 2, показан процесс формирования только ПКлШД1 второго КСС и первого КСС. Для независимого друг от друга и одновременного формирования двоичного символа подтверждения F1 второго КСС (см. фиг.8), или двоичного символа подтверждения F2 третьего КСС (см. фиг.14), соответственно, первый двоичный символ принятого слова сравнивают с последующими М двоичными символами принятого слова, после чего, при наличии М совпадений первого двоичного символа принятого слова с последующими М двоичными символами принятого слова, двоичному символу подтверждения F1 второго КСС или двоичному символу подтверждения F2 третьего КСС присваивают значение единица (см. фиг.6, 8), а, при наличии хотя бы одного несовпадения первого двоичного символа принятого слова с М двоичными символами принятого слова двоичному символу подтверждения F1 второго КСС или двоичному символу подтверждения F2 третьего КСС присваивают значение ноль (см. фиг.12, 14). Известные способы сравнения двоичных символов описаны, например, в книге П. Хоровец, У. Хил, «Искусство схемотехники», М., Мир, т.1, 1983, стр. 212. После этого передают сформированный вторым КСС двоичный символ подтверждения F1 по первому обратному и третьему прямому каналам связи без ошибок первому КСС и третьему КСС, соответственно (см. фиг.9), передают сформированный третьим КСС двоичный символ подтверждения F2 по второму обратному и третьему обратному каналам связи без ошибок первому КСС и второму КСС, соответственно (см фиг.15). Известные способы передачи двоичного символа по обратному каналу описаны, например, в книге А. Зюко, Д. Кловский, М. Назаров, Л. Финк, «Теория передачи сигналов», М., Радио и связь, 1986, стр. 156. Затем, в случае совместного равенства нулю двоичных символов подтверждения F1 и F2 (F1=0; F2=0) соответствующие случайный двоичный символ первого КСС, а также соответствующие принятые двоичные символы второго КСС и третьего КСС одновременно стирают. Известные способы стирания двоичных символов описаны, например, в книге У. Питерсон, Э. Уэлдон, «Коды исправляющие ошибки», М., Мир, 1976, стр. 17. В случае совместного равенства единице двоичных символов подтверждения F1 и F2 (F1=1; F2=1) запоминают случайный двоичный символ первого КСС, принятый двоичный символ второго КСС и принятый двоичный символ третьего КСС, соответственно в качестве i-x элементов, где i=1, 2, 3, …, UU, ИП, ПрП1 и ПрП2, где UU - количество переданных символов начальной случайной последовательности, каждому из которых соответствует выполнение условия совместного равенства единице двоичных символов подтверждения F1 и F2 (F1=1; F2=1) при формировании ИП, ПрП1, ПРП2, причем UU≤L. Известные способы хранения двоичных символов описаны, например, в книге Л. Мальцев, Э. Фломберг, В. Ямпольский, «Основы цифровой техники», М., Радио и связь, 1986, стр. 79. В случае совместного равенства двоичного символа подтверждения F1 единице (F1=1) и двоичного символа подтверждения F2 нулю (F2=0) (см. фиг.16) соответствующие принятый двоичный символ третьего КСС стирают (см. фиг.17) и запоминают случайный двоичный символ первого КСС (см. фиг.25), принятый двоичный символ второго КСС (см. фиг.18), соответственно в качестве ii-x элементов, где ii=1, 2, 3, …, Q1, ВП1 первого КСС (см. фиг.26), ПП1 второго КСС (см. фиг.19), где Q1 - количество переданных символов начальной случайной последовательности каждому из которых соответствует выполнение условия совместного равенства двоичного символа подтверждения F2 нулю (F2=0) и двоичного символа подтверждения F1 единице (F1=1), причем Q1≤L. В случае совместного равенства двоичного символа подтверждения F1 нулю (F1=0), и двоичного символа подтверждения F2 единице (F2=1), соответствующие принятый двоичный символ второго КСС стирают и запоминают сгенерированный случайный двоичный символ первого КСС, принятый двоичный символ третьего КСС, соответственно, в качестве iii-x элементов, где iii=1, 2, 3, …, Q2, ВП2 первого КСС, ПП2 третьего КСС, где Q2 - количество переданных символов начальной случайной последовательности каждому из которых соответствует выполнение условия совместного равенства двоичного символа подтверждения F1 нулю (F1=0) и двоичного символа подтверждения F2 единице (F2=1), причем Q2≤L.

После чего, для одновременного и независимого формирования КП1 первого КСС и БП1 второго КСС, длиной Q11 двоичных символов, причем Q11≤UU, сравнивают требуемую длину формируемых КП1 первого КСС, БП1 второго КСС равную Q11 двоичных символов с длиной равной Q1 двоичных символов ВП1 на стороне первого КСС, ПП1 на стороне второго КСС, затем, в случае выполнения условия Q1≥Q11 (см. фиг.20, 27) каждому j-му символу КП1 на стороне первого КСС присваивают значение j-го символа ВП1 (см. фиг.28) и каждому j-му символу БП1 на стороне второго КСС присваивают значение j-го символа ПП1 (см. фиг.21), где j = 1, 2, 3, …, Q11, в противном случае, каждому j1-му символу КП1 на стороне первого КСС (см. фиг.31) присваивают значение j1-го символа ВП1 (см. фиг. 30) и каждому j1-му символу БП1 на стороне второго КСС (см. фиг.24) присваивают значение j1-го символа ПП1 (см. фиг.23), где j = 1, 2, 3, …, Q1, после чего каждому jj-му символу КП1 на стороне первого КСС, где jj=Q1+1, Q1+2, Q1+3, Q11, присваивают значение q1-го символа ИП, где q1=1, 2, 3, (Q11-Q1) (см. фиг.29, 31) и каждому jj-му символу БП1, на стороне второго КСС присваивают значение q1-го символа ПрП1, (см. фиг.22, 24). Известные способы хранения последовательности двоичных символов описаны, например, в книге Л. Мальцевой, Э. Фломберга, В. Ямпольского, «Основы цифровой техники», М., Радио и связь, 1986, стр. 38. Для одновременного и независимого формирования КП2 первого КСС и БП2 третьего КСС сравнивают требуемую длину формируемых последовательностей равную Q21 двоичных символов с длиной равной Q2 двоичных символов ВП2 на стороне первого КСС и ПП2 на стороне третьего КСС, затем в случае выполнения условия Q2≥Q21 каждому j2-му символу КП2 на стороне первого КСС присваивают значение j2-го символа ВП2 и каждому j2-му символу БП2 на стороне третьего КСС присваивают значение j2-го символа ПП2, где j2=1, 2, 3,…, Q21, в противном случае каждому j3-му символу КП2 на стороне первого КСС присваивают значение j3-го символа ВП2 и каждому j3-му символу БП2 на стороне третьего КСС присваивают значение j3-го символа ПП2, где j3=1, 2, 3, …, Q2, после чего каждому jj2-му символу КП2 на стороне первого КСС, где jj2=Q2+1, Q2+2, Q2+3, …, Q21 присваивают значение q2-го символа ИП, где q2=UU, (UU-1), (UU-2), …, (UU-(Q21-Q2)+1) и каждому jj2-му символу БП2, на стороне третьего КСС присваивают значение q2-го символа ПрП2.

Оценка вероятностей ошибок в КП1 и КП2 относительно соответствующих БП1 и БП2 корреспондентов СС приведена в Приложении 1 предлагаемого способа. Оценка вероятности ошибок в ДП1 и ДП2 относительно ИП корреспондентов СС приведена в Приложении 1 способа-прототипа.

После применения корреспондентами СС кода с повторениями в ИП первого КСС, а также ПрП1 второго КСС и ПрП2 третьего КСС остаются несовпадающие символы, что не позволяет корреспондентам СС приступить к непосредственному формированию СКлШД. Устранение этих несовпадений может быть реализовано на основе использования помехоустойчивого кодирования. Однако известные помехоустойчивые коды позволяют кодировать последовательности значительно меньшей длины, чем полученная длина ИП, равная UU двоичных символов. Для этого применяют последовательное кодирование, т.е. если длина ИП велика, например, 10³÷10⁵ двоичных символов, ее разделяют на Y подблоков длиной по K двоичных символов, где Y=UU/K. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В. Васильев, В. Свириденко, «Системы связи», М., Высшая школа, 1987, стр. 208. Известные способы помехоустойчивого кодирования блоков символов описаны, например, в книге Р. Блейхут, «Теория и практика кодов, контролирующих ошибки», М., Мир, 1986, стр. 63.

Для одновременного формирования блока проверочных символов кодированной ИП, ИП первого КСС кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, где K - длина блока информационных символов и N - длина кодового блока, порождающая матрица которого имеет размерность K×N, причем N>K, при этом размеры K и N порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3,, как описано, например, в книге Р. Блейхут, «Теория и практика кодов, контролирующих ошибки», М., Мир, 1986, стр. 71, для чего предварительно ИП первого КСС разделяют на Y подблоков длиной К двоичных символов, где Y=UU/K, затем, последовательно, начиная с первого до Y-го из каждого q-го подблока, где q=1, 2, 3, …, Y, формируют q-й кодовый блок длиной N двоичных символов перемножением q-го подблока на порождающую матрицу, затем, из q-го кодового блока выделяют q-й подблок проверочных символов длиной (N-K) двоичных символов, который запоминают в качестве q-го подблока блока проверочных символов кодированной ИП. Линейным двоичным кодом называется код, который построен на основе использования линейных операций в поле GF(2), как описано, например, в книге Р. Блейхут, «Теория и практика кодов, контролирующих ошибки», М, Мир, 1986, стр. 61. Под термином «блоковый код» понимают код, в котором действия производятся над блоками символов, как описано, например, в книге Р.Блейхут, «Теория и практика кодов, контролирующих ошибки», М., Мир, 1986, стр. 13. Систематическим называется код, в котором кодовое слово начинается с информационных символов, оставшиеся символы кодового слова являются проверочными символами к информационным символам, как описано, например, в книге Р.Блейхут, «Теория и практика кодов, контролирующих ошибки», М., Мир, 1986, стр. 66. Для одновременного и независимого формирования блока корректировочных символов кодированной БП1 на стороне второго КСС кодируют БП1 линейным блоковым систематическим двоичным помехоустойчивым (NN, KK) кодом, где KK - длина блока информационных символов и NN - длина кодового блока, порождающая матрица которого имеет размерность KK×NN, причем NN>KK, при этом размеры KK и NN порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (NN, KK) кода выбирают KK=2^mm-1-mm и NN=2^mm-1, где mm≥3, для чего предварительно БП1 разделяют на YY подблоков длиной по KK двоичных символов, где YY=Q11/KK (см. фиг.32), затем, последовательно, начиная с первого до YY-го из каждого qq-го подблока, где qq=1, 2, 3, …, YY (см фиг.33), формируют qq-й кодовый блок длиной NN двоичных символов перемножением qq-го подблока на порождающую матрицу (см фиг.34), затем из qq-го кодового блока выделяют qq-й подблок корректировочных символов длиной (NN-KK) двоичных символов (см. фиг.35), который запоминают в качестве qq-го подблока блока корректировочных символов кодированной БП1 (см. фиг.36). Одновременно и независимо на стороне третьего КСС кодируют БП2 линейным блоковым систематическим двоичным помехоустойчивым (NNN, KKK) кодом, где KKK - длина блока информационных символов и NNN - длина кодового блока, порождающая матрица которого имеет размерность KKK×NNN, причем NNN>KKK, при этом размеры KKK и NNN порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (NNN, KKK) кода выбирают KKK=2^mmm-1-mmm и NNN=2^mmm-1, где mmm≥3, для чего предварительно БП2 разделяют на YYY подблоков длиной KKK двоичных символов, где YYY=Q21/KKK, затем, последовательно, начиная с первого до YYY-го из каждого qqq-го подблока, где qqq=1, 2, 3, …, YYY, формируют qqq-й кодовый блок длиной NNN двоичных символов перемножением qqq-го подблока на порождающую матрицу, затем из qqq-го кодового блока выделяют qqq-й подблок корректировочных символов длиной (NNN-KKK) двоичных символов, который запоминают в качестве qqq-го подблока блока корректировочных символов кодированной БП2. Одновременно и независимо передают блок проверочных символов кодированной ИП первого КСС по первому прямому и второму прямому каналам связи без ошибок второму КСС и третьему КСС, соответственно. Одновременно и независимо передают блок корректировочных символов кодированной БП1 второго КСС по первому обратному каналу связи без ошибок первому КСС (см. фиг.37). Одновременно и независимо передают блок корректировочных символов кодированной БП2 третьего КСС по второму обратному каналу связи без ошибок первому КСС.

