Оптимизация нейронных дискриминаторов для легковесных блочных шифров на основе глубоких остаточных сетей

Бурное развитие технологий интернета вещей (IoT), радиочастотной идентификации (RFID) и беспроводных сенсорных сетей обусловило потребность в криптографических алгоритмах, сочетающих достаточный уровень безопасности с низким энергопотреблением, малым объемом памяти и невысокими вычислительными затратами [6, с. 1871-1877]. Легковесные блочные шифры, такие как PRESENT, SPECK, SIMON, были разработаны специально для работы в устройствах с ограниченными ресурсами. Однако обеспечение их криптографической стойкости требует постоянного совершенствования методов анализа. Классические методы криптоанализа, включая дифференциальный и линейный, часто сталкиваются с трудностями при атаках на алгоритмы с большим числом раундов из-за экспоненциального роста сложности и высоких требований к данным. В 2019 году Гор предложил новаторский подход, интегрирующий глубокое обучение с дифференциальным криптоанализом [2, с. 150-179]. Его работа продемонстрировала, что глубокие нейронные сети могут эффективно использоваться для построения так называемых нейронных дискриминаторов – моделей, способных отличать пары шифртекстов, полученные из пар открытых текстов с определенной разностью, от пар шифртекстов, полученных из случайных данных. Точность такого дискриминатора, превышающая 0.5, позволяет использовать его для последующего восстановления ключа. Несмотря на успех, дальнейшая оптимизация нейронных дискриминаторов связана с преодолением ряда вызовов, таких как сложность захвата признаков для большого числа раундов, риск переобучения и поиск оптимальных архитектур моделей. Одним из перспективных направлений является применение усовершенствованных архитектур глубокого обучения, в частности, глубоких остаточных сетей (ResNet), которые доказали свою эффективность в решении задач компьютерного зрения и, как ожидается, могут улучшить качество криптоанализа [3, с. 770-778].

Основная идея нейронного дискриминатора заключается в формулировке задачи криптоанализа как задачи бинарной классификации. Модель обучается на наборе данных, состоящем из пар шифртекстов. Положительные примеры (метка 1) – это пары (C1, C2), полученные шифрованием пары открытых текстов (P1, P2), где P2 = P1 ⊕ ΔP, а ΔP – выбранная входная разность. Отрицательные примеры (метка 0) – это пары шифртекстов, полученные из случайных, не связанных разностью открытых текстов. Ключ шифрования для каждой пары выбирается случайным образом. Обученная модель, по сути, learns распределение разностей шифртекстов, позволяя обнаруживать статистические аномалии, характерные для конкретного шифра. Как показал Гор, точность такого дискриминатора для сокращенного 8-раундового варианта шифра SPECK32/64 может значительно превышать 0.5, что открывает возможности для атак на большее число раундов в сочетании с методами восстановления ключа [2, с. 150-179].

Однако простые сверточные нейронные сети (CNN), использованные в ранних работах, имеют ограничения при увеличении глубины. С ростом количества слоев возникают проблемы затухания градиента и деградации модели, когда точность на обучающей выборке начинает падать, что препятствует созданию эффективных дискриминаторов для более сложных конфигураций шифров. Глубокие остаточные сети (ResNet), представленные Хе и др., решают эти проблемы за счет введения остаточных блоков [3, с. 770-778]. Основной принцип ResNet – изучение остаточной функции F(x) = H(x) – x, где H(x) – целевая функция отображения, а x – вход блока. Это достигается с помощью пропускных соединений (skip connections), которые пропускают один или несколько слоев, суммируя вход блока с его выходом. Такая архитектура позволяет градиенту беспрепятственно распространяться в обратном направлении, облегчая обучение очень глубоких сетей (десятки и сотни слоев). В контексте нейронных дискриминаторов это означает возможность построения более мощных моделей, способных выявлять сложные и слабовыраженные дифференциальные закономерности, которые не могут быть захвачены более мелкими сетями.

