SOMNYTOO
v2.0.0
Назад к блогу
Туториалы

Механизм рассеивания и сборки ключей

24 Янв, 2026

Введение в механизмы рассеивания и сборки

Механизм рассеивания и сборки ключей представляет собой фундаментальный компонент архитектуры Phantom Security, реализующий принцип пространственного разделения криптографических материалов. В отличие от традиционных систем, где ключи хранятся в памяти в готовом виде, данная система никогда не хранит полный ключ в одном месте, что существенно усложняет задачу злоумышленника по их извлечению.

Данный механизм состоит из двух взаимосвязанных процессов:

  1. 1. Рассеивание — разделение мастер-ключа на несколько независимых компонентов с распределением по различным уровням памяти.
  2. 2. Сборка — временное восстановление ключа из компонентов только на момент выполнения криптографических операций.

Архитектура рассеивания ключей

Структура рассеянных компонентов

Система использует специализированную структуру для хранения рассеянных компонентов ключа, содержащую шесть отдельных полей, каждое из которых предназначено для конкретного уровня памяти:

  • Компонент L1 кэша — 8-байтовый массив, оптимизированный для размещения в кэше первого уровня процессора с минимальным временем доступа (1-3 наносекунды).
  • Компонент L2 кэша — 16-байтовый массив, размещаемый в кэше второго уровня с временем доступа 3-10 наносекунд, сбалансированный по размеру для эффективного использования пространства кэша.
  • RAM компонент — 32-байтовый массив, представляющий зашифрованную версию части ключа, хранящуюся в оперативной памяти. Этот компонент всегда хранится в зашифрованном виде.
  • Аутентификационный тег — 16-байтовый массив, обеспечивающий целостность RAM компонента через алгоритм Poly1305.
  • Nonce для шифрования — 12-байтовый уникальный вектор инициализации, используемый при шифровании RAM компонента алгоритмом ChaCha20Poly1305.
  • Регистровый seed — 16-байтовый динамический компонент, участвующий в non-linear преобразованиях при сборке ключа и предназначенный для хранения в регистрах процессора.

Процесс рассеивания ключей

Алгоритм работы MemoryScatterer

Класс MemoryScatterer реализует многоэтапный процесс разделения мастер-ключа. На первом этапе генерируются случайные компоненты для каждого уровня памяти с использованием криптографически стойкого генератора случайных чисел. Эти компоненты включают отдельные массивы для L1 кэша, L2 кэша, регистрового seed и nonce для шифрования.

На втором этапе вычисляется RAM компонент через последовательные XOR преобразования между исходным мастер-ключом и сгенерированными компонентами. Каждый байт мастер-ключа комбинируется с соответствующими байтами из других компонентов, что гарантирует равномерное распределение влияния каждого компонента на конечный результат.

Третий этап включает шифрование вычисленного RAM компонента с использованием алгоритма ChaCha20Poly1305. Этот процесс обеспечивает конфиденциальность данных в оперативной памяти и создает аутентификационный тег для последующей проверки целостности. Ключ шифрования для этой операции генерируется внутренне и никогда не сохраняется в памяти в явном виде.

На заключительном этапе происходит немедленная очистка всех промежуточных данных, включая исходный мастер-ключ и незашифрованную версию RAM компонента, с использованием инструкций, устойчивых к оптимизациям компилятора.

Криптографические свойства рассеивания

Детерминистическое преобразование гарантирует, что RAM компонент однозначно определяется мастер-ключом и другими компонентами, но при этом без любого из компонентов восстановление исходного ключа становится вычислительно невозможным. Каждый компонент вносит равномерный вклад во все байты RAM части, обеспечивая высокую степень диффузии.

Шифрование RAM компонента алгоритмом ChaCha20Poly1305 обеспечивает три фундаментальные свойства безопасности: конфиденциальность данных в наименее защищенном уровне памяти, целостность через аутентификационный тег, позволяющий обнаружить любые модификации, и аутентификацию источника данных, гарантирующую подлинность компонента.