В качестве помехоустойчивых кодов могут использоваться широкий класс кодов Боуза-Чоудхури-Хоквингема, коды Хемминга, Рида-Малера, Рида-Соломона и другие линейные блоковые коды, характеризующиеся своими параметрами N, K, d (NN, KK, dd, …). В ходе применения корреспондентами СС помехоустойчивого кодирования, нарушитель получает дополнительную информацию о КлШД путем перехвата блока корректировочных символов кодированных БП1 второго КСС и БП2 третьего КСС, переданных, соответственно, по первому обратному и третьему обратному каналам связи без ошибок первому КСС. Используя его нарушитель также исправляет часть несовпадений в своих версиях перехваченных БП1 и БП2 относительно БП1 второго КСС и БП2 третьего КСС. Это обстоятельство корреспонденты учитывают при формировании из скорректированных последовательностей соответствующих ПКлШД.

Устранение несовпадений (ошибок) в КП1 и КП2 первого КСС, а также в ПрП1 второго КСС и ПрП2 третьего КСС реализуется в заявленном способе следующей последовательностью действий. Одновременно формируют и запоминают ДП1 второго КСС и ДП2 третьего КСС, а также СкП1 длиной Q11 двоичных символов и СкП2 длиной Q21 двоичных символов на стороне первого КСС.

Одновременно для независимого формирования ДП1 на стороне второго КСС и на ДП2 стороне третьего КСС ПрП1 второго КСС и ПрП2 третьего КСС одновременно и независимо декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, где K - длина блока информационных символов и N - длина кодового блока, транспонированная проверочная матрица которого имеет размерность N×(N-K), причем N>K, при этом выбирают размеры K и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода K=2^m-1-m и N=2^m-1, где m≥3, для чего предварительные последовательности и блоки проверочных символов кодированной ИП разделяют на Y соответствующих пар декодируемых подблоков и подблоков проверочных символов, где Y=UU/K, причем длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно K и (N-K) двоичных символов, затем формируют Y принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к q-му декодируемому подблоку q-го подблока проверочных символов, где q=1, 2, 3, …, Y, затем, последовательно, начиная с 1-го до Y-го, вычисляют q-й синдром D длиной (N-K) двоичных символов перемножением q-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному q-му синдрому D исправляют ошибки в q-м декодируемом подблоке, который затем запоминают в качестве q-го подблока декодированных последовательностей. Известные способы синдромного декодирования блоков символов описаны, например, в книге Р. Блейхут, «Теория и практика кодов, контролирующих ошибки», М., Мир, 1986, стр. 70. Одновременно, для независимого формирования СкП1 на стороне первого КСС, КШ декодируют линейным блоковым систематическим двоичным помехоустойчивым (NN, KK) кодом, где KK -длина блока информационных символов и NN - длина кодового блока, транспонированная проверочная матрица которого имеет размерность NNx(NN-KK), причем NN>KK, при этом выбирают размеры KK и NN проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (NN, KK) кода KK=2^mm-1-mm и NN=2^mm-1, где mm≥3, для чего КП1 и блок корректировочных символов кодированной БШ разделяют на YY соответствующих пар корректируемых подблоков и подблоков корректировочных символов (см. фиг.37, 38), где YY=Q11/KK, причем длины корректируемых подблоков и подблоков корректировочных символов выбирают равными, соответственно, KK и (NN-KK) двоичных символов, затем формируют YY принятых кодовых блоков длиной NN двоичных символов путем конкатенации справа к qq-му корректируемому подблоку qq-го подблока корректировочных символов (см. фиг.39), где qq=1, 2, 3, …, YY, затем, последовательно, начиная с 1-го до YY-го, вычисляют qq-й синдром Da1 длиной (NN-KK) двоичных символов перемножением qq-го принятого кодового блока на транспонированную проверочную матрицу (см. фиг.40), а по полученному qq-му синдрому Da1 исправляют ошибки в qq-м корректируемом подблоке (см. фиг.41), который затем запоминают в качестве qq-го скорректированного подблока (см. фиг.42) СкП1 на стороне первого КСС (см. фиг.43). Одновременно, для независимого формирования СкП2 на стороне первого КСС, КП2 декодируют линейным блоковым систематическим двоичным помехоустойчивым (NNN, KKK) кодом, где KKK - длина блока информационных символов и NNN - длина кодового блока, транспонированная проверочная матрица которого имеет размерность NNN×(NNN-KKK), причем NNN>KKK, при этом выбирают размеры KKK и NNN проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (NNN, KKK) кода KKK=2^mmm-1-mmm и NNN=2^mmm-1, где mmm≥3, для чего КП2 и блок корректировочных символов кодированной БП2 разделяют на YYY соответствующих пар корректируемых подблоков и подблоков корректировочных символов, где YYY=Q21/KKK, причем длины корректируемых подблоков и подблоков корректировочных символов выбирают равными соответственно KKK и (TSTNN-KKK) двоичных символов, затем формируют YYY принятых кодовых блоков длиной NNN двоичных символов путем конкатенации справа к qqq-му корректируемому подблоку qqq-го подблока корректировочных символов, где qqq=1, 2, 3, …, YYY, затем, последовательно, начиная с 1-го до YYY-го, вычисляют qqq-й синдром Da2 длиной (NNN-KKK) двоичных символов перемножением qqq-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному qqq-му синдрому Da2 исправляют ошибки в qqq-м корректируемом подблоке, который затем запоминают в качестве qqq-го скорректированного подблока СкП2.

Оценка вероятностей ошибочного декодирования коррелированных последовательностей приведена в Приложении 2 предлагаемого способа. Оценка вероятностей ошибочного декодирования предварительных последовательностей приведена в Приложении 2 способа-прототипа.

После устранения несовпадений (ошибок) в КП1 и КП2 первого КСС относительно соответствующих БП1 второго КСС и БП2 третьего КСС, в заявленном способе одновременно и независимо формируют СкП1 и СкП2 на стороне первого КСС, а также СБП1 на стороне второго КСС и СБП2 на стороне третьего КСС, причем длина каждой сжимаемой последовательности равна UU двоичных символов, для чего сравнивают требуемую длину формируемых ССП1 первого КСС и СБП1 второго КСС равную UU двоичных символов с длиной равной Q11 двоичных символов СкП1 на стороне первого КСС (см. фиг.44) и БП1 на стороне второго КСС (см. фиг.46), затем, в случае выполнения условия Q11=UU, каждому j-му символу ССП1 на стороне первого КСС присваивают значение j-го символа СкП1 (см. фиг.45) и каждому j-му символу СБП1 на стороне второго КСС присваивают значение j-го символа БП1 (см. фиг.47), где j = 1, 2, 3, …, UU, в противном случае (см. фиг.48, 50) каждому jj-му символу ССП1 на стороне первого КСС присваивают значение jj-го символа СкП1 и каждому jj-му символу СБП1 на стороне второго КСС присваивают значение jj-го символа БП1, где jj = 1, 2, 3, …, Q11, после чего каждому i-му символу ССП1 на стороне первого КСС присваивают значение ноль (см. фиг.49) и каждому i-му символу СБП1 на стороне второго КСС присваивают значение ноль (см. фиг.51), где i = Q11+1, Q11+2, …, UU. Общий вид сформированных ССП1 первого КСС и СБШ второго КСС представлен на фигурах 52 и 53, соответственно. Одновременно, для формирования ССП2 первого КСС и СБП2 третьего КСС сравнивают требуемую длину формируемых последовательностей равную UU двоичных символов с длиной равной Q21 двоичных символов СкП2 на стороне первого КСС и БП2 на стороне третьего КСС, затем, в случае выполнения условия Q21=UU каждому j2-му символу ССП2 на стороне первого КСС присваивают значение j2-го символа СкП2 и каждому j2-му символу СБП2 на стороне третьего КСС присваивают значение j2-го символа БП2, где j2=1, 2, 3, …, UU, в противном случае каждому jj2-му символу ССП2 на стороне первого КСС присваивают значение jj2-го символа СкП1 и каждому jj 2-му символу СБП2 на стороне третьего КСС присваивают значение jj2-го символа БШ, где jj2=1, 2, 3, …, Q21, после чего каждому i2-му символу ССП2 на стороне первого КСС присваивают значение ноль и каждому i2-му символу СБП2 на стороне третьего КСС присваивают значение ноль, где i2=Q21+1, Q21+2, …, UU.

После формирования корреспондентами СС тождественных ИП первого КСС, а также ДП1 второго КСС и ДП2 третьего КСС, ССП1 первого КСС и СБП1 второго КСС, а также ССП2 первого КСС и СБП2 третьего КСС, корреспонденты сети связи должны сформировать, соответственно, СКлШД, а также ПКлШД1 и ПКлШД2 с малым количеством информации нарушителя о СКлШД и двух ПКлШД. Для обеспечения малого количества информации нарушителя о СКлШД и двух ПКлШД корреспонденты сети связи используют метод "усиления секретности" последовательностей.

Оценка количества информации Шеннона, получаемой нарушителем о сформированном корреспондентами сети связи СКлШД при использовании метода «усиления секретности» приведена в Приложении 3 способа-прототипа. Оценка количества информации Шеннона, получаемой нарушителем о сформированных корреспондентами СС двух ПКлШД при использовании метода «усиления секретности» приведена в Приложении 3 предлагаемого способа.

