WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

ГОСТ Р 34.10-2012 (полное название: «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи») — российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи. Принят и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 года № 215-ст вместо ГОСТ Р 34.10-2001. До ГОСТ Р 34.10-2001 действовал стандарт ГОСТ Р 34.10-94.

Область применения

Цифровая подпись позволяет:

Аутентифицировать лицо, подписавшее сообщение;
Контролировать целостность сообщения;
Защищать сообщение от подделок;
Доказать авторство лица, подписавшего сообщение.

История

Данный алгоритм разработан главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации при участии Всероссийского научно-исследовательского института стандартизации. Разрабатывался взамен ГОСТ Р 34.10-94 для обеспечения большей стойкости алгоритма.

Описание

ГОСТ Р 34.10-2012 и ГОСТ Р 34.10-2001 основаны на эллиптических кривых. Стойкость этих алгоритмов основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости хеш-функции. Для ГОСТ Р 34.10-2012 используется хеш-функция по ГОСТ Р 34.11-2012. Для ГОСТ Р 34.10-2001 — ГОСТ Р 34.11-94.

Стандарт ГОСТ Р 34.10-2012 использует ту же схему формирования электронной цифровой подписи, что и ГОСТ Р 34.10-2001. Новый стандарт отличается наличием дополнительного варианта параметров схем (соответствующего длине секретного ключа порядка 512 бит) и требованием использования функций хеширования ГОСТ Р 34.11-2012: первый вариант требований к параметрам (такой же, как в ГОСТ Р 34.10-2001, соответствующий длине секретного ключа порядка 256 бит) предусматривает использование хеш-функции с длиной хеш-кода 256 бит, дополнительный вариант требований к параметрам предусматривает использование хеш-функции с длиной хеш-кода 512 бит.

После подписывания сообщения М к нему дописывается цифровая подпись размером 512 или 1024 бит и текстовое поле. В текстовом поле могут содержаться, например, дата и время отправки или различные данные об отправителе:

Сообщение М

+

Цифровая подпись

Текст

Дополнение

Данный алгоритм не описывает механизм генерации параметров, необходимых для формирования подписи, а только определяет, каким образом на основании таких параметров получить цифровую подпись. Механизм генерации параметров определяется на месте в зависимости от разрабатываемой системы.

Алгоритм

Приводится описание варианта схемы ЭЦП с длиной секретного ключа 256 бит. Для секретных ключей длиной 512 бит (второй вариант формирования ЭЦП, описанный в стандарте) все преобразования аналогичны.

Параметры схемы цифровой подписи

простое число $p$ — модуль эллиптической кривой такой, что $p>2^{255}$
эллиптическая кривая $E$ задаётся своим инвариантом $J(E)$ или коэффициентами $a,b\in F_{p}$ , где $F_{p}$ — конечное поле из p элементов. $J(E)$ связан с коэффициентами $a$ и $b$ следующим образом

J(E)=1728{\frac {4a^{3}}{4a^{3}+27b^{2}}}{\pmod {p}}

, причём

4a^{3}+27b^{2}\not \equiv 0{\pmod {p}}

.

целое число $m$ — порядок группы точек эллиптической кривой, $m$ должно быть отлично от $p$
простое число $q$ , порядок некоторой циклической подгруппы группы точек эллиптической кривой, то есть выполняется $m=nq$ , для некоторого $n\in \mathbb {N}$ . Также $q$ лежит в пределах $2^{254}<q<2^{256}$ .
точка $P=(x_{P},\;y_{P})$ эллиптической кривой $E$ , являющаяся генератором подгруппы порядка $q$ , то есть $q\cdot P=\mathbf {0}$ и $k\cdot P\neq \mathbf {0}$ для всех k = 1, 2, …, q-1, где $\mathbf {0}$ — нейтральный элемент группы точек эллиптической кривой E.
$h(M)$ — хеш-функция (ГОСТ Р 34.11-2012), которая отображает сообщения M в двоичные векторы длины 256 бит.

Каждый пользователь цифровой подписи имеет личные ключи:

ключ шифрования $d$ — целое число, лежащее в пределах $0<d<q$ .
ключ расшифрования $Q=(x_{Q},\;y_{Q})$ , вычисляемый как $Q=d\cdot P$ .

Дополнительные требования:

$p^{t}\neq 1{\pmod {q}}$ , $\forall t=1..B$ , где $B\geq 31$
$J(E)\neq 0$ и $J(E)\neq 1728$

Двоичные векторы

Между двоичными векторами длины 256 ${\bar {h}}=(\alpha _{255},...,\alpha _{0})$ и целыми числами $z\leq 2^{256}$ ставится взаимно-однозначное соответствие по следующему правилу $z=\sum _{i=0}^{255}\alpha _{i}2^{i}$ . Здесь $\alpha _{i}$ либо равно 0, либо равно 1. Другими словами, ${\bar {h}}$ — это представление числа z в двоичной системе счисления.