Механизм сборки ключей

Архитектура KeyAssembler

Система определяет абстрактный интерфейс для сборщиков ключей, который включает два основных метода: assemble для выполнения сборки ключа из компонентов и execution_time_ns для получения гарантированного времени выполнения операции. Такой дизайн позволяет реализовывать различные стратегии сборки, оптимизированные под конкретные архитектуры процессоров, сохраняя при этом единый программный интерфейс.

GenericAssembler — универсальная реализация

Основная реализация сборщика использует алгоритм, инспирированный структурой раундов ChaCha20, что обеспечивает криптографическую стойкость и постоянное время выполнения. Процесс сборки начинается с дешифрования RAM компонента с предварительной проверкой аутентификационного тега для верификации целостности данных.

После успешной дешифровки следует этап инициализации ключевого массива нулевыми значениями, за которым выполняется фиксированное количество итераций смешивания компонентов. Критически важным аспектом является использование именно фиксированного количества итераций (48 циклов), что гарантирует постоянное время выполнения алгоритма независимо от значений обрабатываемых данных.

В основном цикле смешивания каждая итерация выполняет последовательные операции сложения с циклическим переносом (wrapping addition) компонентов L1 и L2 кэшей, RAM компонента, за которыми следует операция XOR с регистровым seed и циклический сдвиг байтов. Параметры сдвига вычисляются детерминистически, но не зависят от значений секретных данных, что сохраняет constant-time свойства.

Завершающая фаза включает серию ChaCha20-like quarter-round преобразований, которые применяются к ключевому массиву с шагом в 4 байта. Эти преобразования обеспечивают дополнительное нелинейное перемешивание и диффузию, аналогичные тем, что используются в раундах шифра ChaCha20.

Аппаратно-оптимизированные сборщики

Для процессорных архитектур x86-64 с поддержкой набора инструкций AVX2 система предоставляет специализированную реализацию сборщика, использующую 256-битные векторные регистры для параллельной обработки нескольких байтов ключа одновременно. Эта реализация сокращает время выполнения до приблизительно 8 наносекунд при сохранении всех криптографических свойств.

Для ARM архитектур с поддержкой расширения NEON доступна соответствующая оптимизированная реализация, использующая 128-битные регистры NEON для векторных операций с временем выполнения около 12 наносекунд. Обе специализированные реализации автоматически выбираются во время выполнения при обнаружении соответствующих аппаратных возможностей процессора.

Криптографический анализ механизмов

Стойкость к линейному криптоанализу

Структура преобразований в GenericAssembler обеспечивает высокую степень неоднородности, при которой каждый байт конечного ключа зависит от всех компонентов исходного мастер-ключа. Комбинация операций XOR, сложения с циклическим переносом и циклических сдвигов создает нелинейные преобразования, устойчивые к линейному криптоанализу. Алгоритм обеспечивает полную диффузию, где изменение одного бита в любом из компонентов влияет на множество битов в результирующем ключе.

Защита от timing-атак

Constant-time свойства алгоритма сборки обеспечиваются четырьмя ключевыми характеристиками: фиксированным количеством итераций (всегда 48 независимо от значений данных), отсутствием ветвлений, зависящих от секретных данных (условные операции выполняются только по индексам массивов), использованием исключительно операций с постоянным временем выполнения (wrapping arithmetic и битовые операции), и предсказуемыми паттернами доступа к памяти (линейное сканирование массивов без случайных доступов).

Верификация целостности компонентов

Многоуровневая система проверки целостности включает три независимых механизма. Первичная проверка выполняется через аутентификационный тег Poly1305, который позволяет обнаружить любые модификации RAM компонента. Дополнительно выполняется семантическая валидация собранного ключа на соответствие ожидаемой криптографической структуре. Третий уровень включает timing-валидацию, которая обнаруживает аномалии во времени выполнения операций сборки, потенциально указывающие на попытки side-channel атак.