Для обеспечения малой величины информации нарушителя о СКлШД и двух ПКлШД в предлагаемом способе реализуется следующая последовательность действий. На стороне первого КСС формируют функцию хеширования последовательностей в виде двоичной матрицы G размерности UU×T, где Т≥64 - длина формируемых СКлШД и парных КлШД, причем каждый из элементов двоичной матрицы G генерируют случайным образом (см. фиг.54). Затем, одновременно, последовательно, начиная с первой по UU-ю строки двоичной матрицы G (см. фиг.55), передают функцию хеширования последовательностей по первому прямому и второму прямому каналам связи без ошибок второму КСС и третьему КСС, соответственно. После чего, одновременно и независимо, путем хеширования, формируют СКлШД из ИП на стороне первого КСС и соответствующих ДП1 второго КСС и ДП2 третьего КСС, ПКлШД1 из ССП1 на стороне первого КСС и СБШ на стороне второго КСС (см. фиг.56), ПКлШД2 из ССП2 на стороне первого КСС и СБП2 на стороне третьего КСС, для чего предварительно двоичную матрицу G и ИП первого КСС, двоичную матрицу G и ДП1 второго КСС, двоичную матрицу G и ДП2 третьего КСС разделяют на W соответствующих пар подматриц размерности Р×Т, причем P=UU/W, где Т≥64 - длина формируемого СКлШД, и, соответственно, подблоков ИП первого КСС, ДП1 второго КСС и ДП2 третьего КСС длиной Р двоичных символов. Известные способы разбиения последовательности на блоки фиксированной длины описаны, например, в книге В. Васильев, В. Свириденко, «Системы связи», М., Высшая школа, 1987, стр. 208. Затем, одновременно, начиная с первого по W-й, вычисляют z-й первичный ключ длиной Т двоичных символов, где z=1, 2, 3, W, перемножением z-го подблока ИП первого КСС на z-ю подматрицу G_z, z-го подблока, ДП1 второго КСС на z-ю подматрицу G_z, z-го подблока ДП2 третьего КСС на z-ю подматрицу G_z. После чего формируют СКлШД путем поразрядного суммирования по модулю два всех W первичных ключей на сторонах всех КСС. Действия по передаче и приему последовательностей по каналам связи с ошибками, а также по прямым и обратным каналам связи без ошибок засинхронизированы. Известные способы синхронизации описаны, например, в книге Е. Мартынов, «Синхронизация в системах передачи дискретных сообщений», М., Связь, 1972, стр. 186. Одновременно и независимо для формирования ПКлШД1 (см. фиг.57) предварительно двоичную матрицу G и ССП1 первого КСС, двоичную матрицу G и СБП1 второго КСС разделяют на W соответствующих пар подматриц размерности Р×Т, причем P=UU/W, где Т≥64 - длина формируемого ПКлШД1, и, соответственно, подблоков ССП1, СБП2 длиной Р двоичных символов, соответственно, затем, одновременно, начиная с первого по W-й, вычисляют zz-й первичный ключ длиной Т двоичных символов, где zz=1, 2, 3, …, W, перемножением zz-го подблока ССП1 первого КСС на zz-ю подматрицу G_zz, zz-го подблока СБП1 второго КСС на zz-ю подматрицу G_zz, после чего одновременно формируют ПКлШД1 путем поразрядного суммирования по модулю два W первичных ключей на сторонах первого КСС и второго КСС, соответственно (см. фиг.58). Одновременно и независимо, для формирования ПКлШД2 предварительно двоичную матрицу G и ССП2 первого КСС, двоичную матрицу G и СБП2 третьего КСС разделяют на W соответствующих пар подматриц размерности Р×Т, причем P=UU/W, где Т≥64 - длина формируемого ПКлШД2, и, соответственно, подблоков ССП2, СБП2 длиной Р двоичных символов соответственно, затем, одновременно начиная с первого по W-й, вычисляют zzz-й первичный ключ длиной Т двоичных символов, где zzz=1, 2, 3, …, W, перемножением zzz-го подблока ССП2 первого КСС на zzz-ю подматрицу G_zzz, zzz-го подблока СБП2 третьего КСС на zzz-ю подматрицу G_zzz, после чего одновременно, соответственно, формируют ПКлШД2 путем поразрядного суммирования по модулю два W первичных ключей на сторонах первого КСС и третьего КСС.

В соответствии с предлагаемым способом формируются СКлШД, ПКлШД1 и ПКлШД2, которые попарно совпадают с малой вероятностью, соизмеримой с вероятностью угадывания формируемого КлШД длиной Т двоичных символов. Оценка вероятности попарного совпадения СКлШД и парных КлШД приведена в приложении 4.

Для подтверждения возможности достижения сформулированного технического результата было проведено аналитическое моделирование, по результатам которого можно сделать вывод о том, что при заданных исходных данных и требованиях к СКлШД и двум ПКлШД могут быть одновременно сформированы СКлШД и два ПКлШД в соответствии с предлагаемым способом. Результаты оценки сформированных СКлШД и двух ПКлШД для сети связи, включающей трех КСС, а также оценки изменения коэффициента криптосвязности в предлагаемом способе приведены в Приложении 5.

Приложение 1

Оценка вероятности ошибок в первой и второй коррелированных последовательностях первого корреспондента сети связи^{1 1}(В Приложениях 1-5 используются все уловные сокращения, которые использовались в описании изобретения, а также вновь введенные в ходе описания Приложений.)

Пусть - вероятность ошибки на двоичный символ в первом канале связи с ошибками (КСО1) между первым корреспондентом сети связи (СС) и вторым корреспондентом СС (КСС) и - вероятность ошибки на двоичный символ во втором канале связи с ошибками (КСО2) между первым КСС и третьим КСС, тогда - вероятность ошибки в первой коррелированной последовательности (КП1) первого КСС относительно первой базовой последовательности (БП1) второго КСС может быть найдена из выражения:

где - вероятность, с которой принимается блок (длиной М+1 двоичных символов) с М повторениями второго КСС, которая определяется с помощью выражения:

По аналогии - вероятность ошибки во второй коррелированной последовательности (КП2) первого КСС относительно второй базовой последовательности (БП2) третьего КСС может быть найдена из выражения:

где - вероятность, с которой принимается блок (длиной М+1 двоичных символов) с М повторениями третьего КСС, которая определяется с помощью выражения:

Вероятность ошибки в версии БП1 нарушителя зависит от выбранного им правила приема и независимого от нарушителя факта формирования первого составного канала утечки (СКУ1). Данный канал (см. фиг.1) включает в себя последовательное соединение КСО1 и канала перехвата (КПер) между первым КСС и нарушителем. Так, если p_w - вероятность ошибки на двоичный символ в КПер и нарушитель декодирует по мажоритарному правилу², (² Мажоритарное правило декодирования - правило, когда решение о информационном символе принятого блока кода с повторениями выносится согласно большего количества одинаковых символов в принятом блоке кода с повторениями.) то вероятность ошибки на двоичный символ для принятых информационных символов в версии БП1 нарушителя зависит от вероятности приема из выражения (1.2) (т.к. нарушитель сохраняет только те решения о принятых им словах длиной М+1 двоичных символов, которые сохранил второй КСС) и может быть определена из выражения:

где α_tj - совместная вероятность событий, возникновения ошибки i в КСО1 (наличия ошибки (i=1) или отсутствия ошибки (i=0), причем i ∈ {0,1}), и возникновения ошибки j в СКУ1 (наличия ошибки (j=1) или отсутствия ошибки (j=0), причем j ∈ {0,1}), при передаче любого символа от первого КСС второму КСС по КСО1 с независимыми ошибками, где:

По аналогии вероятность ошибки в версии БП2 нарушителя будет зависеть от выбранного им правила приема и независимого от нарушителя факта формирования второго составного канала утечки (СКУ2). Данный канал (см. фиг.1) включает в себя последовательное соединение КСО2 и КПер. Так, если нарушитель декодирует по мажоритарному правилу, то вероятность ошибки на двоичный символ для принятых информационных символов в версии БП2 нарушителя зависит от вероятности приема р2_ас из выражения (1.4) (т.к. нарушитель сохраняет только те решения о принятых им словах длиной М+1 двоичных символов, которые сохранил третий КСС) и может быть определена из выражения:

где β_ij - совместная вероятность событий, возникновения ошибки i в КСО2 (наличия ошибки (i=1) или отсутствия ошибки (i=0), причем i ∈ {0,1}), и возникновения ошибки j в СКУ2 (наличия ошибки (j=1) или отсутствия ошибки (j=0), причем j ∈ {0,1}), при передаче любого символа от первого КСС третьему КСС по КС02 с независимыми ошибками, где:

Приложение 2

Оценка вероятностей ошибочного декодирования первой и второй скорректированных последовательностей первого корреспондента сети связи

Вероятность ошибочного декодирования первой скорректированной последовательности (СкП1) первого КСС относительно БП1 второго КСС может быть определена по формуле:

где Р_Е01 - вероятность ошибочного декодирования подблока длиной KK двоичных символов из СкП1 КСС1, определяемая, как описано, например, в книге Ф. Мак-Вильямс, Н. Слоэн, «Теория кодов исправляющих ошибки», М., Связь, 1979, стр. 29, из выражения:

где - вероятность ошибки в КП1 первого КСС относительно БП1 второго КСС, полученная из выражения (1.1) Приложения 1, a d1 - минимальное кодовое расстояние (NN, KK) кода, которое определяется, как минимальное число несовпадающих разрядов в двух любых кодовых словах (NN, KK) кода, как описано, например, в книге Ф. Мак-Вильямс, Н. Слоэн, «Теория кодов исправляющих ошибки», М., Связь, 1979, стр. 20.

Вероятность ошибочного декодирования второй скорректированной последовательности (СкП2) первого КСС относительно БП2 третьего КСС может быть определена по формуле:

где Р_Е02 - вероятность ошибочного декодирования подблока длиной KKK двоичных символов из СкП2 первого КСС, определяемая из выражения

где - вероятность ошибки в КП2 первого КСС относительно БП2 третьего КСС, полученная из выражения (1.3) Приложения 1, a d2 - минимальное кодовое расстояние (NNN, KKK) кода.

Приложение 3

Оценка количества информации Шеннона, получаемой нарушителем о сформированных корреспондентами сети связи первом и втором парных ключах шифрования/дешифрования при использовании метода «усиления секретности»

Для обеспечения малого количества информации нарушителя о первом парном КлШД (ПКлШД1) и о втором парном КлШД (ПКлШД2) в предлагаемом способе используют метод "усиления секретности" последовательностей, основанный на универсальном хешировании, как описано, например, в книге Bennett С., Brassard G., Crepeau С., Maurer U. "Generalized privacy amplification", IEEE Trans, on IT. vol. 41. no. 6. pp.1915-1923, 1995, стр. 1920. Сущность метода «усиления секретности» заключается в следующем. На стороне первого КСС выбирают случайным образом функцию хеширования из универсального множества функций хеширования. Функцию хеширования передают по первому прямому и второму прямому каналам связи без ошибок соответственно второму КСС и третьему КСС. Затем хешируют первую сжимаемую скорректированную последовательность (ССП1) первого КСС, первую сжимаемую базовую последовательность (СБП1) второго КСС. Результатом хеширования будет сформированный ПКлШД1 для второго КСС и первого КСС. С вероятностью близкой к единице и равной (1-Рε) происходит событие, когда информация нарушителя о ПКлШД1 не превысит определенной малой величины Io и с малой вероятностью сбоя Pε возможно событие, при котором информация нарушителя о ПКлШД1 будет более Io. ССП1 длиной UU двоичных символов отображается при хешировании в последовательность Pka1 длиной Т двоичных символов формируемого ПКлШД1 первого КСС, а СБП1 длиной UU двоичных символов отображается в последовательность Pkb1 длиной Т двоичных символов формируемого ПКлШД1 второго КСС. Предполагается, что нарушитель имеет полную информацию о функции хеширования последовательностей корреспондентов СС. Функция хеширования последовательностей должна удовлетворять ряду требований, как описано, например, в книге Ю. Романец, П. Тимофеев, В. Шаньгин, «Защита информации в компьютерных системах и сетях», М., Радио и связь, 1999, с. 156:

* функция хеширования должна быть чувствительна к всевозможным изменениям в последовательности, таким как, вставки, выбросы, перестановки и т.п.;

* функция хеширования должна обладать свойством необратимости, т.е. задача подбора другой последовательности, которая обладала требуемым значением функции хеширования, должна быть вычислительно не разрешима;

* вероятность коллизии, т.е. вероятность события, при котором значения функции хеширования двух различных последовательностей совпадают, должна быть ничтожно мала.