Проектирование дискриминатора на основе ResNet для легковесных шифров требует учета специфики данных. Входные данные – это, как правило, пары шифртекстов, представленные в виде одномерных битовых последовательностей или преобразованные в двумерные тензоры (например, изображения размерностью 4x8 для 32-битного блока). Архитектура модели может быть основана на ResNet-18 или ResNet-34, которые представляют хороший баланс между производительностью и вычислительной сложностью. Модель обычно начинается с начального сверточного слоя с ядром 3x3, за которым следует последовательность остаточных блоков. Каждый остаточный блок состоит из нескольких сверточных слоев с малыми ядрами (3x3), слоев пакетной нормализации (Batch Normalization) и функций активации ReLU. Пакетная нормация стабилизирует процесс обучения, ускоряя сходимость и снижая чувствительность к начальной инициализации весов. После серии сверточных и пулинговых слоев, которые уменьшают пространственную размерность и объединяют признаки, следует один или несколько полносвязных слоев, завершающихся одним нейроном с сигмоидальной функцией активации для бинарной классификации. Для предотвращения переобучения в модель включаются такие техники, как Dropout, который случайным образом отключает часть нейронов во время обучения.

Критически важным этапом является подготовка датасета. Для целевого шифра, например, SIMON32/64 или SPECK32/64, генерируются миллионы пар открытых текстов с выбранной высокой вероятностью разностью ΔP. Каждая пара шифруется на случайно выбранном ключе для заданного числа раундов. Столь же большой набор данных генерируется для случайных пар. Как отмечено в исследовательском плане, необходимо строгое разделение данных на обучающую, проверочную и тестовую выборки, гарантирующее, что не будет перекрытия по ключам или открытым текстам, чтобы избежать некорректной оценки обобщающей способности модели [5, с. 1377-1398]. Предобработка данных включает в себя преобразование битовых строк в числовые тензоры, подходящие для входа в нейронную сеть, а также, возможно, извлечение дополнительных признаков, таких как непосредственное вычисление разности шифртекстов.

Экспериментальные результаты, полученные различными исследователями, подтверждают эффективность ResNet в данной области. Бенамира и др. углубили понимание внутренней работы нейронных дискриминаторов, показав, что они используют не только поверхностное распределение разностей, но и более глубокую дифференциальную информацию [1, с. 825-835]. Хоу и др. улучшили нейронные дискриминаторы, в том числе, за счет оптимизации архитектур, что позволило провести успешные атаки на большее число раундов шифра SIMON [4]. Исследования Чжан и др. показали, что комбинация идей ResNet с другими продвинутыми архитектурами, например, с модулями Inception, может привести к дальнейшему повышению точности за счет параллельного извлечения признаков разного масштаба [7, с. 2-7]. Эти работы в совокупности демонстрируют, что ResNet и их модификации являются мощным инструментом для построения высокоточных нейронных дискриминаторов. Оптимизация параметров модели, таких как скорость обучения, размер пакета (batch size) и конкретная конфигурация остаточных блоков, позволяет адаптировать дискриминатор к особенностям конкретного легковесного шифра, будь то SPECK с его простыми арифметическими операциями или SIMON с его сбалансированной структурой Фейстеля.

Применение глубоких остаточных сетей для построения нейронных дискриминаторов представляет собой значительный шаг вперед в области криптоанализа легковесных блочных шифров. Архитектура ResNet, решающая фундаментальные проблемы обучения глубоких моделей, позволяет создавать более мощные и точные дискриминаторы, способные выявлять сложные дифференциальные закономерности в шифртекстах. Это открывает возможности для атак на сокращенные версии шифров с большим числом раундов, чем это было возможно с использованием традиционных методов или простых нейронных сетей. Проведенный анализ, основанный на современных исследованиях [1, с. 825-835; 2, с. 150-179; 3, с. 770-778; 4; 7, с. 2-7], показывает, что интеграция ResNet в процесс нейрокриптоанализа, сопровождаемая тщательной предобработкой данных и настройкой гиперпараметров, является перспективным направлением исследований. Дальнейшая работа может быть сосредоточена на адаптации этих моделей для новейших алгоритмов, стандартизированных NIST, таких, как ASCON, а также на исследовании интерпретируемости внутренних представлений, изучаемых нейронной сетью, для получения новых инсайтов о свойствах анализируемых шифров.