Результатом операции конкатенации двух векторов ${\bar {h_{1}}}=(\alpha _{255},...,\alpha _{0})$ и ${\bar {h_{2}}}=(\beta _{255},...,\beta _{0})$ называется вектор длины 512 $({\bar {h_{1}}}|{\bar {h_{2}}})=(\alpha _{255},...,\alpha _{0},\beta _{255},...,\beta _{0})$ . Обратная операция — операция разбиения одного вектора длины 512 на два вектора длины 256.

Формирование цифровой подписи

Блок-схемы:

Формирование цифровой подписи
Проверка цифровой подписи

Вычисление хеш-функции от сообщения М: ${\bar {h}}=h(M)$
Вычисление $e=z\,{\bmod {\,}}q$ , и если $e=0$ , положить $e=1$ . Где $z$ — целое число, соответствующее ${\bar {h}}.$
Генерация случайного числа $k$ такого, что $0<k<q.$
Вычисление точки эллиптической кривой $C=kP$ , и по ней нахождение $r=x_{c}\,{\bmod {\,}}q,$ где $x_{c}$ — это координата $x$ точки $C.$ Если $r=0$ , возвращаемся к предыдущему шагу.
Нахождение $s=(rd+ke)\,{\bmod {\,}}q$ . Если $s=0$ , возвращаемся к шагу 3.
Формирование цифровой подписи $\xi =({\bar {r}}|{\bar {s}})$ , где ${\bar {r}}$ и ${\bar {s}}$ — векторы, соответствующие $r$ и $s$ .

Проверка цифровой подписи

Вычисление по цифровой подписи $\xi$ чисел $r$ и $s$ , учитывая, что $\xi =({\bar {r}}|{\bar {s}})$ , где $r$ и $s$ — числа, соответствующие векторам ${\bar {r}}$ и ${\bar {s}}$ . Если хотя бы одно из неравенств $r<q$ и $s<q$ неверно, то подпись неправильная.
Вычисление хеш-функции от сообщения М: ${\bar {h}}=h(M).$
Вычисление $e=z\,{\bmod {\,}}q$ , и если $e=0$ , положить $e=1$ . Где $z$ — целое число соответствующее ${\bar {h}}.$
Вычисление $\nu =e^{-1}\,{\bmod {\,}}q.$
Вычисление $z_{1}=s\nu \,{\bmod {\,}}q$ и $z_{2}=-r\nu \,{\bmod {\,}}q.$
Вычисление точки эллиптической кривой $C=z_{1}P+z_{2}Q$ . И определение $R=x_{c}\,{\bmod {\,}}q$ , где $x_{c}$ — координата $x$ точки $C.$
В случае равенства $R=r$ подпись правильная, иначе — неправильная.

Криптостойкость

Криптостойкость цифровой подписи опирается на две компоненты — на стойкость хеш-функции и на стойкость самого алгоритма шифрования.^[1]

Вероятность взлома хеш-функции по ГОСТ 34.11-94 составляет $1{,}73\times {10}^{-77}$ при подборе коллизии на фиксированное сообщение и $2{,}94\times {10}^{-39}$ при подборе любой коллизии.^[1] Стойкость алгоритма шифрования основывается на проблеме дискретного логарифмирования в группе точек эллиптической кривой. На данный момент нет метода решения данной проблемы хотя бы с субэкспоненциальной сложностью.^[2]

Один из самых быстрых алгоритмов, на данный момент, при правильном выборе параметров — $\rho$ -метод и $\mathrm {I}$ -метод Полларда.^[3]

Для оптимизированного $\rho$ -метода Полларда вычислительная сложность оценивается как $O({\sqrt {q}})$ . Таким образом для обеспечения криптостойкости ${10}^{30}$ операций необходимо использовать 256-разрядное $q$ .^[1]

Отличия от ГОСТ 34.10-94 (стандарт 1994—2001 гг)

Новый и старый ГОСТы цифровой подписи очень похожи друг на друга. Основное отличие — в старом стандарте часть операций проводится над полем $\mathbb {Z} _{p}$ , а в новом — над группой точек эллиптической кривой, поэтому требования, налагаемые на простое число $p$ в старом стандарте ( $2^{509}<p<2^{512}$ или $2^{1020}<p<2^{1024}$ ), более жёсткие, чем в новом.

Алгоритм формирования подписи отличается только в пункте 4. В старом стандарте в этом пункте вычисляются ${\tilde {r}}=a^{k}\,{\bmod {\,}}p$ и $r={\tilde {r}}\,{\bmod {\,}}q$ и, если $r=0$ , возвращаемся к пункту 3. Где $1<a<p-1$ и $a^{q}{\bmod {\,}}p=1$ .

Алгоритм проверки подписи отличается только в пункте 6. В старом стандарте в этом пункте вычисляется $R=(a^{z_{1}}y^{z_{2}}\,{\bmod {\,}}p)\,{\bmod {\,}}q$ , где $y$ — открытый ключ для проверки подписи, $y=a^{d}\,{\bmod {\,}}p$ . Если $R=r$ , подпись правильная, иначе неправильная. Здесь $q$ — простое число, $2^{254}<q<2^{256}$ и $q$ является делителем $p-1$ .