Кроме этого, функция хеширования должна принадлежать универсальному множеству функций хеширования G2. Универсальное множество функций хеширования определяется следующим образом. Пусть n и r два положительных целых числа, причем n>r. Множество функций G2, отображающих множество двоичных последовательностей длиной п в множество двоичных последовательностей длиной r, называется универсальным, если для любых различных последовательностей x₁ и x₂ из множества двоичных последовательностей длины n вероятность (коллизии) того, что значение функции хеширования от x₁ равно значению функции хеширования от х₂ (g(x₁) = g(x₂)), не превосходит 2^-r, если функция хеширования g выбирается случайно, в соответствии с равновероятным распределением, из G2, как описано, например, в книге Carter J., Wegman М., "Universal classes of hash functions", Journal of Computer and System Sciences, 1979, Vol.18, pp.143-154, стр. 145. Все линейные функции, отображающие множество двоичных последовательностей длиной n в множество двоичных последовательностей длиной r, принадлежат универсальному множеству, как описано, например, в книге Carter J., Wegman М., "Universal classes of hash functions", Journal of Computer and System Sciences, 1979, Vol.18, pp.143-154, стр. 150. Линейные функции могут быть описаны двоичными матрицами размерности n×r. Хранение универсального множества G2 функций хеширования последовательностей (число функций хеширования последовательностей, принадлежащих универсальному множеству G2 велико и составляет величину, равную причем для хранения каждая функция хеширования последовательностей требует TUU ячеек памяти) труднореализуемо и нецелесообразно. Поэтому случайный равновероятный выбор функции хеширования последовательностей из универсального множества G2 функций хеширования последовательностей на стороне первого КСС заключается в генерировании случайным образом элементов двоичной матрицы размерности UU×T, которая описывает случайно выбранную функцию хеширования последовательностей из G2. После формирования вторым КСС и первым КСС ПКлШД1 путем хеширования СБП1 и ССП1 по случайно выбранной из G2 функции хеширования последовательностей количество информации Шеннона, получаемое нарушителем о ПКлШД1, сформированном вторым КСС и первым КСС не больше, чем

где I_R - информация Реньи. Информация Реньи определяется через энтропию Реньи на символ в КПер с вероятностью ошибки на двоичный символ p_w, которая характеризует неопределенность нарушителя о ПКлШД1, при знании нарушителем информации, полученной с помощью перехвата, полной информации об алгоритме взаимодействия корреспондентов СС и процессе формирования ПКлШД1, как описано, например, в книге Bennett С., Brassard G., Crepeau С., Maurer U. "Generalized privacy amplification", IEEE Trans, on IT. vol. 41. no. 6. pp. 1915-1923, 1995, стр. 1919. Энтропия Реньи равна

Тогда информация Реньи I_R, полученная нарушителем при наблюдении последовательностей БП1 длиной UU символов, определяется выражением:

При устранении несовпадений (ошибок) в КП1 первого КСС, когда от второго КСС передают первому КСС блок корректировочных символов кодированной БП1 длиной YY(NN-KK) двоичных символов по первому обратному каналу связи без ошибок, нарушитель получает дополнительную информацию Реньи о ПКлШД1. Дополнительная информация Реньи, полученная нарушителем за счет кодирования БП1 I_Rкод равна I_Rкод=YY(NN-KK), как доказано, например, в лемме 5 работы Maurer U. "Linking Information Reconciliation and Privacy Amplification", J. Cryptology, 1997, no. 10, pp.97-110, стр. 105. Тогда общее количество информации Реньи, поступающее к нарушителю равно

В этом случае (3.1), принимает вид:

Количество информации Шеннона, получаемое нарушителем о сформированном ПКлШД1, при использовании метода «усиления секретности», больше ограничения 1о (определенного в (3.5)) с малой вероятностью сбоя Рε. При использовании корреспондентами СС кода с повторениями энтропия Реньи и вероятность Ре определяются более сложными соотношениями описанными, например, в журнале «Проблемы информационной безопасности. Компьютерные системы», СПб, Петровский фонд, №1, 2000 г., стр. 18 в статье В. Коржика, В. Яковлева, А. Синюка, «Протокол выработки ключа в канале с помехами», причем энтропия Реньи не зависит от выбранного нарушителем правила обработки перехваченных сообщений.

Определение информации Реньи и вероятности Рε при одновременном формировании ПКлШД1 (вместе с сетевым КЛШД (СКлШД) и ПКлШД2) требует рассмотрения всех процедур, связанных с одновременной передачей информации по каналам связи с ошибками, к которым относятся: генерирование и передача начальной случайной последовательности (НСП) первого КСС второму КСС и третьему КСС. Для создания условий, при которых качество приема в КСО1 будет превосходить качество приема в СКУ1, каждый из символов НСП, случайно вырабатываемых первым КСС, повторяют М раз и передают на сторону второго КСС по КСО1. На стороне второго КСС принимают каждое из слов кода повторения, если все его элементы или «1» или «0» и выносят решение об информационном символе, соответствующем принятому слову. Формируемая БП1 второго КСС может включать в себя сохраненные символы первых первичной и предварительной последовательностей второго КСС в соответствии пп. 1 и 4 формулы изобретения. В случае, если не все элементы принятого слова «1» или «0» на стороне второго КСС его стирают. Решение (в виде двоичного символа подтверждения F1) о принятых (стертых) словах передают по каналам связи без ошибок первому КСС и третьему КСС, которые сохраняют в БП1 и КП1, соответственно, символы, которые не были стерты.

Нарушитель, также, может удалять символы, которые были стерты вторым КСС и первым КСС. Однако символы, сохраняемые нарушителем (т.е. которые сохранили второй КСС и первый КСС), не достаточно надежны, т.к. ошибки, возникающие в КСО1 и ошибки в КПер являются независимыми, причем нарушитель получает информацию о ПКлШД1 на выходе СКУ1, включающего в себя последовательное соединение КСО1 и КПер. Рассмотрим ситуацию у нарушителя, при наблюдении им зашумленной последовательности блоков длиной по М+1 двоичных символов (бит). Обозначим через |z1| вес Хемминга^{3 3}(Вес Хемминга блока двоичных символов - число не нулевых разрядов в блоке двоичных символов.) (число символов «1») блока z1 длиной (М+1), полученного нарушителем. Легко показать, что совместная вероятность событий |z1|=d и события, что этот блок был принят вторым КСС, при условии передачи от первого КСС информационного символа х равного «0» равна:

где α1_ij - совместная вероятность того, что информационный символ х = 0 посланный от первого КСС получен вторым КСС, как i ∈ {0,1} и нарушителем как j ∈ {0,1}. Так как КСО1 и КПер независимы, тогда

Аналогично, для х = 1

где

Заменяя (3.7) в (3.6) и (3.9) в (3.8) и используя теорему Байеса, как описано, например, в книге Феллер В., "Введение в теорию вероятности и ее приложения", М., Мир, 1967, 498 с, получаем вероятность того, что |z1| = d, при условии передачи от первого КСС информационного символа х равного « 0 » равна:

где - вероятность, с которой принимается блок (длиной (М+1) двоичных символов) с М повторениями вторым КСС, которая определяется из выражения (1.2) Приложения 1. Аналогично, для х=1:

Считаем, что вероятность формирования первым КСС информационного двоичного символа х НСП равна (т.к. каждый бит НСП на стороне первого КСС сформирован случайным образом)

Вероятность приема нарушителем по КПер блока z1 кода с М повторениями длиной (М+1) и весом Хемминга d, |z1| = d, равна

Используя теорему Байеса, получаем следующие вероятности передачи от первого КСС символов х=0 или х=1, при условии, что нарушитель принял блок |z1|=d:

Эти вероятности соответствуют случаю, когда нарушитель получает блок длиной (М+1) символов с весом Хемминга |z1|=d относительно символа в КП1 (НСП) на стороне первого КСС, но на стороне первого КСС исправляют в сформированной КП1 несовпадающие символы относительно сформированной БП1 на стороне второго КСС2, с помощью блока корректировочных символов кодированной БП1. Тогда необходимо определить эти вероятности относительно сформированной БП1 на стороне второго КСС2. Вероятности приема на стороне второго КСС символов (символов сформированной БП1), при условии, что нарушитель принял блок |z1|=d, определяется с учетом правильного (неправильного) декодирования вторым КСС блока длиной (М+1) символов (формирования принятого символа) и равны:

где - вероятность, которая определяется согласно выражению (1.1) Приложения 1.

Относительное знание нарушителем БП1 второго КСС длиной Q11 представляется его знанием относительно весов Хемминга d₁, d₂, … d_Q11 соответствующих блоков кода с повторениями длиной (М+1) символов. Для версии БП1 нарушителя энтропия Реньи R равна

Веса d₁, d₂, …, d_Q11 являются случайными величинами и энтропия Реньи, полученная нарушителем, также является случайной величиной. Вероятность Рε - вероятность того, что сумма случайных величин будет меньше значения (R₀ - ε)Q11, где R₀ - средняя энтропия Реньи на принятый блок повторения длиной (М+1), ε - малая величина, определяющая значение с использованием границы Чернова, как описано, например, в книге Коржик В.И., Финк Л.М., Щелкунов К.Н. "Расчет помехоустойчивости систем передачи дискретных сообщений" - М: Радио и связь, 1981. - 231 с, Ре определяется:

где - энтропия Реньи (см. выражение (3.2)) на принятый нарушителем блок повторения длиной (М+1) с весом Хемминга d и R₀ определяется согласно выражению

Оптимальный параметр а может быть найден из уравнения

Тогда информация Реньи I_R в выражении (3.5) при использовании первым КСС и вторым КСС кода с повторениями и формировании СБП1 второго КСС и ССП1 первого КСС, равна

Подобным образом, как показано в выражениях (3.1) - (3.25), используя метод аналогии с учетом особенностей формирования ПКлШД2 третьего КСС и первого КСС может быть показана оценка количества информации нарушителя о ПКлШД2 в предлагаемом способе с использованием метода "усиления секретности".

Приложение 4

Оценка событий попарного совпадения сетевого и парных ключей шифрования/дешифрования

В соответствии с п. 1 формулы изобретения предлагаемого способа СКлШД формируется на информационной основе сформированной исходной последовательности (ИП) первого КСС длиной UU двоичных символов, т.к. СКлШД формируется на основе хеширования ИП (ДП1, ДП2), причем ДП1 длиной UU двоичных символов на стороне второго КСС и ДП2 длиной UU двоичных символов на стороне третьего КСС независимо и одновременно формируются на основе блока проверочных символов кодированной ИП.