Практические аспекты реализации

Управление памятью

Система реализует строгую политику немедленной очистки sensitive данных через интерфейс Zeroize, который гарантирует зануление памяти с использованием инструкций, устойчивых к оптимизациям компилятора. Структура рассеянных компонентов автоматически очищает все свои поля при уничтожении, что предотвращает возможность утечки ключевых материалов через неосвобожденную память.

Для предотвращения вытеснения критических данных в swap-область система использует механизм mlock, который фиксирует страницы памяти в оперативном запоминающем устройстве. Это особенно важно для компонентов, хранящихся в кэшах процессора, так как предотвращает их неконтролируемое копирование на более медленные носители.

Оптимизации производительности

Архитектура системы включает несколько уровней оптимизаций производительности. Предвыделение ресурсов с фиксированными размерами буферов позволяет избежать динамических аллокаций памяти в критических путях выполнения. Использование inline-подсказок для ключевых функций уменьшает накладные расходы на вызовы. Константное распространение и другие компиляторные оптимизации активно используются на основе фиксированных размеров структур данных.

Адаптивная стратегия выбора реализации сборщика позволяет системе автоматически определять доступные аппаратные возможности процессора и выбирать наиболее оптимальную реализацию. Фабрика сборщиков последовательно проверяет наличие расширений AVX2 на x86-64 архитектурах, NEON на ARM архитектурах, и возвращает универсальную реализацию в случае отсутствия специализированных инструкций.

Пример использования

Рассеивание нового ключа

Процесс начинается с инициализации рассеивателя памяти, который генерирует внутренний ключ шифрования для RAM компонентов. Мастер-ключ, полученный в результате успешного handshake-протокола, передается в метод scatter, который выполняет полный цикл рассеивания: генерацию случайных компонентов, вычисление RAM части через XOR преобразования, шифрование результата и создание аутентификационного тега. Полученная структура рассеянных компонентов немедленно проверяется на целостность перед использованием в последующих операциях.

Сборка ключа для операции

При необходимости выполнения криптографической операции система использует фабрику сборщиков для получения соответствующей реализации. Метод assemble принимает структуру рассеянных компонентов и ссылку на рассеиватель, выполняет дешифрование RAM компонента с проверкой тега, затем последовательное смешивание всех компонентов через фиксированное количество итераций и quarter-round преобразования. Время выполнения всей операции строго контролируется, и любые отклонения от ожидаемых временных рамок регистрируются как потенциальные атаки.

Заключение

Механизм рассеивания и сборки ключей представляет собой криптографически стойкую реализацию принципа разделения секрета, где полный ключ никогда не существует в памяти в собранном виде. Через комбинацию пространственного разделения компонентов по различным уровням иерархии памяти, строгой аутентификации каждого компонента и constant-time операций сборки система достигает высокого уровня защиты от широкого класса атак, включая дампы памяти, side-channel атаки и timing-атаки.

Ключевые достижения механизма включают устойчивость к компрометации памяти через требование одновременного доступа ко всем уровням кэша и регистрам процессора, эффективную защиту от side-channel атак через алгоритмы с постоянным временем выполнения и маскирование данных, автоматическую ротацию ключевых материалов благодаря эфемерной природе компонентов, и кросс-платформенную оптимизацию с адаптацией к различным архитектурам процессоров без ущерба безопасности.

Данный механизм демонстрирует практическую реализацию теоретических принципов криптографии в производственной системе, соблюдающую требования как к безопасности, так и к производительности. Он служит фундаментальной основой для всех последующих криптографических операций в Phantom Security, обеспечивая надежную защиту ключевых материалов на протяжении всего их жизненного цикла — от генерации и рассеивания до сборки и окончательного уничтожения.

В следующем разделе мы рассмотрим архитектуру сессий и генерацию операционных ключей, которые используют рассмотренные механизмы рассеивания и сборки для обеспечения безопасности каждой отдельной криптографической операции в распределенной системе.

Вернуться к блогу