Использование математического аппарата группы точек эллиптической кривой позволяет существенно сократить порядок модуля $p$ без потери криптостойкости.^[1]

Также старый стандарт описывает механизмы получения чисел $p$ , $q$ и $a$ .

Возможные применения

Использование пары ключей (открытый, закрытый) для установления ключа сессии.^[4]
Использование в сертификатах открытых ключей.^[5]
Использование в S/MIME (PKCS #7, Cryptographic Message Syntax).^[6]
Использование для защиты соединений в TLS (SSL, HTTPS, WEB).^[7]
Использование для защиты сообщений в XML Signature (XML Encryption).^[8]
Защита целостности Интернет адресов и имён (DNSSEC).^[9]

Примечания

1 2 3 4 Игоничкина Е. В. Анализ алгоритмов электронной цифровой подписи (неопр.). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.
↑ Семёнов Г. Цифровая подпись. Эллиптические кривые (неопр.). «Открытые системы» № 7-8/2002 (8 августа 2002). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.
↑ Бондаренко М. Ф., Горбенко И. Д., Качко Е. Г., Свинарев А. В., Григоренко Т. А. Сущность и результаты исследований свойств перспективных стандартов цифровой подписи X9.62-1998 и распределения ключей X9.63-199X на эллиптических кривых (неопр.). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.
↑ RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» — Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms
↑ RFC 4491 — Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure
↑ RFC 4490 — Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)
↑ Leontiev, S., Ed. and G. Chudov, Ed. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) (англ.) (декабрь 2008). — Internet-Drafts, work in progress. Проверено 12 июня 2009. Архивировано 24 августа 2011 года.
↑ S. Leontiev, P. Smirnov, A. Chelpanov. Using GOST 28147-89, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms for XML Security (англ.) (декабрь 2008). — Internet-Drafts, work in progress. Проверено 12 июня 2009. Архивировано 24 августа 2011 года.
↑ V. Dolmatov, Ed. Use of GOST signature algorithms in DNSKEY and RRSIG Resource Records for DNSSEC (англ.) (апрель 2009). — Internet-Drafts, work in progress. Проверено 12 июня 2009. Архивировано 22 февраля 2012 года.

Ссылки

ГОСТ Р 34.10-2012. Информационные технологии. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. (неопр.) (). Проверено 17 июня 2013. Архивировано 17 июня 2013 года.
ГОСТ Р 34.10-2001. Информационные технологии. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. (неопр.) (). Проверено 11 августа 2009. Архивировано 22 февраля 2012 года.

Программные реализации

МагПро КриптоПакет (неопр.). — криптографический проект компании ООО «Криптоком» по добавлению российских криптографических алгоритмов в библиотеку OpenSSL.
- Проект Эталонная реализация российских алгоритмов шифрования в openssl на сайте GitHub
КриптоПро CSP — криптографический проект компании «Крипто-Про».
Signal-COM CSP (неопр.). — криптографический проект компании ЗАО «Сигнал-КОМ».
ЛИРССЛ-CSP (неопр.). — кроссплатформенная криптографическая библиотека компании ООО «ЛИССИ».
ViPNet CSP (неопр.). — программные комплексы, средства криптографической защиты информации компании ОАО «ИнфоТеКС».
Проект WebCrypto GOST Javascript библиотека на сайте GitHub
Libgcrypt^[en]
Bouncy Castle

Аппаратные реализации

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[Анализ_алгоримов_ЭЦП-1] 1 2 3 4 Игоничкина Е. В. Анализ алгоритмов электронной цифровой подписи (неопр.). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.

[2] Семёнов Г. Цифровая подпись. Эллиптические кривые (неопр.). «Открытые системы» № 7-8/2002 (8 августа 2002). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.

[3] Бондаренко М. Ф., Горбенко И. Д., Качко Е. Г., Свинарев А. В., Григоренко Т. А. Сущность и результаты исследований свойств перспективных стандартов цифровой подписи X9.62-1998 и распределения ключей X9.63-199X на эллиптических кривых (неопр.). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.

[4] RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» — Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms

[5] RFC 4491 — Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure

[6] RFC 4490 — Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)

[7] Leontiev, S., Ed. and G. Chudov, Ed. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) (англ.) (декабрь 2008). — Internet-Drafts, work in progress. Проверено 12 июня 2009. Архивировано 24 августа 2011 года.

[8] S. Leontiev, P. Smirnov, A. Chelpanov. Using GOST 28147-89, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms for XML Security (англ.) (декабрь 2008). — Internet-Drafts, work in progress. Проверено 12 июня 2009. Архивировано 24 августа 2011 года.

[9] V. Dolmatov, Ed. Use of GOST signature algorithms in DNSKEY and RRSIG Resource Records for DNSSEC (англ.) (апрель 2009). — Internet-Drafts, work in progress. Проверено 12 июня 2009. Архивировано 22 февраля 2012 года.