В соответствии с п. 1 формулы изобретения предлагаемого способа ПКлШД1 формируется на информационной основе сформированной СБП1 второго КСС длиной UU двоичных символов, т.к. ПКлШД1 формируется на основе хеширования СБП1 (ССП1), причем СкП1 длиной Q11 двоичных символов на стороне первого КСС1 формируют на основе блока корректировочных символов кодированной БП1, которая имеет длину Q11 двоичных символов, после чего одновременно и независимо формируют из БП1 на стороне второго КСС - СБП1 длиной UU двоичных символов, а из СкП1 на стороне первого КСС - ССП1 длиной UU двоичных символов.

В соответствии с п. 1 формулы изобретения предлагаемого способа ПКлШД2 формируется на информационной основе сформированной СБП2 третьего КСС длиной UU двоичных символов, т.к. ПКлШД2 формируется на основе хеширования СБП2 (ССП2), причем СкП1 длиной Q21 двоичных символов на стороне первого КСС формируют на основе блока корректировочных символов кодированной БП2, которая имеет длину Q21 двоичных символов, после чего одновременно и независимо формируют из БП2 на стороне третьего КСС СБП2 длиной UU двоичных символов, а из СкП1 на стороне первого КСС - ССП2 длиной UU двоичных символов.

Вышесказанное позволяет утверждать, что оценка событий попарного (взаимного) совпадения сетевого и парных ключей шифрования/дешифрования определяется оценкой событий попарного (взаимного) совпадения ИП, СБП1 и СБП2.

В соответствии с п. 1 формулы изобретения предлагаемого способа ИП, СБП1 и СБП2 формируются на основе кодированной передачи случайно сгенерированных двоичных символов (НСП) с достаточно большой длиной L двоичных символов. Формирование каждой последовательности из множества, включающего ИП, СБП1 и СБП2, производится независимо, при этом при общей одинаковой длине UU каждый из любых s-x соответствующих символов по общей нумерации, где ИП, СБП1 и СБП2 формируется с «временным» сдвигом относительно взаимного расположения по нумерации символов в НСП, т.к. запоминание s-го соответствующего символа ИП, СБП1 и СБП2 происходит в различные моменты времени с учетом кодированной передачи символов НСП по независимым первому и второму каналам связи с ошибками.

В момент времени i, причем запоминание на стороне первого КСС случайного двоичного символа НСП x_i в качестве s-го символа ИП происходит в случае события совместного равенства двоичных символов подтверждения F1 и F2 единице (F1=1 и F2=1), которое происходит с вероятностью Р₁₁:

где вероятности р1_ас и р2_ас определяются из (1.2) и (1.4) Приложения 1, соответственно. Средняя длина ИП, равная UU, причем UU>0, может быть найдена из формулы:

В момент времени j, причем запоминание на стороне второго КСС принятого двоичного символа НСП y_j в качестве s-го символа первой первичной последовательности (ПП1) происходит в случае события совместного равенства двоичных символов подтверждения F1 единице и F2 нулю (F1=1 и F2=0), которое происходит с вероятностью P₁₀:

Средняя длина ПШ, равная Q1, причем Q1>0, может быть найдена из формулы:

В соответствии с п.п. 1, 4, 7 формулы изобретения предлагаемого способа основой для формирования СБП1 выступает ПП1. В соответствии с (4.1) - (4.4) для моментов времени i и j в сохраненных соответствующих s-х символах ИП и СБП1 выполняется неравенство:

В момент времени k, причем запоминание на стороне третьего КСС принятого двоичного символа НСП m_k в качестве символа второй первичной последовательности (ПП2) происходит в случае события совместного равенства двоичных символов подтверждения F1 нулю и F2 единице (F1=0 и F2=1), которое происходит с вероятностью Р₀₁:

Средняя длина ПП2, равная Q2, причем Q2>0, может быть найдена из формулы:

Заметим, что оценка длины последовательности в (4.2), (4.4) и (4.7) может быть равна нулю, но это событие происходит с мизерной вероятностью, что особенно заметно при больших длинах НСП L. В соответствии с пп. 1, 4, 7 формулы изобретения предлагаемого способа основой для формирования СБП2 выступает ПП2. В соответствии с (4.1) - (4.7) для моментов времени i, j и k в сохраненных соответствующих s-x символах ИП и СБП2, а также СБП1 и СБП2 соответственно выполняются неравенства:

Реализация условий (4.5), (4.8) и (4.9) определяет факт наличия попарных взаимных «временных» сдвигов с точки зрения нумерации символов НСП (s изменяется от 1 до L) любого s-го символа из ИП, СБП1 и СБП2 (от 1 до UU). «Временные» сдвиги формируются в соответствии с последовательностью выполняемых действий корреспондентами СС, описанных в пп. 1, 4, 7 формулы изобретения предлагаемого способа. Абсолютная оценка «временного» сдвига ω соответствующих s-x символов ИП и СБП1, причем ω > 0, равна

По аналогии абсолютная оценка «временного» сдвига ξ, соответствующих s-x символов ИП и СБП2, причем ξ > 0, равна

По аналогии абсолютная оценка «временного» сдвига ψ соответствующих s-х символов СБП1 и СБП2, причем ψ > 0, равна

Заметим, что оценка сдвига в (4.10) - (4.12) может быть равна нулю, но это происходит с мизерной вероятностью, что особенно заметно при больших длинах НСП L. В случае ω = 0 вероятность несовпадения определяется из выражения (1.1), в случае ξ = 0 вероятность несовпадения определяется из выражения (1.3), а для случая ψ = 0 определяется сверткой вероятностей (1.1) и (1.3). Оценим вероятности совпадения соответствующих (по номеру s в последовательностях) двоичных символов ИП, СБП1 и СБП2 с учетом факта наличия попарных (взаимных) «временных» сдвигов. Оценка - вероятности совпадения s-x двоичных символов ИП и СБП1 с учетом со по теореме умножения вероятностей, как описано, например, в книге Вентцель Е.С. Теория вероятностей: Учеб. для вузов. - 9-е изд. стер. - М.: Издательский центр «академия», 2003. - 576 с. на стр. 39, равна:

С учетом того, что каждый символ НСП на стороне первого КСС генерируется независимо и случайным образом с одинаковой (равномерной) вероятностью, как описано, например, в книге Вентцель Е.С. Теория вероятностей: Учеб. для вузов. - 9-е изд. стер. - М.: Издательский центр «академия», 2003. - 576 с. на стр. 97, тогда

Известные способы генерирования случайных чисел описаны, например, в книге Д. Кнут, «Искусство программирования для ЭВМ», М., Мир, 1977, т.2, стр. 22. Случайные события возникновения ошибок в каналах связи являются независимыми, как это описано в книге И.Н. Бронштейна, К.А. Семендяева, «Справочник по математике для инженеров и учащихся втузов», М.: Наука. Главная редакция физико-математической литературы, 1981, стр. 580. С учетом (4.14), временного сдвига и того, что в КСО1 вероятность ошибки носит независимый характер, запишем:

где определяется из (1.1) Приложения 1.

Для условия: вероятность-индикатор равна:

Для условия: вероятность-индикатор равна:

Подставляя (4.14) - (4.17) в (4.13) получаем

Используя метод аналогии и оценку определяется из (1.3) Приложения 1 получаем оценку - вероятности совпадения s-x двоичных символов ИП и СБП2 с учетом ξ:

По аналогии с учетом кодированной передачи по КСО1 и КСО2 оценка - вероятности совпадения s-x двоичных символов СБП1 и СБП2 при сдвиге ψ равна:

Применяя метод аналогии для выражений (4.14) - (4.17) с учетом оценки вероятности из (1.3) Приложения 1 и подставляя результаты в (4.20) получаем оценку

Анализ выражений (4.18), (4.19), (4.21) показывает, что вероятности попарного совпадения соответствующих s-x символов ИП, СБП1 и СБП2, где s ∈ [1; UU], одинаковы и равны вероятности совпадения символов Р_совп:

Тогда вероятность несовпадения соответствующих s-x символов ИП, СБП1 и СБП2 Р_несовп равна:

В соответствии с пп. 1, 8, 10 формулы изобретения предлагаемого способа каждый двоичный символ функции хеширования (ФХ) независимо генерируется случайным образом с одинаковой вероятностью равной 0,5 как описано, например, в книге Carter J., Wegman М., "Universal classes of hash functions", Journal of Computer and System Sciences, 1979, Vol. 18, pp. 143-154, стр. 150. Сформированная на стороне первого КСС ФХ используется для формирования СКлШД, ПКлШД1 и ПКлШД2 длиной Т двоичных символов в рамках метода "усиления секретности" последовательностей, основанного на универсальном хешировании, как описано, например, в книге Bennett С, Brassard G., Crepeau С, Maurer U. "Generalized privacy amplification", IEEE Trans, on IT. vol. 41. no. 6. pp.1915-1923, 1995, стр. 1920. С учетом вышесказанного и выполнения условия (4.23) для ИП, СБП1 и СБП2 соответствующие ss-е двоичные символы сформированных СКлШД, ПКлШД1 и ПКлШД2, где не совпадают с вероятностью Р_н:

Это обстоятельство усиливается возможным участием в формировании ПКлШД1 и ПКлШД2 не всех UU двоичных символов СБП1 (СБП2) в случае выполнения условия(ий) Q11<UU (Q21<UU) в соответствии с пп. 1, 7 формулы изобретения предлагаемого способа. Тогда, с учетом (4.24) оценка вероятности P_Q события попарного совпадения СКлШД и ПКлШД1, или СКлШД и ПКлШД2, или ПКлШД1 и ПКлШД2 определяется в соответствии с выражением:

Оценка (4.25) при условии, что Т≥64, показывает Р_с принимает малые численные значения, мало отличающиеся от 0:

Очевидно, что в условиях формирования «временного» сдвига для ИП, СБП1 и СБП2 вероятность попарного несовпадения СКлШД и ПКлШД1, или СКлШД и ПКлШД2, или ПКлШД1 и ПКлШД2 очень высока и стремится к 1.

Приложение 5

Оценка одновременного и независимого формирования сетевого, первого и второго парных ключей шифрования/дешифрования для сети связи

Возможность одновременного формирования СКлШД, ПКлШД1 и ПКлШД2 для СС из трех корреспондентов определена построением модели канальной связности корреспондентов СС, представленной на фиг.1, особенностью которой является использование двух открытых каналов связи с независимыми ошибками. Случайные события возникновения ошибок в каналах связи являются независимыми, как это описано в книге И.Н. Бронштейна, К.А. Семендяева, «Справочник по математике для инженеров и учащихся втузов», М.: Наука. Главная редакция физико-математической литературы, 1981, стр. 580.

К СКлШД, ПКлШД1 и ПКлШД2 целесообразно предъявить ряд требований в условиях минимизации общего времени формирования СКлШД, ПКлШД1 и ПКлШД2 с учетом особенностей формирования по открытым каналам связи с ошибками. Опишем общие требования к каждому из формируемых КлШД (т.е. считаем, что для любого из СКлШД, ПКлШД1 и ПКлШД2 требования задаются одинаковые).

Требования по достоверности формирования КлШД определяются вероятностью несовпадения сформированных корреспондентами СС КлШД -

Требования по безопасности формирования КлШД определяются:

а) требуемой (минимально допустимой) длиной формируемого КлШД - Т^Тр [двоичных символов];

б) требуемым (максимально допустимым) количеством информации Шеннона, получаемым нарушителем о сформированном КлШД - [бит];

в) - вероятностью риска, что информация Шеннона о сформированном КлШД превысит .

Время одновременного и независимого формирования СКлШД, ПКлШД1 и ПКлШД2 для СС (Т_общ) определяется временем передачи всей необходимой информации по СС. При этом сделано предположение, что все задержки по времени, связанные с обработкой информации (генерирование, кодирование, декодирование, сжатие и др.) равны нулю, т.е. выполняются мгновенно. Второе предположение связано с выбором максимального из времен передачи блока проверочных символов кодированной ИП или передачи блока корректировочных символов кодированной БП1 или передачи блока корректировочных символов кодированной БП2 т.к. считаем, что передача и формирование блоков осуществляется одновременно. Учитывая длину ИП, равную UU двоичных символов, выбираем в качестве максимального из времен - время передачи блока проверочных символов кодированной ИП. Тогда

где - время передачи кодированной НСП, - время передачи блока проверочных символов кодированной ИП, - время передачи ФХ.

Перепишем (5.1) с учетом заданной технической скорости передачи информации по каналам связи, причем считаем ее одинаковой в любом канале связи, показанном на фиг.1, тогда (с учетом обозначений принятых в описании изобретения):

Ввиду того, что каждая система передачи информации характеризуется разной , предлагается вместо затрачиваемого времени использовать обобщенный показатель - общую длину передаваемых последовательностей DLINA, которая из (5.2) определяется согласно выражению:

Задача формирования нескольких ключей (повышения общей криптосвязности в СС) сводится к подбору параметров процесса одновременного и независимого формирования СКлШД, ПКлШД1 и ПКлШД2 для СС таким образом, чтобы в условиях выполнения требований к каждому из СКлШД, ПКлШД1 и ПКлШД2 обеспечить минимизацию параметра DLINA.

Общие требования к КлШД (СКлШД, ПКлШД1 и ПКлШД2) для СС можно записать в виде:

где - вероятность несовпадения сформированных корреспондентами СС соответствующих КлШД (СКлШД, ПКлШД1 и ПКлШД2), которая для СКлШД определяется из выражения (4.5) способа-прототипа (СП), для ПКлШД1 из выражения (2.1), для ПКлШД2 из выражения (2.3) Приложения 2 предлагаемого способа (ПС), информация утечки нарушителя для СКлШД определена в (3.5) Приложения 3 СП, информация утечки нарушителя для ПКлШД1 (ПКлШД2) определена в (3.5) Приложения 3 ПС, вероятность риска для СКлШД определена в (3.19) Приложения 3 СП, вероятность риска для ПКлШД1 (ПКлШД2) определена в (3.22) Приложения 3 ПС,- требуемая величина вероятности несовпадения при формировании КлШД (СКлШД, ПКлШД1 и ПКлШД2), - требуемая длина КлШД, - требуемая величина информации утечки к нарушителю о КлШД, - требуемая величина вероятности риска превышения информации утечки нарушителя по отношению к при формировании КлШД.

Зададим общие требования к КлШД (СКлШД, ПКлШД1 и ПКлШД2) для СС:

Определим общие исходные данные для фиг.1:

1. Качество первого канала связи с ошибками - p_m1=10^-2;

2. Качество второго канала связи с ошибками - p_m2=2⋅10^-2;

3. Качество КПер нарушителя - p_w=8⋅10^-2.

Приведем результаты расчета параметров и оценки выполнения требований для условий формирования СКлШД для СС с использованием способа-прототипа и предлагаемого способа одновременного и независимого формирования СКлШД, ПКлШД1 и ПКлШД2 для СС.

Параметры:

L=4398 [дв.с.];

М+1=3 [дв.с.];

UU=4016 [дв.с.];

N=511 [дв.с.];

K=502 [дв.с.];

Y=8 [бл.];

ε=7,03⋅10^-3 [бит].

Оценка выполнения требований:

Т=64 [дв.с.];

Р_нес=7,3 5406⋅10^-5;

Io=3,10477⋅10^-14 [бит];

Р_ε=9,97693⋅10^-6.

Полученная общая длина передаваемых по каналам связи последовательностей равна DLINA=2,7029⋅10⁵ [дв.с].

В отличие от способа-прототипа в предлагаемом способе дополнительно формируются ПКлШД1 и ПКлШД2. Приведем результаты расчета параметров и оценки выполнения требований для условий формирования ПКлШД1 для СС с использованием предлагаемого способа. Параметры:

Q1=251 [дв.с.];

Q11=3039 [дв.с.];

NN=1023 [дв.с.];

KK=1013 [дв.с.];

YY=3 [бл.];

ε=8,1⋅10^-3 [бит].

Оценка выполнения требований к ПКлШД1:

Т=64 [дв.с.];

Р_нес=1,632⋅10^-6;

I_o=1,287⋅10^-12 [бит];

Р_ε=8,841⋅10^-6.

Приведем результаты расчета параметров и оценки выполнения требований для условий формирования ПКлШД2 для СС с использованием предлагаемого способа. Параметры:

Q2=123 [дв.с.];

Q21=4016 [дв.с.];

NNN=511 [дв.с.];

KKK=502 [дв.с.];

YYY=8 [бл.];

ε=7,03⋅10^-3 [бит].

Оценка выполнения требований к ПКлШД2:

Т=64 [дв.с.];

Р_нес=7,247⋅10^-5;

I_o=2,907⋅10^-14 [бит];

Р_ε=9,972⋅10^-6.

Приведенные выше результаты оценок (и расчетов) показывают и подтверждают, что при заданных одинаковых исходных данных за одно и тоже время с использованием способа-прототипа может быть сформирован только СКлШД, отвечающий общим требованиям, а с использованием предлагаемого способа могут быть одновременно и независимо сформированы СКлШД, ПКлШД1 и ПКлШД2 удовлетворяющие общим требованиям. Таким образом, подтверждается обеспечение условий достижения цели заявленного изобретения, связанного с повышением общей криптосвязности корреспондентов СС. Использование предлагаемого способа позволяет повысить оценку коэффициента криптосвязности с значения 0,25 до значения 0,75 по сравнению со способом-прототипом.

Изобретение относится к области криптографии. Технический результат заключается в обеспечении возможности формирования ключей шифрования/дешифрования, обеспечивая в дополнение к сетевому защищенному информационному обмену между корреспондентами сети связи парный защищенный информационный обмен. Способ формирования ключей шифрования/дешифрования, предусматривающий одновременное формирование сетевого и двух парных ключей для сети связи, состоящей из трех корреспондентов, включает формирование исходной и коррелированных последовательностей на стороне первого корреспондента, а также предварительных, базовых, декодированных и скорректированных последовательностей на сторонах второго и третьего корреспондентов сети связи, кодирование исходной и базовых последовательностей, выделение из них блоков проверочных символов и одновременную передачу этих блоков по каналам связи без ошибок, формирование декодированных последовательностей на сторонах второго и третьего корреспондентов и скорректированных последовательностей на стороне первого корреспондента, формируют сжимаемые базовые последовательности на стороне первого корреспондента и сжимаемые скорректированные последовательности на сторонах второго и третьего корреспондентов, формируют функцию хеширования последовательностей на стороне первого корреспондента, передают ее по прямым каналам связи без ошибок и одновременно формируют сетевой и два парных ключа на сторонах всех корреспондентов путем хеширования исходной, декодированных, сжимаемых базовых и сжимаемых скоррекитрованных последовательностей по сформированной функции хеширования последовательностей. 9 з.п. ф-лы, 58 ил.

1. Способ формирования ключей шифрования/дешифрования, заключающийся в том, что генерируют L раз случайный двоичный символ на стороне первого корреспондента сети связи, где L≥10³ - выбранная длина начальной случайной последовательности, формируют из случайного двоичного символа кодовое слово, одновременно передают кодовое слово от первого корреспондента второму и третьему корреспондентам сети связи по первому и второму каналам связи с ошибками, соответственно, после этого на выходе первого канала связи с ошибками получают принятое слово второго корреспондента сети связи, а на выходе второго канала связи с ошибками получают принятое слово третьего корреспондента сети связи, после чего формируют принятые двоичные символы и двоичные символы подтверждения на сторонах второго и третьего корреспондентов сети связи, соответственно, затем передают сформированный вторым корреспондентом сети связи двоичный символ подтверждения F1 по первому обратному и третьему прямому каналам связи без ошибок первому и третьему корреспондентам сети связи, соответственно, одновременно передают сформированный третьим корреспондентом сети связи двоичный символ подтверждения F2 по второму обратному и третьему обратному каналам связи без ошибок первому и второму корреспондентам сети связи, соответственно, в случае совместного равенства нулю двоичных символов подтверждения F1 и F2 соответствующие случайный двоичный символ первого корреспондента сети связи и принятые двоичные символы второго и третьего корреспондентов сети связи одновременно стирают, в случае совместного равенства единице двоичных символов подтверждения F1 и F2 запоминают случайный двоичный символ первого корреспондента сети связи, принятый двоичный символ второго корреспондента сети связи, принятый двоичный символ третьего корреспондента сети связи, соответственно в качестве i-x элементов, где i = 1, 2, 3, …, UU, исходной последовательности, первой предварительной последовательности и второй предварительной последовательности, где UU - количество переданных символов начальной случайной последовательности, каждому из которых соответствует выполнение условия совместного равенства единице двоичных символов подтверждения F1 и F2 при формировании исходной и предварительных последовательностей, причем UU≤L, после чего на стороне первого корреспондента сети связи кодируют исходную последовательность, выделяют из кодированной исходной последовательности блок проверочных символов и одновременно передают его по первому прямому и второму прямому каналам связи без ошибок второму и третьему корреспондентам сети связи, соответственно, после этого одновременно формируют и запоминают декодированные последовательности на сторонах второго и третьего корреспондентов сети связи, затем на стороне первого корреспондента сети связи формируют функцию хеширования последовательностей и передают ее по первому прямому и второму прямому каналам связи без ошибок второму и третьему корреспондентам сети связи, соответственно, после чего формируют сетевой ключ шифрования/дешифрования из исходной последовательности на стороне первого корреспондента сети связи и соответствующих первой декодированной последовательности второго корреспондента сети связи и второй декодированной последовательности третьего корреспондента сети связи, отличающийся тем, что одновременно с формированием сетевого ключа шифрования/дешифрования и независимо формируют первый парный ключ шифрования/дешифрования второго и первого корреспондентов сети связи и второй парный ключ шифрования/дешифрования третьего и первого корреспондентов сети связи, для этого после передачи двоичных символов подтверждения F1 и F2 по каналам связи без ошибок и в случае совместного равенства двоичного символа подтверждения F2 нулю и двоичного символа подтверждения F1 единице соответствующие принятый двоичный символ третьего корреспондента сети связи стирают и запоминают случайный двоичный символ первого корреспондента сети связи, принятый двоичный символ второго корреспондента сети связи, соответственно в качестве ii-x элементов, где ii = 1, 2, 3, …, Q1, первой вторичной последовательности первого корреспондента сети связи, первой первичной последовательности второго корреспондента сети связи, где Q1 - количество переданных символов начальной случайной последовательности, каждому из которых соответствует выполнение условия совместного равенства двоичного символа подтверждения F2 нулю и двоичного символа подтверждения F1 единице, причем Q1≤L в случае совместного равенства двоичного символа подтверждения F1 нулю и двоичного символа подтверждения F2 единице соответствующие принятый двоичный символ второго корреспондента сети связи стирают и запоминают сгенерированный случайный двоичный символ первого корреспондента сети связи, принятый двоичный символ третьего корреспондента сети связи, соответственно в качестве iii-x элементов, где iii = 1, 2, 3, …, Q2, второй вторичной последовательности первого корреспондента сети связи, второй первичной последовательности третьего корреспондента сети связи, где Q2 - количество переданных символов начальной случайной последовательности, каждому из которых соответствует выполнение условия совместного равенства двоичного символа подтверждения F1 нулю и двоичного символа подтверждения F2 единице, причем Q2 ≤ L, после чего на сторонах первого и второго корреспондентов сети связи формируют первую коррелированную и первую базовую последовательности длиной Q11 двоичных символов, соответственно, причем Q11 ≤ UU, одновременно на сторонах первого и третьего корреспондентов сети связи соответственно формируют вторую коррелированную и вторую базовую последовательности длиной Q21 двоичных символов, причем Q21 ≤ UU, после чего на стороне второго корреспондента сети связи кодируют первую базовую последовательность, выделяют из кодированной первой базовой последовательности блок корректировочных символов и передают его по первому обратному каналу связи без ошибок первому корреспонденту сети связи, одновременно на стороне третьего корреспондента сети связи кодируют вторую базовую последовательность, выделяют из кодированной второй базовой последовательности блок корректировочных символов и передают его по второму обратному каналу связи без ошибок первому корреспонденту сети связи, после этого на стороне первого корреспондента сети связи одновременно из первой коррелированной последовательности формируют и запоминают первую скорректированную последовательность длиной Q11 двоичных символов и из второй коррелированной последовательности вторую скорректированную последовательность длиной Q21 двоичных символов, затем одновременно формируют из первой скорректированной последовательности и второй скорректированной последовательности на стороне первого корреспондента сети связи первую и вторую сжимаемые скорректированные последовательности, соответственно, на стороне второго корреспондента сети связи формируют из первой базовой последовательности первую сжимаемую базовую последовательность, на стороне третьего корреспондента сети связи формируют из второй базовой последовательности вторую сжимаемую базовую последовательность, причем длина каждой сжимаемой последовательности равна UU двоичных символов, после чего одновременно формируют первый парный ключ шифрования/дешифрования из первой сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи и первой сжимаемой базовой последовательности на стороне второго корреспондента сети связи, второй парный ключ шифрования/дешифрования из второй сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи и второй сжимаемой базовой последовательности на стороне третьего корреспондента сети связи.

2. Способ по п. 1, отличающийся тем, что для формирования кодового слова сгенерированный случайный двоичный символ повторяют М раз, где М ≥ 1, а принятому двоичному символу любого корреспондента сети связи присваивают значение первого двоичного символа принятого слова.

3. Способ по п. 1, 2, отличающийся тем, что для независимого друг от друга и одновременного формирования двоичного символа подтверждения F1 второго корреспондента сети связи или двоичного символа подтверждения F2 третьего корреспондента сети связи на сторонах второго корреспондента сети связи и третьего корреспондента сети связи, соответственно, первый двоичный символ принятого слова сравнивают с последующими М двоичными символами принятого слова, после чего при наличии М совпадений первого двоичного символа принятого слова с М двоичными символами принятого слова двоичному символу подтверждения F1 второго корреспондента сети связи или двоичному символу подтверждения F2 третьего корреспондента сети связи присваивают значение единица, а при наличии хотя бы одного несовпадения первого двоичного символа принятого слова с М двоичными символами принятого слова двоичному символу подтверждения F1 второго корреспондента сети связи или двоичному символу подтверждения F2 третьего корреспондента сети связи присваивают значение ноль.

4. Способ по п. 1, отличающийся тем, что для одновременного и независимого формирования первой коррелированной последовательности первого корреспондента сети связи, первой базовой последовательности второго корреспондента сети связи, а также второй коррелированной последовательности первого корреспондента сети связи и второй базовой последовательности третьего корреспондента сети связи сравнивают требуемую длину формируемых первой коррелированной последовательности первого корреспондента сети связи и первой базовой последовательности второго корреспондента сети связи, равную Q11 двоичных символов, с длиной, равной Q1 двоичных символов, первой вторичной последовательности на стороне первого корреспондента сети связи, первой первичной последовательности на стороне второго корреспондента сети связи, затем в случае выполнения условия Q1 ≥ Q11 каждому j-му символу первой коррелированной последовательности на стороне первого корреспондента сети связи присваивают значение j-го символа первой вторичной последовательности и каждому j-му символу первой базовой последовательности на стороне второго корреспондента сети связи присваивают значение j-го символа первой первичной последовательности, где j = 1, 2, 3, …, Q11, в противном случае каждому j 1-му символу первой коррелированной последовательности на стороне первого корреспондента сети связи присваивают значение j1-го символа первой вторичной последовательности и каждому j1-му символу первой базовой последовательности на стороне второго корреспондента сети связи присваивают значение j1-го символа первой первичной последовательности, где j1 = 1, 2, 3, …, Q1, после чего каждому jj-му символу первой коррелированной последовательности на стороне первого корреспондента сети связи, где jj = Q1+1, Q1+2, Q1+3, …, Q11, присваивают значение q1-го символа исходной последовательности, где q1 = 1, 2, 3, …, (Q11 - Q1), и каждому jj-му символу первой базовой последовательности на стороне второго корреспондента сети связи присваивают значение q1-го символа первой предварительной последовательности, одновременно для формирования второй коррелированной последовательности первого корреспондента сети связи и второй базовой последовательности третьего корреспондента сети связи сравнивают требуемую длину формируемых второй коррелированной последовательности первого корреспондента сети связи и второй базовой последовательности третьего корреспондента сети связи, равную Q21 двоичных символов, с длиной, равной Q2 двоичных символов, второй вторичной последовательности на стороне первого корреспондента сети связи и второй первичной последовательности на стороне третьего корреспондента сети связи, затем в случае выполнения условия Q2≥Q21 каждому j2-му символу второй коррелированной последовательности на стороне первого корреспондента сети связи присваивают значение j2-го символа второй вторичной последовательности и каждому j2-My символу второй базовой последовательности на стороне третьего корреспондента сети связи присваивают значение j2-го символа второй первичной последовательности, где j2 = 1, 2, 3, …, Q21, в противном случае каждому j3-му символу второй коррелированной последовательности на стороне первого корреспондента сети связи присваивают значение j3-го символа второй вторичной последовательности и каждому j3-му символу второй базовой последовательности на стороне третьего корреспондента сети связи присваивают значение j3-го символа второй первичной последовательности, где j3 = 1, 2, 3, …, Q2, после чего каждому jj2-му символу второй коррелированной последовательности на стороне первого корреспондента сети связи, где jj2 = Q2+1, Q2+2, Q2+3, …, Q21, присваивают значение q2-го символа исходной последовательности, где q2 = UU, (UU-1), (UU-2), …, (UU-(Q21-Q2)+1), и каждому jj2-му символу второй базовой последовательности на стороне третьего корреспондента сети связи присваивают значение q2-го символа второй предварительной последовательности.

5. Способ по п. 1, отличающийся тем, что для одновременного формирования блока проверочных символов кодированной исходной последовательности, блока корректировочных символов кодированной первой базовой последовательности, блока корректировочных символов кодированной второй базовой последовательности исходную последовательность первого корреспондента сети связи кодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, где K - длина блока информационных символов и N - длина кодового блока, порождающая матрица которого имеет размерность K×N, причем N>K, при этом размеры K и N порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода выбирают K=2^m-1-m и N=2^m-1, где m≥3, для чего предварительно исходную последовательность на стороне первого корреспондента сети связи разделяют на Y подблоков длиной K двоичных символов, где Y=UU/K, затем, последовательно, начиная с первого до Y-го из каждого q-го подблока, где q = 1, 2, 3, …, Y, формируют q-й кодовый блок длиной N двоичных символов перемножением q-го подблока на порождающую матрицу, затем из q-го кодового блока выделяют q-й подблок проверочных символов длиной (N-K) двоичных символов, который запоминают в качестве q-го подблока блока проверочных символов кодированной исходной последовательности, одновременно и независимо на стороне второго корреспондента сети связи кодируют первую базовую последовательность линейным блоковым систематическим двоичным помехоустойчивым (NN, KK) кодом, где KK - длина блока информационных символов и NN - длина кодового блока, порождающая матрица которого имеет размерность KK×NN, причем NN>KK, при этом размеры KK и NN порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (NN, KK) кода выбирают KK=2^mm-1-mm и NN=2^mm-1, где mm ≥ 3, для чего предварительно первую базовую последовательность разделяют на YY подблоков длиной KK двоичных символов, где YY=Q11/KK, затем, последовательно, начиная с первого до YY-го из каждого qq-го подблока, где qq = 1, 2, 3, …, YY, формируют qq-й кодовый блок длиной NN двоичных символов перемножением qq-го подблока на порождающую матрицу, затем из qq-го кодового блока выделяют qq-й подблок корректировочных символов длиной (NN-KK) двоичных символов, который запоминают в качестве qq-го подблока блока корректировочных символов кодированной первой базовой последовательности, одновременно и независимо на стороне третьего корреспондента сети связи кодируют вторую базовую последовательность линейным блоковым систематическим двоичным помехоустойчивым (NNN, KKK) кодом, где KKK - длина блока информационных символов и NNN - длина кодового блока, порождающая матрица которого имеет размерность KKK×NNN, причем NNN>KKK, при этом размеры KKK и NNN порождающей матрицы линейного блокового систематического двоичного помехоустойчивого (NNN, KKK) кода выбирают KKK=2^mmm-1-mmm и NNN=2^mmm-1, где mmm ≥ 3, для чего предварительно вторую базовую последовательность разделяют на YYY подблоков длиной KKK двоичных символов, где YYY=Q21/KKK, затем, последовательно, начиная с первого до YYY-го из каждого qqq-го подблока, где qqq = 1, 2, 3, …, YYY, формируют qqq-й кодовый блок длиной NNN двоичных символов перемножением qqq-го подблока на порождающую матрицу, затем из qqq-го кодового блока выделяют qqq-й подблок корректировочных символов длиной (NNN-KKK) двоичных символов, который запоминают в качестве qqq-го подблока блока корректировочных символов кодированной второй базовой последовательности.

6. Способ по п. 1, 5 отличающийся тем, что для одновременного формирования первой декодированной последовательности второго корреспондента сети связи, второй декодированной последовательности третьего корреспондента сети связи, а также первой скорректированной последовательности первого корреспондента сети связи и второй скорректированной последовательности первого корреспондента сети связи первую и вторую предварительные последовательности второго и третьего корреспондентов сети связи, соответственно, одновременно и независимо декодируют линейным блоковым систематическим двоичным помехоустойчивым (N, K) кодом, где K - длина блока информационных символов и N - длина кодового блока, транспонированная проверочная матрица которого имеет размерность N×(N-K), причем N>K, при этом выбирают размеры K и N проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (N, K) кода K=2^m-1-m и N=2^m-1, где m≥3, для чего предварительные последовательности и блоки проверочных символов кодированной исходной последовательности разделяют на Y соответствующих пар декодируемых подблоков и подблоков проверочных символов, где Y=UU/K, причем длины декодируемых подблоков и подблоков проверочных символов выбирают равными соответственно K и (N-K) двоичных символов, затем формируют Y принятых кодовых блоков длиной N двоичных символов путем конкатенации справа к q-му декодируемому подблоку q-го подблока проверочных символов, где q = 1, 2, 3, …, Y, затем, последовательно, начиная с 1-го до Y-го, вычисляют q-й синдром D длиной (N-K) двоичных символов перемножением q-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному q-му синдрому D исправляют ошибки в q-м декодируемом подблоке, который затем запоминают в качестве q-го подблока декодированных последовательностей, одновременно и независимо формируют первую скорректированную последовательность на стороне первого корреспондента сети связи, для чего первую коррелированную последовательность декодируют линейным блоковым систематическим двоичным помехоустойчивым (NN, KK) кодом, где KK - длина блока информационных символов и NN - длина кодового блока, транспонированная проверочная матрица которого имеет размерность NN×(NN-KK), причем NN>KK, при этом выбирают размеры KK и NN проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (NN, KK) кода KK=2^mm-1-mm и NN=2^mm-1, где mm≥3, для чего первую коррелированную последовательность и блок корректировочных символов кодированной первой базовой последовательности разделяют на YY соответствующих пар корректируемых подблоков и подблоков корректировочных символов, где YY=Q11/KK, причем длины корректируемых подблоков и подблоков корректировочных символов выбирают равными соответственно KK и (NN-KK) двоичных символов, затем формируют YY принятых кодовых блоков длиной NN двоичных символов путем конкатенации справа к qq-му корректируемому подблоку qq-го подблока корректировочных символов, где qq = 1, 2, 3, …, YY, затем, последовательно, начиная с 1-го до YY-го, вычисляют qq-й синдром Da1 длиной (NN-KK) двоичных символов перемножением qq-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному qq-му синдрому Da1 исправляют ошибки в qq-м корректируемом подблоке, который затем запоминают в качестве qq-го скорректированного подблока первой скорректированной последовательности на стороне первого корреспондента сети связи, одновременно для независимого формирования второй скорректированной последовательности на стороне первого корреспондента сети связи вторую коррелированную последовательность декодируют линейным блоковым систематическим двоичным помехоустойчивым (NNN, KKK) кодом, где KKK - длина блока информационных символов и NNN - длина кодового блока, транспонированная проверочная матрица которого имеет размерность NNN×(NNN-KKK), причем NNN>KKK, при этом выбирают размеры KKK и NNN проверочной матрицы линейного блокового систематического двоичного помехоустойчивого (NNN, KKK) кода KKK=2^mmm-1-mmm и NNN=2^mmm-1, где mmm ≥ 3, для чего вторую коррелированную последовательность и блок корректировочных символов кодированной второй базовой последовательности разделяют на YYY соответствующих пар корректируемых подблоков и подблоков корректировочных символов, где YYY=Q21/KKK, причем длины корректируемых подблоков и подблоков корректировочных символов выбирают равными соответственно KKK и (NNN-KKK) двоичных символов, затем формируют YYY принятых кодовых блоков длиной NNN двоичных символов путем конкатенации справа к qqq-му корректируемому подблоку qqq-го подблока корректировочных символов, где qqq = 1, 2, 3, …, YYY, затем, последовательно, начиная с 1-го до YYY-го, вычисляют qqq-й синдром Da2 длиной (NNN-KKK) двоичных символов перемножением qqq-го принятого кодового блока на транспонированную проверочную матрицу, а по полученному qqq-му синдрому Da2 исправляют ошибки в qqq-м корректируемом подблоке, который затем запоминают в качестве qqq-го скорректированного подблока второй скорректированной последовательности на стороне первого корреспондента сети связи.

7. Способ по п. 1, отличающийся тем, что для одновременного и независимого формирования первой сжимаемой скорректированной последовательности первого корреспондента сети связи, первой сжимаемой базовой последовательности второго корреспондента сети связи, а также второй сжимаемой скорректированной последовательности первого корреспондента сети связи и второй сжимаемой базовой последовательности третьего корреспондента сети связи сравнивают требуемую длину формируемых первой сжимаемой скорректированной последовательности первого корреспондента сети связи и первую сжимаемую базовую последовательность второго корреспондента сети связи, равную UU двоичных символов, с длиной, равной Q11 двоичных символов, первой скорректированной последовательности на стороне первого корреспондента сети связи и первой базовой последовательности на стороне второго корреспондента сети связи, затем в случае выполнения условия Q11=UU каждому j-му символу первой сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи присваивают значение j-го символа первой скорректированной последовательности и каждому j-му символу первой сжимаемой базовой последовательности на стороне второго корреспондента сети связи присваивают значение j-го символа первой базовой последовательности, где j = 1, 2, 3, …, UU, в противном случае каждому jj-му символу первой сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи присваивают значение jj-го символа первой скорректированной последовательности и каждому jj-му символу первой сжимаемой базовой последовательности на стороне второго корреспондента сети связи присваивают значение jj-го символа первой базовой последовательности, где jj = 1, 2, 3, …, Q11, после чего каждому i-му символу первой сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи присваивают значение ноль и каждому i-му символу первой сжимаемой базовой последовательности на стороне второго корреспондента сети связи присваивают значение ноль, где i=Q11+l, Q11+2, …, UU, одновременно для формирования второй сжимаемой скорректированной последовательности первого корреспондента сети связи и второй сжимаемой базовой последовательности третьего корреспондента сети связи сравнивают требуемую длину формируемых последовательностей, равную UU двоичных символов, с длиной, равной Q21 двоичных символов, второй скорректированной последовательности на стороне первого корреспондента сети связи и второй базовой последовательности на стороне третьего корреспондента сети связи, затем в случае выполнения условия Q21=UU каждому j2-му символу второй сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи присваивают значение j2-го символа второй скорректированной последовательности и каждому j2-мy символу второй сжимаемой базовой последовательности на стороне третьего корреспондента сети связи присваивают значение j2-го символа второй базовой последовательности, где j2=1, 2, 3, …, UU, в противном случае каждому jj2-му символу второй сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи присваивают значение jj2-го символа второй скорректированной последовательности и каждому jj2-му символу второй сжимаемой базовой последовательности на стороне третьего корреспондента сети связи присваивают значение jj2-го символа второй базовой последовательности, где jj2=1, 2, 3, …, Q21, после чего каждому i2-му символу второй сжимаемой скорректированной последовательности на стороне первого корреспондента сети связи присваивают значение ноль и каждому i2-му символу второй сжимаемой базовой последовательности на стороне третьего корреспондента сети связи присваивают значение ноль, где i2=Q21+1, Q21+2, …, UU.

8. Способ по п. 1, отличающийся тем, что функцию хеширования последовательностей на стороне первого корреспондента сети связи формируют в виде двоичной матрицы G размерности UU×T, где Т≥64 - длина формируемых сетевого и парных ключей шифрования/дешифрования, причем каждый из элементов двоичной матрицы G генерируют случайным образом.

9. Способ по п. 1, 8, отличающийся тем, что функцию хеширования последовательностей передают последовательно, начиная с первой по UU-ю строки двоичной матрицы G.

10. Способ по п. 1, отличающийся тем, что для одновременного формирования сетевого ключа шифрования/дешифрования, первого парного ключа шифрования/дешифрования, второго парного ключа шифрования/дешифрования предварительно двоичную матрицу G и исходную последовательность первого корреспондента сети связи, двоичную матрицу G и первую декодированную последовательность второго корреспондента сети связи, двоичную матрицу G и вторую декодированную последовательность третьего корреспондента сети связи разделяют на W соответствующих пар подматриц размерности Р×Т, причем P=UU/W, где Т≥64 - длина формируемого сетевого ключа шифрования/дешифрования, и, соответственно, подблоков исходной последовательности, первой декодированной последовательности второго корреспондента сети связи и второй декодированной последовательности третьего корреспондента сети связи длиной Р двоичных символов соответственно, затем одновременно, начиная с первого по W-й, вычисляют z-й первичный ключ длиной Т двоичных символов, где z = 1, 2, 3, …, W, перемножением z-го подблока исходной последовательности первого корреспондента сети связи на z-ю подматрицу G_z, z-го подблока первой декодированной последовательности второго корреспондента сети связи на z-ю подматрицу G_z, z-го подблока второй декодированной последовательности третьего корреспондента сети связи на z-ю подматрицу G_z, после чего одновременно формируют сетевой ключ шифрования/дешифрования путем поразрядного суммирования по модулю два всех W первичных ключей на сторонах всех корреспондентов сети связи, одновременно для формирования первого парного ключа шифрования/дешифрования предварительно двоичную матрицу G и первую сжимаемую скорректированную последовательность первого корреспондента сети связи, двоичную матрицу G и первую сжимаемую базовую последовательность второго корреспондента сети связи разделяют на W соответствующих пар подматриц размерности Р×Т, где P=UU/W, где Т≥64 - длина формируемого первого парного ключа шифрования/дешифрования, и, соответственно, подблоков первой сжимаемой скорректированной последовательности, первой сжимаемой базовой последовательности длиной Р двоичных символов соответственно, затем одновременно начиная с первого по W-й, вычисляют zz-й первичный ключ длиной Т двоичных символов, где zz = 1, 2, 3, …, W, перемножением zz-го подблока первой сжимаемой скорректированной последовательности первого корреспондента сети связи на zz-ю подматрицу G_zz, zz-го подблока первой сжимаемой базовой последовательности второго корреспондента сети связи на zz-ю подматрицу G_zz, после чего одновременно формируют первый парный ключ шифрования/дешифрования путем поразрядного суммирования по модулю два W первичных ключей на сторонах первого и второго корреспондентов сети связи, соответственно, одновременно для формирования второго парного ключа шифрования/дешифрования предварительно двоичную матрицу G и вторую сжимаемую скорректированную последовательность первого корреспондента сети связи, двоичную матрицу G и вторую сжимаемую базовую последовательность третьего корреспондента сети связи разделяют на W соответствующих пар подматриц размерности Р×Т, где P=UU/W, где Т≥64 - длина формируемого второго парного ключа шифрования/дешифрования, и, соответственно, подблоков второй сжимаемой скорректированной последовательности, второй сжимаемой базовой последовательности длиной Р двоичных символов соответственно, затем одновременно начиная с первого по W-й, вычисляют zzz-й первичный ключ длиной Т двоичных символов, где zzz = 1, 2, 3, …, W, перемножением zzz-го подблока второй сжимаемой скорректированной последовательности первого корреспондента сети связи на zzz-ю подматрицу G_zzz, zzz-го подблока второй сжимаемой базовой последовательности третьего корреспондента сети связи на zzz-ю подматрицу G_zzz, после чего одновременно формируют второй парный ключ шифрования/дешифрования путем поразрядного суммирования по модулю два W первичных ключей на сторонах первого и третьего корреспондентов сети связи, соответственно.